nach oben
Meine Merkliste
Ihre Merklisteneinträge speichern
Wenn Sie weitere Inhalte zu Ihrer Merkliste hinzufügen möchten, melden Sie sich bitte an. Wenn Sie noch kein Benutzerkonto haben, registrieren Sie sich bitte im Hanser Kundencenter.

» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.
Ihre Merklisten
Wenn Sie Ihre Merklisten bei Ihrem nächsten Besuch wieder verwenden möchten, melden Sie sich bitte an oder registrieren Sie sich im Hanser Kundencenter.
» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.

« Zurück

Ihre Vorteile im Überblick

  • Ein Login für alle Hanser Fachportale
  • Individuelle Startseite und damit schneller Zugriff auf bevorzugte Inhalte
  • Exklusiver Zugriff auf ausgewählte Inhalte
  • Persönliche Merklisten über alle Hanser Fachportale
  • Zentrale Verwaltung Ihrer persönlichen Daten und Newsletter-Abonnements

Jetzt registrieren
Merken Gemerkt
17.08.2020 IATF 16949
Frage & Antwort

7.1.3.1. ( SI 18): Wo bzw. wie müssen die implementierten Maßnahmen zum Schutz vor Cyberangriffen dokumentiert werden?

Sind die implementierten Maßnahmen zum Schutz vor Cyberangriffen direkt im Werks- und Strukturplan zu dokumentieren oder kann man auf eine Übersicht/Liste referenzieren?

Antwort:

Aus dem Abschnitt 7.1.3.1 der IATF 16949 könnte man in der Tat herauslesen, dass die Dokumentation der Maßnahmen zum Schutz vor Cyberangriffen auf Einrichtungen und Systeme, welche die Fertigung unterstützen, in den Werkstrukturplänen erfolgen muss. Andererseits gehört die Auflistung solcher Art von Maßnahmen m.E. thematisch eher nicht in die Werkstrukturpläne.

Eine allgemeingültige Lösung für die IT-Sicherheit gibt es nicht. Die jeweilige Lösung muss vielmehr auf jedes Unternehmen individuell angepasst werden. Ein Abgleich mit dem eigenen Geschäftsmodell liefert jedoch wichtige Eckpunkte für die Anforderungen an eine IT-Sicherheitslösung. Damit sollte eine Kosten-Nutzen-Analyse einhergehen. Zu den Dokumentationen, die die IT-Sicherheit betreffen, gehören u.a. Verträge zur Auftragsdatenverarbeitung oder andere Vereinbarungen mit externen Dienstleistern, Verfahrensverzeichnisse und eine Verarbeitungsübersicht sowie Rechte-/Rollenkonzepte.

In der DSGVO findet man dazu sogar einen eigenen Artikel (Artikel 30 Verzeichnis von Verarbeitungstätigkeiten). Dort heißt es unter anderem: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Das Verzeichnis muss schriftlich geführt werden, wobei ein elektronisches Format zulässig ist.“

Ich denke, dass die Autoren der SI 18 sich das auch so – als gesondertes Dokument – gedacht haben. Der Zusammenhang zu den Werkstrukturplänen besteht lediglich darin, dass der Fokus (auch) auf die IT-Systeme in der Fertigung gerichtet werden soll. Darum ist die Forderung zusätzlich zu SI 17 dem Abschnitt 7.1.3.1 zugeordnet worden.

IATF 16949

Unser Experte beantwortet Ihre Fragen zum Automobilstandard IATF 16949


Stellen Sie unserem Experten Ihre Frage!


Über den Experten

Hartmut Ide

Hartmut Ide hatte leitende Funktionen als Qualitätsmanager in der Autoindustrie inne. Seit 2008 arbeitet er als Berater für IQC - Ide Quality Consulting GmbH. Vom VDA QMC wurde er zum Mastertrainer IATF 16949 berufen. Für DGQ, VDA QMC und andere Organisationen ist er als Trainer und Prüfer für Auditoren und im QM-Bereich im Einsatz. Für das deutsche IATF Oversight Office übersetzte er den Standard IATF 16949 ins Deutsche.