TISAX® Beratung
TISAX® schützt Informationen, Innovationen und Ingenieurskunst
Im rasanten Tempo wird die Automobilbranche umgekrempelt. Nun werden die Zulieferer aufgefordert, Innovationen und Informationen zu schützen. Dabei hilft TISAX® – der Weg durch das Assessment zum Label muss nicht schwer sein.
Der TISAX® Standard im Überblick
Unternehmen sollten ein TISAX®-Assessment rechtzeitig planen, denn bis zum erfolgreichen Abschluss des Assessments dauert es etwa ein Jahr.
TISAX® ist ein Akronym für Trusted Information Security Assessment Exchange und definiert den Standard für Informationssicherheitsmanagementsysteme (ISMS) in der Automobilindustrie.
Die ISO 27001 bildet die Basis für den TISAX®-Standard, letzteres wurde aber speziell für die Automobilindustrie entwickelt.
TISAX® ist ein Prüf- und Austauschverfahren sowie auch eine Marke der ENX Association, des Europäischen Verbands der Automobilindustrie.
Die ENX schafft mit TISAX® bei allen Teilnehmern einheitliche Anforderungen im Hinblick auf die Informationssicherheit, den Prototypenschutz und den Datenschutz und schafft Vergleichbarkeit.
Was ist TISAX® und wofür steht das Wort?
TISAX® steht für Trusted Information Security Assessment Exchange.
Wie schon das englische Wortungetüm verrät, ist eines der wesentlichen Ziele von TISAX®, den Austausch des Informationssicherheitslevels zu vereinheitlichen. Grundlage hierfür ist der international anerkannte ISO-Standard 27001, auf den häufig referenziert wird. Der VDA, der Verband der Deutschen Automobilindustrie gab einst den Anstoß, seit 2000 So ist TISAX® seit dem Jahr 2000 eine eingetragene Marke der ENX Association, des Verbands der europäischen Automobilindustrie. Inzwischen ist TISAX® ein europaweiter Standard und in den alltäglichen Sprachgebrauch der Automotive Industrie übergegangen. Zukünftig soll der automobile Informationssicherheitsstandard weltweit Anwendung finden.
Der VDA veröffentlicht einen ISA-Fragebogen des VDA (VDA-ISA, auch oft als „TISAX® Fragenkatalog“ oder „TISAX® Anforderungen“ bezeichnet). Dieser bildet die Grundlage für das Audit. ISA steht für Information Security Assessment. Das Vorgehen, wie das Audit abläuft und auf welche Punkte ein Prüfdienstleister eingeht, steht im TISAX® Teilnehmerhandbuch.
TISAX® steht für Trusted Information Security Assessment Exchange.
Wie schon das englische Wortungetüm verrät, ist eines der wesentlichen Ziele von TISAX®, den Austausch des Informationssicherheitslevels zu vereinheitlichen. Grundlage hierfür ist der international anerkannte ISO-Standard 27001, auf den häufig referenziert wird. Der VDA, der Verband der Deutschen Automobilindustrie gab einst den Anstoß, seit 2000 So ist TISAX® seit dem Jahr 2000 eine eingetragene Marke der ENX Association, des Verbands der europäischen Automobilindustrie. Inzwischen ist TISAX® ein europaweiter Standard und in den alltäglichen Sprachgebrauch der Automotive Industrie übergegangen. Zukünftig soll der automobile Informationssicherheitsstandard weltweit Anwendung finden.
Der VDA veröffentlicht einen ISA-Fragebogen des VDA (VDA-ISA, auch oft als „TISAX® Fragenkatalog“ oder „TISAX® Anforderungen“ bezeichnet). Dieser bildet die Grundlage für das Audit. ISA steht für Information Security Assessment. Das Vorgehen, wie das Audit abläuft und auf welche Punkte ein Prüfdienstleister eingeht, steht im TISAX® Teilnehmerhandbuch.
