Hilfe zum Thema TISAX®

Der Trusted Information Security Assessment EXchange, kurz TISAX®, ist ein von der Automobilindustrie definierter Standard für Informationssicherheit.

Die Mitgliedsunternehmen des Verbandes der Automobilindustrie e.V. (VDA) haben einen Katalog erstellen, der, von der internationalen Industrie-Norm ISO 27001 abgeleitet, an die spezifischen Anforderungen der Automobil-Branche angepasst wurde.

Betrieben wird TISAX® von der rechtlich-selbstständigen Organisation ENX Association mit Sitz in Frankreich, welche die Prüfdienstleister akkreditiert und die Qualität der Durchführung sowie die Assessment-Ergebnisse überwacht.

Jedes Unternehmen, das für Kunden aus der Automobil-Branche arbeitet, kann seit 2017 aufgefordert werden eine TISAX®-Freigabe nach VDA-ISA vorzulegen. Zulieferer in der Branche brauchen sie, um auch weiterhin Aufträge zu erhalten. Und um einer drohenden Auslistung zu entgehen, muss die Zertifizierung möglichst zeitnah und garantiert erfolgen.
Sichern Sie sich den entscheidenden Wettbewerbsvorteil und gehen Sie mit uns gemeinsam den Weg zu Ihrer TISAX®-Freigabe. Wir von OPTIQUM helfen Ihnen, ohne Umwege Ihr Ziel zu erreichen.

Der Fragenkatalog der VDA-ISA bedient sich der Maßnahmen aus der ISO 27001. Diese sind als Fragen formuliert und müssen mit einem Reifegrad von 1 bis 5 vom Unternehmen bewertet werden. Die eigentliche Auswertung des Ergebnisses erfolgt mathematisch, wobei hier immer gegen den mittleren Zielreifegrad von 3 geprüft wird. Aber Achtung: Ein hoher Reifegrad einer Maßnahme kann den niedrigen Reifegrad einer anderen Maßnahme nicht ausgleichen.

Zunächst erfolgt eine Scope- und GAP-Analyse, um den Status Quo Ihres Unternehmens abzubilden. Im Abgleich mit dem Anforderungskatalog wird so ersichtlich, welche Maßnahmen umzusetzen sind. Auf dieser Basis kann nun ein spezifisches Vorgehen entwickelt werden, um den angestrebten Reifegrad für das Zertifizierungs-Audit zu erreichen. Sind alle zu ergreifenden Maßnahmen abgeschlossen und erfolgreich umgesetzt, folgen Freigabe und Zertifikat.

Im Rahmen desTISAX® Label wird zwischen drei Prüfstufen, sogenannten Assessmentleveln, unterschieden:

Assessmentlevel 1
Normaler Schutzbedarf
Das niedrigste Level: Bei dem AL1 handelt es sich um eine reine Selbstauskunft und es ist in der gängigen Praxis kaum gebräuchlich. Sie dient vorrangig internen Zwecken, haben geringe Aussagekraft und werden in TISAX® nicht verwendet. Das AL1 ist identisch mit dem Fragebogen des VDA-ISA mit dem Unterschied, dass die Ergebnisse gleichzeitig über die TISAX®-Plattform geteilt werden.

Assessmentlevel 2
Hoher Schutzbedarf
Zusätzlich zu einer eigenen Einschätzung des Sicherheitsgrades erfolgt bei dem AL2 eine Plausibilitätsprüfung durch ein Telefoninterview eines externen Prüfdienstleisters. Ein Besuch vor Ort kann ergänzend zu diesem Telefonat stattfinden, etwas bei:

• Unklarheiten und Abweichungen
• Prüfziel „Prototypenschutz“ (unabhängig vom Schutzbedarf)
• ACHTUNG! Das Prüfziel „Anbindung Dritter“ (unabhängig vom Schutzbedarf) entfällt in der neuen Version des VDA-ISA Katalogs 5.0 (gültig ab dem 01.10.2020)

Weitere Informationen zum VDA-ISA Katalog 5.0, allen Änderungen und der damit verbundenen Auswirkung auf TISAX® finden Sie → hier.

Assessmentlevel 3
Sehr hoher Schutzbedarf
Bei dem AL3 findet immer eine direkte Plausibilitätsprüfung Ihrer Selbsteinschätzung vor Ort durch einen akkreditierten Prüfer statt.

Dieser Standard für Informationssicherheit betrifft ALLE Prozesse und Abläufe in Ihrem Unternehmen. Ebenso zu berücksichtigen sind beispielsweise Dritte wie Ihre Lieferanten und Dienstleister als auch Elementarschäden oder Serverausfälle.
Daher ist TISAX® ein Thema für die Geschäftsführung und alle Fachbereiche Ihres Unternehmens.

Ja, denn:

• Statt kundenspezifischer Audits muss nun nur noch ein regelmäßiges Audit vorgenommen werden. Mit dieser Zertifizierung wurde ein Standard geschaffen, der von allen VDA-Mitgliedern anerkannt ist – Dadurch Sie als Unternehmer unabhängig in der Kundenakquise.
• Sie erfüllen die Anforderungen Ihrer Kunden – und kommen so schneller an den Auftrag.
• Sie erhalten Sicherheit und Planbarkeit und ein deutlich gesenktes Risiko im Unternehmen.
• Die zentrale Plattform zum Austausch von Prüfinformationen kann Zeit und bares Geld durch gegenseitige Anerkennung im TISAX®-Netzwerk sparen.
• Ihre kundenspezifischen Daten werden gegenüber unbefugtem Zugriff geschützt.
• Sie sichern sich den Wettbewerbsvorteil der Reputation Ihres Unternehmens und Ihrer Marke.
• Es besteht der Schutz Ihrer Innovationen und intellektuellem Eigentum sowie der Schutz Ihres Know-How und Ihrer Investition in Produkte.

Nach einem erfolgreichen Abschluss gilt das Zertifikat für 3 Jahre. Es finden keine jährlichen Überwachungsaudits statt.

Mit Beginn der Erstprüfung hat man neun Monate Zeit, Abweichungen aus der Prüfung laut Katalog umzusetzen. Innerhalb dieser 9 Monate muss der Prüfprozess abgeschlossen werden.

Bei TISAX® handelt es sich um einen Prüf- und Austauschmechanismus. So erhält man bei erfolgreicher Prpüfung kein „Zertifikat“, wie es bei ISO-Standards der Fall ist, sondern ein Label. Hier haben wir ausführliche Informationen dazu zusammengestellt.

Ein von der ENX akkreditierter TISAX®-Prüfdienstleister führt als externer Auditor das Assessment durch. Er wird separat und unabhängig von Ihnen beauftragt. Zu berücksichtigen ist, dass nach aktuellem Stand bis zum Jahresende kaum noch verfügbare Termine für ein Zertifizierungs-Audit zu bekommen sind. Handeln Sie schnell und sichern Sie sich Ihr TISAX®-Label.