VDA ISA Information Security Assessment excel’i ingilizce ve almanca versiyonları seçenekleriyle https://www.vda.de/en/services/Publications/information-security-assessment.html linkinden indirilebilir.

Dosya excel formatındadır. İngilizce veya Almanya doldurulabilir. Toplamda 82 tane kontrol bulunmaktadır, belirlenen kapsama göre tüm kontrollerin doldurulması zorunludur.

VDA excel’i ;

• Maturity Levels (Olgunluk Seviyeleri)
• Definitions (Temel Tanımlar)
• Cover (Firma Bilgileri)
• Results (Değerlendirme Sonuçları)
• Information Security (Bilgi Güvenliği)
• Connection to 3rd parties (Üçüncü Taraf Bağlantıları)
• Data Protection (Veri Koruma)
• Prototype Protection (Prototip Koruma)
• KPIs
• References
• Glossar
• License
• Change history

Kısımlarından oluşur.

Maturity Levels (Olgunluk)

Özet olarak;

• 0 Incomplate: Süreç yok yada süreç çalışmıyor anlamı taşır.
• 1 Performed: Süreç var, çalışıyor görünüyor fakat dökümante edilmiş değil ve denetlenen firma çalıştığından %100 emin değil anlamı taşır.
• 2 Managed: Süreç var, çalışıyor aynı zamanda dökümante de edilmiş ama aynı işi yapan başka süreçler de var.
• 3 Established: Çalışan bir süreç var, dökümante edilmiş aynı zamanda güncel ve operasyonel.
• 4 Predictable: 3. maddenin gerekliliklerinin tamamını karşılıyor ve aynı zamanda ölçümleme yapılıyor.
• 5 Optimizing: 3. ve 4. maddenin tüm gerekliliklerini karşılar, süreçle ilgili atanan kişiler barındırır ve sürekli iyileştirme yapılır.

Definations (Temel Tanımlar)

Özet olarak;

• Must: İstisnasız bir şekilde karşılanması zorunlu olan gereklilikler
• Should: Karşılanması tavsiye edilen gereklilikler. Eğer karşılanamıyorsa nedeninin açıklanabilmesi gerekmektedir.
• May: Bu gerekliliklerin karşılanması olası, karşılanmıyorsa alternatif yollar anlatılabilir.
• High protection needs: Yüksek koruma seviyesinden denetime giren firmaların kesinlikle yapması gereken gerekliliklerdir.
• Very high protection needs: Çok Yüksek koruma seviyesinden denetime giren firmaların kesinlikle yapması gereken gerekliliklerdir.

Cover (Firma Bilgileri)

Firmaya ait bilgilerin doldurulması gereken kısımdır. Baş denetçiye form excel gönderilmeden kesinlikle doldurulması gerekmektedir.

Results(Değerlendirme Sonuçları)

VDA excel’indeki ilgili kısımlar doldurulduktan sonra formüllerle birlikte otomatik hesaplama yapılan kısımdır.

• Olgunluk seviyeleri örümcek ağı gösterimi ile otomatik olarak hesaplanır
• Her grup için ortalama olgunluk seviyesi 3.0’dır. Ayrı kontrollerin ayrı değerlendirmeleri olabilir ama ortalama her zaman 3.0 olarak düşünülebilir.
• TISAX etiketi alabilmek için kendi kendine değerlendirme sonucunda her kontrol grubu için hedef değer yada üzerinde kalınmalıudır.

Information Security

1. Excelde genelde herkesin gözünden kaçan bir nokta burası. Normalde + şeklinde kapalı halde gelmekte. Kanıt döküman vb bilgilerin girilebilmesi için + ya tıklamak ve sonrasında diğer fieldlerin görünebilmesi sağlamak gerekmektedir.
2. Maturity Levels (Olgunluk) kurallarına göre vermiş olduğumuz puanı buradan seçiyoruz.
3. 27001 referans maddelerini göstermektedir. Firmanız 27001 sertifikasına sahip ise SOA da EK-A maddelerine karşılık gelen referans döküman ve kanıtları işaret eder.
4. İmplementation description: Bu alan zorunludur. Bu alana ilgili kontrolün nasıl uygulandığının yazılması gerekmektedir. Koruma seviyenize göre ayrıntılı bilgi vermeniz gerekmektedir. Bu alana yazılan açıklamalar denetçiye bu kontrolün neden uygulandığı ile ilgili bilgi vermektedir.
5. Reference documentation: Bu alan zorunludur. Bu alana ilgili kontrolü uygularken kullanılan dökümanların (politika , talimat , form vs)
6. Findings: Bu kısım gerekliyse doldurulmalı. İlgili kontrolün uygulama alanı hakkında açık bir Bilgi Güvenliği riski varsa bunun belirtilmesi için kullanılmalıdır.
7. Measures: Bu kısım gerekliyse doldurulmalı. Findings kısmında riskler var ise ve bunların uygunsuzluk etkisini azaltmak için uygulanan önlemler ve faaliyetler bu kısımda yazılmalıdır.