Die TISAX® Plattform
Der Begriff TISAX® bezeichnet neben dem Standard auch eine Plattform, mit derer Hilfe sich Unternehmen der Automobilindustrie das geforderte Niveau in der Informationssicherheit
Prüfen lassen
Dokumentieren
und Nachweisen
können. Neben dem aktiven Teilnehmer, dem passiven Teilnehmer arbeiten auch die- Prüfdienstleister über die Plattform. Der aktive Teilnehmer (häufig Automobilhersteller) fordert vom passiven Teilnehmer (Zulieferer) die Prüfung durch ein Audit/Assessment an, der passive Teilnehmer teilt über das Portal dem aktiven Teilnehmer das Prüfergebnis mit Hilfe sog. Labels mit. Der Betreiber der Plattform ist die ENX.
Wozu dient der TISAX®-Standard?
Schon früher hat jeder OEM eigene Anforderungen an die Informationssicherheit seiner Lieferanten gestellt. Jedoch waren diese Anforderung höchst unterschiedlich formuliert und damit ging eine erhöhte Komplexität des Nachweisverfahrens einher. Insbesondere wenn ein Lieferant mehrere OEMs beliefert hat, war das Ausmaß an Komplexität entsprechend groß.
Die Bewertung mit Hilfe von TISAX®/VDA ISA gestaltet sich daher deutlich einfacher, effizienter und neutraler.
Wie grenzen sich TISAX® und ISO 27001 voneinander ab?
ISO 27001
Harmonized Structure (HS)
Zertifizierungsgrundlage
Vollständiges Managementsystem
Formales Statement of Applicability (SoA, Anwendungserklärung)
Basiert auf ISO 27001
kein vollständiges Managementsystem
Self-Assessment als SoA
ISO 27001
Zertifizierung des ISMS
Zertifikat
Zertifizierung der VDA ISA-Anforderungen
Label auf Plattform
ISO 27001
3 Jahre
jährliche Überwachungsaudits
3 Jahre
keine Überwachungsaudits
Wer benötigt ein TISAX®-Label?
Die Automobilhersteller und auch einige große Zulieferer fordern den Nachweis eines erfolgreich bestandenen TISAX®-Assessments in Form eines Labels von ihren Zulieferern. Eine gesetzliche Anforderung oder eine Verpflichtung dazu gibt es jedoch nicht. Denn ohne ein TISAX®-Label als Nachweis des erfolgreichen TISAX®-Assessments wird eine Zusammenarbeit mit den OEMs nicht zustande kommen oder auch schlimmstenfalls beendet.
Ist TISAX® auch für kleine Betriebe verpflichtend?
Die großen Marktteilnehmer und die Automobilhersteller haben sich geeinigt, dass möglichst alle Zulieferer und Lieferanten über ein TISAX®-Label die erfolgreiche Einführung und Betrieb eines ISMS nachzuweisen haben. Damit wird der Nachweis einen entsprechend geforderten TISAX®-Labels zur Grundvoraussetzung in dieser Branche. Nichtsdestotrotz gilt: ein TISAX®-Assessment ist freiwillig. Es gibt keine Rechtsvorschrift, nach der ein Unternehmen ein gültiges TISAX®-Label nachweisen müsste.
Können die Anforderungen von kleinen Betrieben erfüllt werden?
Die Anforderungen des ISA-Katalogs kann jedes Unternehmen unabhängig seiner Betriebsgröße erfüllen. Und je größer, internationaler und damit komplexer ein Unternehmen ist, desto höher ist auch der Aufwand, TISAX® erfolgreich einzuführen.
Welche Anforderungen müssen für TISAX® erfüllt sein?
Als Basisanforderung fordert TISAX® das sog. Prüfziel „Info high“ und umfasst, wie auch die ISO 27001, standardmäßig die Informationssicherheit. Abhängig jedoch von der Erwartung des Kunden, können jedoch optionale erweiterte Prüfziele wie „Prototypenschutz“ oder „Datenschutz“ gefordert werden.
