Schritt 9 – Temporäre Freigabe / Verbesserungsmaßnahmen und Nachaudit

Ziel des Assessments muss es natürlich sein, zu beweisen, dass Ihr System den Anforderungen des VDA an die Informations-Sicherheit genügt.

Häufig finden Prüfer beim Erstaudit Abweichungen – egal wie gut Sie sich vorbereiten.

Im initialen Audit-Bericht erhalten sie entweder die Aussage, dass Ihr System „conform“ oder „major non-conform“ ist. Auch bei kleinen Abweichungen kann das System als gesamt „Nicht-konform“ beurteilt werden.

Um eine temporäre Freigabe („temporary label“) zu erhalten, sollten Sie einen Plan mit Korrekturmaßnahmen erstellen und von Ihrem Auditor genehmigen lassen. Durch die Abnahme dieser Verbesserungsmaßnahmen kann Ihr Gesamtstaus auf „minor non- conform“ heraufgestuft werden. Erst mit diesem Status können Sie eine temporäre Freigabe erhalten, unter der Maßgabe spätestens nach 9 Monaten ein Nachaudit durchführen zu lassen.

Sollten Sie keine temporäre Freigabe brauchen, können Sie auch direkt ein Nachaudit planen und anberaumen, wenn Sie sich sicher sind, dass sie die notwendigen Maßnahmen bis zum geplanten Zeitpunkt umgesetzt haben.

Für jede Abweichung müssen Sie mindestens eine Maßnahme und einen finalen Umsetzungszeitpunkt definieren. Für Abweichungen, die kritische Risiken beinhalten, müssen Sie außerdem Maßnahmen definieren, die das Risiko mindern bis die finale Lösung umgesetzt ist.

– Jede Maßnahme, die länger als 3 Monate in der Umsetzung dauert, müssen Sie begründen.

– Für jede Maßnahme, die zur Umsetzung mehr als 6 Monate dauert, müssen Sie Beweise vorlegen, die nahelegen, warum die Umsetzung den Zeitraum in Anspruch nimmt.

– Sie können keine Maßnahme definieren, deren Umsetzung länger als 9 Monate in Anspruch nimmt.

Spätestens nach 9 Monaten müssen Sie ein Nachaudit („Follow-up Audit“) bestehen.

Wir helfen Ihnen, die richtigen Korrekturmaßnahmen zu finden, die Zeiträume logisch zu gestalten und übernehmen in Zusammenarbeit mit Ihrem ISB die Überwachung der Maßnahmen.

weiter zu Schritt 10