TISAX® Label, Assessment Level, Prüfziele und Reifegrade: Rund um das VDA Information Security Assessment zum Erhalt einer TISAX® Zertifizierung herrscht eine hohe Dichte an Fachbegriffen. Die Folge ist ein häufig hoher Beratungsbedarf bei den Verantwortlichen für Informationssicherheit auf Unternehmensseite. Genau hier knüpfen wir von DataGuard an: mit individueller Beratung zu TISAX®-relevanten Themen durch unsere Experten und mit dem folgenden Beitrag, der die wichtigsten Begriffe kompakt und verständlich erklärt.
In diesem Beitrag
- Was ist der VDA ISA TISAX®?
- Ist der TISAX® Fragenkatalog also eher ein Anforderungskatalog?
- Welche Prüfziele und TISAX® Label gibt es?
- Können Unternehmen sich die TISAX® Prüfziele frei aussuchen?
- Was sind die TISAX® Assessment Level?
- Was sind die VDA ISA Kriterienkataloge?
- Wie funktioniert die Selbsteinschätzung des Reifegrades nach VDA ISA?
- Wann gilt ein VDA ISA gemäß TISAX® Fragenkatalog als bestanden?
- Fazit
Was ist der VDA ISA TISAX®?
TISAX® ist der Informationssicherheitsstandard des Verbandes der Automobilindustrie (VDA). Die meisten Unternehmen, die an der Wertschöpfungskette der Automobilindustrie beteiligt sind, erfüllen den TISAX® Standard. Er ist die branchenspezifische Voraussetzung für eine Marktteilnahme und orientiert sich inhaltlich an der internationalen Norm für Informationssicherheits-Managementsysteme, der ISO 27001. Um sicherzustellen, dass ein Unternehmen die Voraussetzungen erfüllt, hat der Arbeitskreis Informationssicherheit im VDA eine Art Prüfkatalog entwickelt: den VDA ISA. ISA steht für Information Security Assessment.
Ist der TISAX® Fragenkatalog also eher ein Anforderungskatalog?
Ja, im Grunde genommen ist das so. Wobei der TISAX® Prozess im Rahmen der initial vorgesehenen Selbsteinschätzung immer mit dem Ausfüllen des ISA-Dokuments beginnt. In diesem Dokument werden die Prüfziele und angestrebten TISAX® Label abgefragt. Zudem wird erhoben, ob ein Unternehmen die zugehörigen Anforderungen erfüllt – und wenn ja, welchen Reifegrad die umgesetzten Maßnahmen und Prozesse haben. Um dies zu ermitteln, sind Kontrollfragen ein fester Bestandteil des ISA Dokuments. Dieses Dokument dient später als Grundlage für die Arbeit des Auditors.
Welche Prüfziele und TISAX® Label gibt es?
Der TISAX® Fragenkatalog unterscheidet in Summe acht Prüfziele. Sie sind im Hinblick auf Art und Schutzbedürftigkeit der Informationen definiert, auf die ein Unternehmen Zugriff hat. Das Spektrum reicht von Informationen mit hohem bzw. sehr hohem Schutzbedarf über den Schutz von Prototypen bis hin zum Schutz personenbezogener Daten gemäß DSGVO.
Erfüllt ein Unternehmen ein Prüfziel, erhält es dafür das entsprechende TISAX® Label.
Beispiel: Ein Zulieferer, der auf Verlangen seines Geschäftspartners das TISAX® Label „Umgang mit Informationen mit hohem Schutzbedarf“ vorweisen muss, sucht sich das entsprechende Prüfziel aus und durchläuft für dieses den VDA ISA TISAX®. Werden die Anforderungen erfüllt, erhält das Unternehmen das gewünschte Label und kann es vorweisen.
Können Unternehmen sich die TISAX® Prüfziele frei aussuchen?
Im Prinzip ja, zumindest wenn von Seiten der Geschäftspartner aus dem Automobilsektor keine Vorgaben gemacht werden. Dies ist in der Regel jedoch der Fall. Die Wahlfreiheit der Prüfziele ist also nur bedingt gegeben. Hinzu kommt, dass es Abhängigkeiten zwischen den Prüfzielen gibt. Wer beispielsweise das Prüfziel „Umgang mit Testfahrzeugen“ erfüllen will, muss mindestens auch das Prüfziel „Umgang mit Informationen mit hohem Schutzbedarf“ erfüllen.
Sie sind sich unsicher, welche die richtigen Prüfziele für Ihr Unternehmen sind? Kein Problem! Gerne stehen wir Ihnen zur Seite und begleiten Sie während des gesamten Assessment-Prozesses. Vereinbaren Sie dazu einfach eine kostenlose Erstberatung.
Was sind die TISAX® Assessment Level?
Der TISAX® Fragenkatalog legt je nach Prüfziel verschiedene Schutzbedarfe fest – von normal über hoch bis sehr hoch. Als Gegenstück dazu gibt es für die Durchführung des TISAX®-Prozesses auch drei unterschiedliche Assessment-Level (AL): AL 1, AL 2 und AL 3. Abhängig vom erforderlichen Assessment Level sind vom Auditor unterschiedliche Prüfmethoden anzuwenden. Die Genauigkeit der Prüfung steigt mit der Höhe des Assesment Levels.