Zusätzlich wird durch den Schutzbedarf – sogenannte Assessment-Level – weitere Anforderungen an die Nachweise und die Konformitätsprüfung gestellt. Prüfziele können voneinander abhängen und auch das Assessment-Level und damit auch der Aufwand zur Erreichung des Prüfziels.
Wie viele Prüfziele und Assessment-Level gibt es?
Es gibt insgesamt zehn Prüfziele. Das erste Prüfziel „Confidential“ ist gekoppelt am zweiten Prüfziel „High availability“ – Zugriff auf vertrauliche Informationen mit hoher Verfügbarkeit. Diese beiden sind die kleinsten zu erfüllenden Prüfziele. Alle weiteren Prüfziele sind optional und können untereinander abhängig sein.
Die weiteren Prüfziele sind:
„Strictly confidential“: Zugriff auf streng vertrauliche Informationen
„Very high availability“: sehr hohe Verfügbarkeit der Informationen
„Proto parts“: Schutz von Prototypenbauteilen und -Komponenten
„Proto vehicles“: Schutz von Prototypenfahrzeugen
„Test vehicles“: Umgang mit Erprobungsfahrzeugen
„Proto events“: Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings„Data“: Datenschutz gem. Art. 28 DSGVO (Auftragsverarbeiter)
„Special Data“: Datenschutz gem. Art. 28 DSGVO (Auftragsverarbeiter) bei besonderen Kategorien personenbezogener Daten
Je höher der Schutzbedarf einer Information ist, desto mehr muss sichergestellt sein. dass die Informationssicherheit gewährleistet ist. Mit höherem Schutzbedarf werden auch höhere Anforderungen an die Konformitätsprüfung gestellt. TISAX® unterscheidet daher drei Assessment-Level: je höher der Schutzbedarf, je höher das Assessment-Level (AL), desto intensiver und umfangreicher ist die Konformitätsprüfung.
Upgrade von Assessment-Level 2 auf Assessment-Level 3
Welche Vorteile hat eine TISAX®-Zertifizierung?
Müssen auch die Lieferanten des geprüften Unternehmens ein TISAX®-Assessment nachweisen?
Bekommen Teilnehmer nach dem Assessment ein Zertifikat?
Nein, der TISAX®-Standard sieht nicht vor, dass Zertifikate ausgehändigt werden. Um anderen Marktteilnehmer das Ergebnis des Prüfprozesses zugänglich zu machen, gibt es zwei Möglichkeiten, die über die TISAX®-Plattform bereitgestellt werden.
1. Konforme Prüfergebnisse werden für alle Teilnehmer veröffentlicht.
Dabei kann zwischen zwei Transparenzgraden gewählt werden: sollen alle Teilnehmer lediglich Informationen zur Prüfung einsehen dürfen oder soll ihnen das Gesamtprüfergebnis mitteilt werden.
2. Das Teilen der Prüfergebnisse mit einem oder mehreren konkreten Teilnehmern.
Im Regelfall werden die Prüfergebnisse mit den anfordernden Kunden geteilt und es ist möglich, den Prüfbericht vollständig zu übermitteln.
Beim Gesamtprüfergebnis, welches in etwa einem Zertifikat entspricht, handelt es sich um eine Zusammenfassung, in der die Anzahl der Feststellungen und eine Kategorisierung der Risiken beschrieben sind.
Es gibt aber ein unverbindliches "dekoratives Wandelement", was nach Zuteilung des Labels heruntergeladen und genutzt werden kann.
Jetzt zum unverbindlichen Beratungstermin
In einem unverbindlichen Erstgespräch erhalten Sie individuelle Beratung zu Ihren spezifischen Anforderungen rund um Informationssicherheit, Datenschutz und Business Continuity. Gemeinsam analysieren wir Ihre aktuellen Prozesse, identifizieren potenzielle Risikobereiche und erarbeiten Optimierungsmöglichkeiten für Ihr Unternehmen.