Cybersecurity Supply Chain Risk Management in der Automobilindustrie
TISAX (Trusted Information Security Assessment Exchange) ist ein Informationssicherheitsstandard, der vom Verband der Automobilindustrie (VDA) entwickelt und von der ENX Association verwaltet wird. Seit seiner Einführung 2017 haben Automobilhersteller, Teilehersteller und Zulieferer in ganz Europa - und zunehmend auch weltweit - TISAX weitgehend übernommen, um ein einheitliches Niveau der Informationssicherheit innerhalb der Branche zu gewährleisten.
Das TISAX Information Security Assessment (ISA), das derzeit in der Version 6.0.2 vorliegt, bewertet fast 80 Kontrollen für Informationssicherheit, Prototypenschutz und Datenschutz in neun (9) Kontrollfamilien.
Da TISAX eine umfassende Prüfung der Informationssicherheitskontrollen vorschreibt, sollten Automobilhersteller und -zulieferer eine Risikobewertung und eine kontinuierliche Überwachungsstrategie entwickeln, die mit den Anforderungen der TISAX übereinstimmt, um eine größere Cyber-Resilienz in globalen Lieferketten zu ermöglichen.
Relevante Anforderungen
-
Definieren Sie den Umfang der TISAX-Bewertung, indem Sie festlegen, welche Teile der Organisation und Prozesse bewertet werden müssen.
-
Implementierung der notwendigen Kontrollen, um Lücken zu schließen und die erforderlichen Standards zu erfüllen
-
Durchführung von Abhilfemaßnahmen, wenn bei der Prüfung Bereiche der Nichteinhaltung festgestellt werden
-
Durchführung einer Selbstbewertung mit Hilfe des TISAX ISA-Fragebogens, um die aktuellen Praktiken und Richtlinien anhand der TISAX-Standards zu bewerten
-
Beauftragung eines ENX-akkreditierten Prüfers mit der Durchführung des offiziellen Audits und eines Vor-Ort-Besuchs
-
Regelmäßige Überprüfung und Aktualisierung der Sicherheitspraktiken und alle drei Jahre eine Neubewertung
Vereinfachung der TISAX-Einhaltung
Bewertung der Lieferanten anhand der TISAX-Anforderungen
Die Plattform umfasst eine Risikobewertung, die sich an den TISAX- und ISO 27001-Anforderungen orientiert und Workflow-Automatisierungen, Aufgabenmanagement und automatisierte Funktionen zur Überprüfung von Nachweisen nutzt, um die Reifegrade der Lieferanten zu bewerten. Darüber hinaus präsentiert die Prevalent-Lösung die Bewertungsergebnisse in einem zentralen Risikoregister, das es Ihnen ermöglicht, die wichtigsten Risiken schnell zu visualisieren, zu sortieren und zu lokalisieren.
Organisatorische Risikomanagement-Prozesse definieren
Arbeiten Sie mit den Experten von Prevalent zusammen, um ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) oder für das Risikomanagement in der Cybersecurity-Lieferkette (C-SCRM) aufzubauen, das mit Ihren umfassenderen Programmen für Informationssicherheit und Governance, Unternehmensrisikomanagement und Compliance im Einklang steht.
Punktzahl Inhärente Risiken
Prevalent quantifiziert die inhärenten Risiken für alle Zulieferer, um die Zulieferer effektiv einzustufen, ein angemessenes Maß an weiterer Sorgfalt festzulegen und den Umfang der laufenden Bewertungen zu bestimmen.
Aufbau eines zentralen Lieferanteninventars
Prevalent unterstützt Teams beim Aufbau eines zentralisierten Lieferanteninventars durch den Import von Lieferanten über eine Tabellenkalkulationsvorlage oder über eine API-Verbindung zu einer bestehenden Beschaffungs- oder Lieferkettenlösung.
Bei der Überprüfung aller Lieferanten erstellt die Plattform umfassende Lieferantenprofile, die alle dokumentarischen Nachweise im Zusammenhang mit der TISAX-Bewertung sowie Einblicke in die demografischen Daten eines Lieferanten, die ESG-Bewertungen, die jüngsten Geschäfts- und Reputationseinblicke, die Geschichte der Datenschutzverletzungen und die jüngste finanzielle Leistung enthalten.
Vierte und n-te Lieferanten identifizieren
Mit Prevalent können Sie Fourth-Party- und Nth-Party-Lieferanten in Ihrem Lieferanten-Ökosystem durch eine fragebogenbasierte Bewertung Ihrer Lieferanten oder durch passives Scannen der öffentlich zugänglichen Infrastruktur des Lieferanten identifizieren. Die daraus resultierende Beziehungsübersicht zeigt erweiterte Abhängigkeiten auf, die Ihr Unternehmen einem Risiko aussetzen könnten.
Befunde beheben
Die Prevalent-Plattform enthält integrierte Empfehlungen für Abhilfemaßnahmen auf der Grundlage von Risikobewertungsergebnissen, um sicherzustellen, dass Ihre Lieferanten die Risiken rechtzeitig und in zufriedenstellender Weise angehen und den Auditoren die entsprechenden Nachweise vorlegen können.
Kontinuierliche Überwachung von Lieferanten auf Bedrohungen
Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Lieferanten. Die Lösungen überwachen das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen. Zu den Überwachungsquellen gehören:
- Kriminelle Foren, Onion-Seiten, Dark-Web-Foren für speziellen Zugang, Threat-Feeds und Paste-Sites für durchgesickerte Zugangsdaten - sowie verschiedene Sicherheits-Communities, Code-Repositories und Datenbanken für Sicherheitslücken
- Datenbanken mit einer mehrjährigen Historie von Datenschutzverletzungen bei Tausenden von Unternehmen in aller Welt
Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Lieferanten zentralisiert, wodurch die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen rationalisiert werden.
Bewertung und Priorisierung von Risiken
Sobald alle Bewertungs- und Überwachungsdaten in einem zentralen Risikoregister korreliert sind, wendet Prevalent eine Risikobewertung und -priorisierung nach einem Wahrscheinlichkeits- und Auswirkungsmodell an. Dieses Modell stellt die Risiken in einer Matrix dar, so dass Sie die Risiken mit den größten Auswirkungen leicht erkennen und die Abhilfemaßnahmen für diese Risiken priorisieren können. Weisen Sie Verantwortliche zu und verfolgen Sie Risiken und Abhilfemaßnahmen bis zu einem für das Unternehmen akzeptablen Niveau.
