Der VDA ISA TISAX®: Alles Wissenswerte zum TISAX® Fragenkatalog

TISAX® Label, Assessment Level, Prüfziele und Reifegrade: Rund um das VDA Information Security Assessment zum Erhalt einer TISAX® Zertifizierung herrscht eine hohe Dichte an Fachbegriffen. Die Folge ist ein häufig hoher Beratungsbedarf bei den Verantwortlichen für Informationssicherheit auf Unternehmensseite. Genau hier knüpfen wir von DataGuard an: mit individueller Beratung zu TISAX®-relevanten Themen durch unsere Experten und mit dem folgenden Beitrag, der die wichtigsten Begriffe kompakt und verständlich erklärt.

Was ist der VDA ISA TISAX®?

TISAX® ist der Informationssicherheitsstandard des Verbandes der Automobilindustrie (VDA). Die meisten Unternehmen, die an der Wertschöpfungskette der Automobilindustrie beteiligt sind, erfüllen den TISAX® Standard. Er ist die branchenspezifische Voraussetzung für eine Marktteilnahme und orientiert sich inhaltlich an der internationalen Norm für Informationssicherheits-Managementsysteme, der ISO 27001. Um sicherzustellen, dass ein Unternehmen die Voraussetzungen erfüllt, hat der Arbeitskreis Informationssicherheit im VDA eine Art Prüfkatalog entwickelt: den VDA ISA. ISA steht für Information Security Assessment.

Ist der TISAX® Fragenkatalog also eher ein Anforderungskatalog?

Ja, im Grunde genommen ist das so. Wobei der TISAX® Prozess im Rahmen der initial vorgesehenen Selbsteinschätzung immer mit dem Ausfüllen des ISA-Dokuments beginnt. In diesem Dokument werden die Prüfziele und angestrebten TISAX® Label abgefragt. Zudem wird erhoben, ob ein Unternehmen die zugehörigen Anforderungen erfüllt – und wenn ja, welchen Reifegrad die umgesetzten Maßnahmen und Prozesse haben. Um dies zu ermitteln, sind Kontrollfragen ein fester Bestandteil des ISA Dokuments. Dieses Dokument dient später als Grundlage für die Arbeit des Auditors.

 

Welche Prüfziele und TISAX® Label gibt es?

Der TISAX® Fragenkatalog unterscheidet in Summe acht Prüfziele. Sie sind im Hinblick auf Art und Schutzbedürftigkeit der Informationen definiert, auf die ein Unternehmen Zugriff hat. Das Spektrum reicht von Informationen mit hohem bzw. sehr hohem Schutzbedarf über den Schutz von Prototypen bis hin zum Schutz personenbezogener Daten gemäß DSGVO.

Erfüllt ein Unternehmen ein Prüfziel, erhält es dafür das entsprechende TISAX® Label.

Beispiel: Ein Zulieferer, der auf Verlangen seines Geschäftspartners das TISAX® Label „Umgang mit Informationen mit hohem Schutzbedarf“ vorweisen muss, sucht sich das entsprechende Prüfziel aus und durchläuft für dieses den VDA ISA TISAX®. Werden die Anforderungen erfüllt, erhält das Unternehmen das gewünschte Label und kann es vorweisen.  

Können Unternehmen sich die TISAX® Prüfziele frei aussuchen?

Im Prinzip ja, zumindest wenn von Seiten der Geschäftspartner aus dem Automobilsektor keine Vorgaben gemacht werden. Dies ist in der Regel jedoch der Fall. Die Wahlfreiheit der Prüfziele ist also nur bedingt gegeben. Hinzu kommt, dass es Abhängigkeiten zwischen den Prüfzielen gibt. Wer beispielsweise das Prüfziel „Umgang mit Testfahrzeugen“ erfüllen will, muss mindestens auch das Prüfziel „Umgang mit Informationen mit hohem Schutzbedarf“ erfüllen. 

Sie sind sich unsicher, welche die richtigen Prüfziele für Ihr Unternehmen sind? Kein Problem! Gerne stehen wir Ihnen zur Seite und begleiten Sie während des gesamten Assessment-Prozesses. Vereinbaren Sie dazu einfach eine kostenlose Erstberatung. 

Kostenlose Erstberatung vereinbaren

Was sind die TISAX® Assessment Level?

