Abgrenzung ISMS zu CSMS
TISAX und ISO 27001 sind Standards zum Nachweis, dass ein Unternehmen in Managementsystem für Informationssicherheit umgesetzt hat. Dabei geht es um den Schutz eigener Informationen und Informationen, welche der Auftraggeber (OEM, OEM-Tier-1 etc.) dem Unternehmen überlassen hat.
Ein Beispiel ist der sichere Umgang mit Daten und Informationen, die der Auftraggeber seinem Zulieferer etwa für einen Entwicklungs- und Herstellungsprozess überlassen werden. Hier geht es um die Absicherung der Informationssicherheit im Unternehmen.
Ein CSMS nach der ISO/SAE 21434 hingegen richtet sich erst einmal an die Fahrzeughersteller (OEM) auf Basis einer gesetzlichen Vorgabe – der UN-R155. Hier geht es vornehmlich um die Typenzulassung von Fahrzeugen. Dafür muss jedes einzelne Teil (Artikel) – hier hauptsächlich Software – gegen Cyberrisiken abgesichert werden. Hierfür benötigt man das CSMS mit dem spezifischen Riskmanagement in Bezug auf das Produkt: Fahrzeug und der Nutzung über den gesamten Lebenszyklus.
Es ist denkbar, dass ein Unternehmen hier auch auf Infrastruktur und Prozesse eines ISMS zugreift, welche durch ein ISMS nach TISAX oder ISO 27001 abgesichert wurden.
Dennoch – mit einem ISMS nach TISAX oder ISO 27001 erfüllt man nicht das CSMS.