Nachweis Informationssicherheit ist Voraussetzung für Supplier Integration
Fremdfirmen, Lieferanten und Entwicklungspartner sind aufgefordert, als Voraussetzung für
eine technische CSN-Anbindung zum Datenaustausch mit den Marken sowie
zur Überlassung von vertraulichen und geheimen Daten, Komponenten, Aggregateträgern
und Prototypen eine angemessene Informations- und/oder Prototypensicherheit nachweisen.
Die Einholung des Nachweises wird durch die Firma operational services (OS) koordiniert
und als fester Bestandteil in die CSN-Anbindungsprozesse und die Fremdfirmenabnahme
integriert.
Wie kann der Nachweis der Informationssicherheit erbracht werden?
Der Nachweis der Informationssicherheit gilt als erbracht, wenn die Partnerfirma der Firma
OS ein gültiges ISO 27001-Zertifikat mit dem den Auftragsumfang umfassenden
Geltungsbereich vorlegen kann.
Kann kein gültiges ISO 27001-Zertifikat vorgelegt werden, wird die Firma OS von der
Partnerfirma eine Selbstauskunft auf Basis des Fragenkataloges „Information Security
Assessment“ des VDA (Verband der Automobilindustrie) einholen. Nähere Informationen
siehe: http://www.vda.de/de/arbeitsgebiete/informationsschutz/index.html
Der Fragebogen beinhaltet ein Modell, mit dessen Hilfe die Partnerfirma den Reifegrad
seiner Informationssicherheit ermitteln, analysieren und ggf. verbessern kann.
Der Nachweis der Informationssicherheit gilt dann als erbracht, wenn der Firma OS eine als
„Bestanden“ gewertete Selbstauskunft vorgelegt wird. Diese ist durch die Geschäftsführung der Partnerfirma
oder deren Bevollmächtigten zu unterschreiben. Die Firma OS erteilt auf dieser Basis eine
Freigabe für die technische Anbindung, welche innerhalb des Konzerns
anerkannt wird.
Die Gültigkeit der Freigabe beträgt 3 Jahre, nach Ablauf dieser Frist ist ein erneuter
Nachweis der Informationssicherheit zu erbringen. Die durch Partnerfirmen eingereichten
Selbstauskünfte werden stichprobenartig überprüft. Unbenommen sind weiterhin Prüfungen
vor Ort.
Für die Koordination der Prozesse zur Selbstauskunft berechnet die Firma OS dem
Entwicklungspartner eine relativ hohe Bearbeitungsgebühr.
Für Fragen zum Ablauf der Selbstauditierung und allen weiteren Rückfragen zum Thema
steht den Partnerfirmen das Service Support Center der Firma OS zur Verfügung: