Das passende Leistungspaket für Ihre Bedürfnisse

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über 2.000 zufriedene Kunden

Jedox  Logo Contact Demodesk Logo Contact Elevate Logo Contact Canon  Logo Contact CBTL Logo Contact Alasco  Logo Contact RightNow Logo Contact Veganz Logo Contact Escada Logo Contact First Group Logo Contact

Erhalten Sie Infos zu unseren Preisen & Services

Oder rufen Sie uns an: (089) 8967 551 000

Certified by Proven Experts

Der VDA ISA TISAX®: Alles Wissenswerte zum TISAX® Fragenkatalog

TISAX® Label, Assessment Level, Prüfziele und Reifegrade: Rund um das VDA Information Security Assessment zum Erhalt einer TISAX® Zertifizierung herrscht eine hohe Dichte an Fachbegriffen. Die Folge ist ein häufig hoher Beratungsbedarf bei den Verantwortlichen für Informationssicherheit auf Unternehmensseite. Genau hier knüpfen wir von DataGuard an: mit individueller Beratung durch unsere TISAX® Experten und mit dem folgenden Beitrag, der die wichtigsten Begriffe kompakt und verständlich erklärt.

Was ist der VDA ISA TISAX®?

TISAX® ist der Informationssicherheitsstandard des Verbandes der Automobilindustrie (VDA). Die meisten Unternehmen, die an der Wertschöpfungskette der Automobilindustrie beteiligt sind, erfüllen den TISAX® Standard. Er ist die branchenspezifische Voraussetzung für eine Marktteilnahme und orientiert sich inhaltlich an der internationalen Norm für Informationssicherheits-Managementsysteme, der ISO 27001. Um sicherzustellen, dass ein Unternehmen die Voraussetzungen erfüllt, hat der Arbeitskreis Informationssicherheit im VDA eine Art Prüfkatalog entwickelt: den VDA ISA. ISA steht für Information Security Assessment.

Ist der TISAX® Fragenkatalog also eher ein Anforderungskatalog?

Ja, im Grunde genommen ist das so. Wobei der TISAX® Prozess im Rahmen der initial vorgesehenen Selbsteinschätzung immer mit dem Ausfüllen des ISA-Dokuments beginnt. In diesem Dokument werden die Prüfziele und angestrebten TISAX® Label abgefragt. Zudem wird erhoben, ob ein Unternehmen die zugehörigen Anforderungen erfüllt – und wenn ja, welchen Reifegrad die umgesetzten Maßnahmen und Prozesse haben. Um dies zu ermitteln, sind Kontrollfragen ein fester Bestandteil des ISA Dokuments. Dieses Dokument dient später als Grundlage für die Arbeit des Auditors.

Welche Prüfziele und TISAX® Label gibt es?

Der TISAX® Fragenkatalog unterscheidet in Summe acht Prüfziele. Sie sind im Hinblick auf Art und Schutzbedürftigkeit der Informationen definiert, auf die ein Unternehmen Zugriff hat. Das Spektrum reicht von Informationen mit hohem bzw. sehr hohem Schutzbedarf über den Schutz von Prototypen bis hin zum Schutz personenbezogener Daten gemäß DSGVO.

Erfüllt ein Unternehmen ein Prüfziel, erhält es dafür das entsprechende TISAX® Label.

Beispiel: Ein Zulieferer, der auf Verlangen seines Geschäftspartners das TISAX® Label „Umgang mit Informationen mit hohem Schutzbedarf“ vorweisen muss, sucht sich das entsprechende Prüfziel aus und durchläuft für dieses den VDA ISA TISAX®. Werden die Anforderungen erfüllt, erhält das Unternehmen das gewünschte Label und kann es vorweisen.  

Können Unternehmen sich die TISAX® Prüfziele frei aussuchen?

Im Prinzip ja, zumindest wenn von Seiten der Geschäftspartner aus dem Automobilsektor keine Vorgaben gemacht werden. Dies ist in der Regel jedoch der Fall. Die Wahlfreiheit der Prüfziele ist also nur bedingt gegeben. Hinzu kommt, dass es Abhängigkeiten zwischen den Prüfzielen gibt. Wer beispielsweise das Prüfziel „Umgang mit Testfahrzeugen“ erfüllen will, muss mindestens auch das Prüfziel „Umgang mit Informationen mit hohem Schutzbedarf“ erfüllen. 

Sie sind sich unsicher, welche die richtigen Prüfziele für Ihr Unternehmen sind? Kein Problem! Gerne stehen wir Ihnen zur Seite und begleiten Sie während des gesamten Assessment-Prozesses. Vereinbaren Sie dazu einfach eine kostenlose Erstberatung. 

Kostenlose Erstberatung vereinbaren

Was sind die TISAX® Assessment Level?

Der TISAX® Fragenkatalog legt je nach Prüfziel verschiedene Schutzbedarfe fest – von normal über hoch bis sehr hoch. Als Gegenstück dazu gibt es für die Durchführung des TISAX®-Prozesses auch drei unterschiedliche Assessment-Level (AL): AL 1, AL 2 und AL 3. Abhängig vom erforderlichen Assessment Level sind vom Auditor unterschiedliche Prüfmethoden anzuwenden. Die Genauigkeit der Prüfung steigt mit der Höhe des Assesment Levels.

Beispiel: Bei AL 1 genügt die Selbsteinschätzung. Geprüft wird lediglich, ob diese vorliegt, nicht der Inhalt derselben. AL 1 ist daher nur für interne Audits geeignet. Ein TISAX® Label wird dafür nicht ausgestellt. Bei AL 2 unterzieht ein externer Auditor Ihre Selbsteinschätzung einer Plausibilitätsprüfung. Bei AL 3 findet durch den Auditor in jedem Fall auch eine Prüfung vor Ort statt.

Was sind die VDA ISA Kriterienkataloge?

Der VDA ISA arbeitet mit Anforderungs- und Kriterienkatalogen. Jeder dieser Kataloge macht vorgaben. Ihr Informationssicherheits-Managementsystem muss diese, abhängig vom gewählten Prüfziel, erfüllen.

Beispiel: Haben Sie das Prüfziel „Datenschutz“ gewählt, müssen Sie sowohl die Fragen des Kriterienkatalogs „Datenschutz“ als auch die des Kriterienkatalogs „Informationssicherheit“ abarbeiten und erfolgreich beantworten. Dies zeigt: Je nach Prüfziel können durchaus mehre Anforderungs- und Kriterienkataloge herangezogen werden.

Für die VDA ISA Selbsteinschätzung müssen Reifegrade angegeben werden. Wie funktioniert das?

Der TISAX® Fragenkatalog fragt bei den Kontrollfragen nicht nach „Ja“ oder „Nein“, sondern nach einem Reifegrad. Dieser individuell eingeschätzte Reifegrad wird dann mit dem für die jeweilige Frage definierten Zielreifegrad verglichen.

Beispiel: Eine der Kontrollfragen lautet „Inwieweit sind in Ihrem Unternehmen Richtlinien zur Informationssicherheit vorhanden?“. Die Zielreifegrad ist im Fragenkatalog mit „3“ angegeben. Das Ergebnis Ihrer Selbsteinschätzung sollte also mindestens „Reifegrad 3“ lauten. Alle Kontrollfragen des TISAX® Fragenkatalogs sind auf diese Weise zu beantworten.

Wichtig zu wissen: Wenn Ihr Unternehmen bei einer Frage mit dem Zielreifegrad 3 einen Reifegrad von 2 erreicht, können Sie die Differenz nicht ausgleichen, indem Sie bei einer anderen Frage ein oder zwei Punkte über dem Zielreifegrad liegen. Für die Endauswertung werden höhere Reifegrade beschnitten und auf den jeweiligen Zielreifegrad gekürzt.  

Wann gilt ein VDA ISA gemäß TISAX® Fragenkatalog als bestanden?

Wer anhand des TISAX® Fragenkatalogs die Selbsteinschätzung für das gewünschte Prüfziel durchgeführt hat, weiß danach, ob das eigene Unternehmen bereit für das TISAX® Audit ist und mit welchem TISAX® Label gerechnet werden darf. Nicht mehr, aber auch nicht weniger.  

Dabei gilt: Der vorgesehene, ideale Gesamt-Zielreifegrad für den Erhalt eines TISAX® Labels beträgt 3,0. Wenn Ihr individueller Gesamt-Reifegrad am Ende unter 3,0 liegt, haben Sie bei mindestens einer Frage nicht den Zielreifegrad erreicht. In diesem Fall wird der Auditor Sie wahrscheinlich auffordern, Ihr Informationssicherheits-Managementsystem entsprechend nachzubessern, bevor er das gewünschte TISAX® Label erteilt. Er kann das Label jedoch auch direkt erteilen, solange Ihr Gesamt-Reifegrad nicht unter 2,7 liegt.

Umgekehrt ist ein erreichter Gesamt-Reifegrad von 3,0 keine Garantie dafür, dass ein Auditor das TISAX® Label erteilt. Der Hintergrund: VDA ISA und der TISAX® Fragenkatalog berücksichtigen zahlreiche, für die Informationssicherheit auch noch relevante Aspekte wie beispielsweise die Unternehmensgröße und die Komplexität der Prozesse im Unternehmen nicht. Deshalb haben die Auditoren einen großen Ermessensspielraum.

 

Fazit

Der VDA ISA gemäß TISAX® Fragenkatalog stellt, je nach Prüfziel, hohe Anforderungen an Ihr Managementsystem für Informationssicherheit und prüft deren Erfüllung systematisch ab.

Der Vorteil des geschilderten, sehr systematischen Vorgehens: Sie können Ihr Unternehmen mithilfe der öffentlich zugänglichen TISAX® Teilnehmerunterlagen und der Unterstützung eines erfahrenen Partners wie DataGuard umfassend auf den VDA ISA vorbereiten und Ihr ISMS in geeigneter Weise strukturieren. Überraschungen im laufenden Prüfverfahren sind dann nahezu ausgeschlossen.

Kostenlose Erstberatung vereinbaren

 

whitepaper-download whitepaper-download

KOSTENLOSE CHECKLISTE

TISAX® ASSESSMENT

CHECKLISTE HERUNTERLADEN

Über den Autor