Beispiel: Bei AL 1 genügt die Selbsteinschätzung. Geprüft wird lediglich, ob diese vorliegt, nicht der Inhalt derselben. AL 1 ist daher nur für interne Audits geeignet. Ein TISAX® Label wird dafür nicht ausgestellt. Bei AL 2 unterzieht ein externer Auditor Ihre Selbsteinschätzung einer Plausibilitätsprüfung. Bei AL 3 findet durch den Auditor in jedem Fall auch eine Prüfung vor Ort statt.
Was sind die VDA ISA Kriterienkataloge?
Der VDA ISA arbeitet mit Anforderungs- und Kriterienkatalogen. Jeder dieser Kataloge macht vorgaben. Ihr Informationssicherheits-Managementsystem muss diese, abhängig vom gewählten Prüfziel, erfüllen.
Beispiel: Haben Sie das Prüfziel „Datenschutz“ gewählt, müssen Sie sowohl die Fragen des Kriterienkatalogs „Datenschutz“ als auch die des Kriterienkatalogs „Informationssicherheit“ abarbeiten und erfolgreich beantworten. Dies zeigt: Je nach Prüfziel können durchaus mehre Anforderungs- und Kriterienkataloge herangezogen werden.
Für die VDA ISA Selbsteinschätzung müssen Reifegrade angegeben werden. Wie funktioniert das?
Der TISAX® Fragenkatalog fragt bei den Kontrollfragen nicht nach „Ja“ oder „Nein“, sondern nach einem Reifegrad. Dieser individuell eingeschätzte Reifegrad wird dann mit dem für die jeweilige Frage definierten Zielreifegrad verglichen.
Beispiel: Eine der Kontrollfragen lautet „Inwieweit sind in Ihrem Unternehmen Richtlinien zur Informationssicherheit vorhanden?“. Die Zielreifegrad ist im Fragenkatalog mit „3“ angegeben. Das Ergebnis Ihrer Selbsteinschätzung sollte also mindestens „Reifegrad 3“ lauten. Alle Kontrollfragen des TISAX® Fragenkatalogs sind auf diese Weise zu beantworten.
Wichtig zu wissen: Wenn Ihr Unternehmen bei einer Frage mit dem Zielreifegrad 3 einen Reifegrad von 2 erreicht, können Sie die Differenz nicht ausgleichen, indem Sie bei einer anderen Frage ein oder zwei Punkte über dem Zielreifegrad liegen. Für die Endauswertung werden höhere Reifegrade beschnitten und auf den jeweiligen Zielreifegrad gekürzt.
Wann gilt ein VDA ISA gemäß TISAX® Fragenkatalog als bestanden?
Wer anhand des TISAX® Fragenkatalogs die Selbsteinschätzung für das gewünschte Prüfziel durchgeführt hat, weiß danach, ob das eigene Unternehmen bereit für das TISAX® Audit ist und mit welchem TISAX® Label gerechnet werden darf. Nicht mehr, aber auch nicht weniger.
Dabei gilt: Der vorgesehene, ideale Gesamt-Zielreifegrad für den Erhalt eines TISAX® Labels beträgt 3,0. Wenn Ihr individueller Gesamt-Reifegrad am Ende unter 3,0 liegt, haben Sie bei mindestens einer Frage nicht den Zielreifegrad erreicht. In diesem Fall wird der Auditor Sie wahrscheinlich auffordern, Ihr Informationssicherheits-Managementsystem entsprechend nachzubessern, bevor er das gewünschte TISAX® Label erteilt. Er kann das Label jedoch auch direkt erteilen, solange Ihr Gesamt-Reifegrad nicht unter 2,7 liegt.
Umgekehrt ist ein erreichter Gesamt-Reifegrad von 3,0 keine Garantie dafür, dass ein Auditor das TISAX® Label erteilt. Der Hintergrund: VDA ISA und der TISAX® Fragenkatalog berücksichtigen zahlreiche, für die Informationssicherheit auch noch relevante Aspekte wie beispielsweise die Unternehmensgröße und die Komplexität der Prozesse im Unternehmen nicht. Deshalb haben die Auditoren einen großen Ermessensspielraum.
Fazit
Der VDA ISA gemäß TISAX® Fragenkatalog stellt, je nach Prüfziel, hohe Anforderungen an Ihr Managementsystem für Informationssicherheit und prüft deren Erfüllung systematisch ab.
Der Vorteil des geschilderten, sehr systematischen Vorgehens: Sie können Ihr Unternehmen mithilfe der öffentlich zugänglichen TISAX® Teilnehmerunterlagen und der Unterstützung eines erfahrenen Partners wie DataGuard umfassend auf den VDA ISA vorbereiten und Ihr ISMS in geeigneter Weise strukturieren. Überraschungen im laufenden Prüfverfahren sind dann nahezu ausgeschlossen.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.