Ihr Kunde fordert Sie zum Nachweis des TISAX®-Labels auf. Was nun?
Da ist sie, die Information Ihres Kunden, dass Sie bzw. Ihr Unternehmen nun bitte ein TISAX®-Label nachweisen sollen.
Jetzt steht die Frage im Raum, was genau zu tun ist, welche Abteilungen eingebunden werden müssen und wie überhaupt der Ablauf im Prozess zum erfolgreichen Assessment nach TISAX® ist, um der Anforderung des Kunden nachzukommen.
Hier ein kurzer Leitfaden zur Orientierung:
TISAX®, der Standard für Informationssicherheit in der Automobilindustrie, ist ein gemeinsamer Prüf- und Austauschmechanismus, der die Erkenntnisse aus den Informationen Security Assessments für alle Hersteller zugänglich macht. Die Ergebnisse der Prüfungen werden in einem Reifegradmodell abgebildet. Eine Rezertifizierung erfolgt grundlegend alle drei Jahre oder zum Beispiel, wenn das teilnehmende Unternehmen ein weiteres Prüfziel nachweisen möchte oder eine größere organisatorische Änderung erfolgt ist.
Um es kurz zu machen: Stellt ein Kunde die Anforderung, das TISAX®-Label nachzuweisen, so ist der Nachweis von TISAX in der Regel auch zwingend notwendig. Erhalten Sie jedoch weder Kundendaten oder greifen nicht auf die Systeme des Kunden zu, dann kann es in sehr seltenen Fällen sein, dass die Anforderung des Kunden haltlos ist.
Auch sollten Sie überprüfen, an welchen Standorten die tatsächliche Leistungserbringung, die das TISAX®-Assessment notwendig macht, erfolgt. Haben Sie beispielsweise mehrere Standorte ihres Unternehmens, produzieren/erbringen die Leistung aber nicht an allen diesen Standorten, dann müssen nur jene das TISAX®-Label nachweisen, an denen die Leistung für den OEM erfolgt.
Abhängig von der Unternehmensgröße und den Prüfzielen ist ein Zeitrahmen von mindestens 6 Monaten für eine erfolgreiches TISAX®-Assessment einzuplanen. Diese kann sich natürlich, beispielsweise abhängig von den zur Verfügung stehenden Ressourcen und dem Tagesgeschäft, bis zu 18 Monate erstrecken. TISAX® ist also nicht „einfach mal so nebenbei“ gemacht.
TISAX® ist der Standard für Informationssicherheit in der Automobilindustrie. Sinnvoll ist es daher, Mitglieder in das Team zu integrieren, die sowohl über Kenntnisse in der IT und den Informationssicherheitsprozessen Ihres Unternehmens als auch Mitarbeiter, die in den betriebsinternen Projektleitungsbereichen über Knowhow verfügen und sich durch Kommunikationsstärke auszeichnen. Also Mitarbeiter aus allen Bereichen Ihres Unternehmens, in denen Werte (Informationen in digitaler oder physikalischer Form, Prototypen) genutzt und weitergegeben werden.
Verfügt Ihr Unternehmen bereits über ein integriertes und von allen Mitarbeitern gelebtes Informationssicherheitsmanagementsystem (kurz ISMS), vereinfacht dies die Umsetzung des TISAX-Assessment ungemein. Ist kein ISMS vorhanden, so muss die erforderliche Dokumentation in Angemessenheit zu den Prüfzielen erstellt werden.
Den eigentlichen Ablauf des TISAX®-Assessment haben wir hier für Sie skizziert:
Der Aufwand der Ressourcen ist zu individuell, um ihn zu pauschalisieren. Wie oben erwähnt, vereinfacht zum Beispiel ein schon bestehendes ISMS das TISAX®-Assessment, da hier im Vorfeld schon die nötigen Dokumentationen erfolgen. Um den Aufwand zum TISAX®-Label im Vorfeld abschätzen zu können, bieten sich GAP-Analyse-Tools an, um den Status Quo innerhalb des Unternehmens im Verhältnis zum SOLL-Zustand transparent dar zu stellen. Die hieraus ersichtlichen strategischen und operativen Lücken geben in der Auswertung dann Aufschluss über die benötigten Ressourcen.
Gerne beraten unsere TISAX®-Experten der OPTIQUM Sie hierzu.
TISAX® richtet sich grundsätzlich an alle Zulieferer und Dienstleister in der Automobilbranche, die sensible Daten und Informationen – sowohl die eigenen als auch die der Kunden – bestmöglich schützen und dies mittels Dokumentation regelmäßig Nachweise darüber erbringen müssen.
Die Sicherheit des Informationsaustausches muss dabei in der gesamten Lieferkette sichergestellt werden und richtet sich im Prüfumfang an die jeweiligen kundenspezifischen Anforderungen. Als Analogie hierzu dient der berühmte Stein, der im Wasser Wellen schlägt: Alle Partizipanten, die mit den jeweiligen sensiblen Daten in Kontakt kommen, sind von den Wellen betroffen, müssen ergo den verantwortungsvollen und sicheren Umgang mit den betreffenden Informationen garantieren.
Doch das TISAX®-Testat ist durchaus auch als Wertezuwachs für die Partnerunternehmen der Lieferkette zu betrachten: Bei einer bestehenden Zusammenarbeit mit externen Firmen beispielsweise, die auf das interne Rechenzentrum zugreifen und dies mitnutzen, stellt wechselseitige Informationssicherheit die höchste Priorität für eine vertrauensvolle, starke Kooperation dar.
Haben Sie bis dato noch keine oder nur wenig Erfahrung im Bereich der Informationssicherheit sammeln können, so ist die Beratung durch einen erfahrenen TISAX® Experten angeraten. Hierbei lohnt sich schon ein Workshop, um im Vorfeld offene Fragen zu klären, Erkenntnisse zum Thema TISAX® und Informationssicherheit zu gewinnen und die eigene Strategie zum TISAX®-Assessment festzulegen. Die kundenspezifischen Anforderungen und Geltungsbereiche müssen sowohl im Gebiet der IT als auch im Bereich der Produktion präzise identifiziert, bewertet, analysiert und zusammengeführt werden – daher lohnt es sich, einen Partner mit dem entsprechenden Knowhow rund um TISAX® an Bord zu holen und so effizient und strategisch auf das erfolgreiche TISAX®-Label hinzuarbeiten.