Der TISAX® Fragenkatalog legt je nach Prüfziel verschiedene Schutzbedarfe fest – von normal über hoch bis sehr hoch. Als Gegenstück dazu gibt es für die Durchführung des TISAX®-Prozesses auch drei unterschiedliche Assessment-Level (AL): AL 1, AL 2 und AL 3. Abhängig vom erforderlichen Assessment Level sind vom Auditor unterschiedliche Prüfmethoden anzuwenden. Die Genauigkeit der Prüfung steigt mit der Höhe des Assesment Levels.

Beispiel: Bei AL 1 genügt die Selbsteinschätzung. Geprüft wird lediglich, ob diese vorliegt, nicht der Inhalt derselben. AL 1 ist daher nur für interne Audits geeignet. Ein TISAX® Label wird dafür nicht ausgestellt. Bei AL 2 unterzieht ein externer Auditor Ihre Selbsteinschätzung einer Plausibilitätsprüfung. Bei AL 3 findet durch den Auditor in jedem Fall auch eine Prüfung vor Ort statt.

Was sind die VDA ISA Kriterienkataloge?

Der VDA ISA arbeitet mit Anforderungs- und Kriterienkatalogen. Jeder dieser Kataloge macht vorgaben. Ihr Informationssicherheits-Managementsystem muss diese, abhängig vom gewählten Prüfziel, erfüllen.

Beispiel: Haben Sie das Prüfziel „Datenschutz“ gewählt, müssen Sie sowohl die Fragen des Kriterienkatalogs „Datenschutz“ als auch die des Kriterienkatalogs „Informationssicherheit“ abarbeiten und erfolgreich beantworten. Dies zeigt: Je nach Prüfziel können durchaus mehre Anforderungs- und Kriterienkataloge herangezogen werden.

Für die VDA ISA Selbsteinschätzung müssen Reifegrade angegeben werden. Wie funktioniert das?

Der TISAX® Fragenkatalog fragt bei den Kontrollfragen nicht nach „Ja“ oder „Nein“, sondern nach einem Reifegrad. Dieser individuell eingeschätzte Reifegrad wird dann mit dem für die jeweilige Frage definierten Zielreifegrad verglichen.

Beispiel: Eine der Kontrollfragen lautet „Inwieweit sind in Ihrem Unternehmen Richtlinien zur Informationssicherheit vorhanden?“. Die Zielreifegrad ist im Fragenkatalog mit „3“ angegeben. Das Ergebnis Ihrer Selbsteinschätzung sollte also mindestens „Reifegrad 3“ lauten. Alle Kontrollfragen des TISAX® Fragenkatalogs sind auf diese Weise zu beantworten.

Wichtig zu wissen: Wenn Ihr Unternehmen bei einer Frage mit dem Zielreifegrad 3 einen Reifegrad von 2 erreicht, können Sie die Differenz nicht ausgleichen, indem Sie bei einer anderen Frage ein oder zwei Punkte über dem Zielreifegrad liegen. Für die Endauswertung werden höhere Reifegrade beschnitten und auf den jeweiligen Zielreifegrad gekürzt.  

Wann gilt ein VDA ISA gemäß TISAX® Fragenkatalog als bestanden?

Wer anhand des TISAX® Fragenkatalogs die Selbsteinschätzung für das gewünschte Prüfziel durchgeführt hat, weiß danach, ob das eigene Unternehmen bereit für das TISAX® Audit ist und mit welchem TISAX® Label gerechnet werden darf. Nicht mehr, aber auch nicht weniger.  

Dabei gilt: Der vorgesehene, ideale Gesamt-Zielreifegrad für den Erhalt eines TISAX® Labels beträgt 3,0. Wenn Ihr individueller Gesamt-Reifegrad am Ende unter 3,0 liegt, haben Sie bei mindestens einer Frage nicht den Zielreifegrad erreicht. In diesem Fall wird der Auditor Sie wahrscheinlich auffordern, Ihr Informationssicherheits-Managementsystem entsprechend nachzubessern, bevor er das gewünschte TISAX® Label erteilt. Er kann das Label jedoch auch direkt erteilen, solange Ihr Gesamt-Reifegrad nicht unter 2,7 liegt.

Umgekehrt ist ein erreichter Gesamt-Reifegrad von 3,0 keine Garantie dafür, dass ein Auditor das TISAX® Label erteilt. Der Hintergrund: VDA ISA und der TISAX® Fragenkatalog berücksichtigen zahlreiche, für die Informationssicherheit auch noch relevante Aspekte wie beispielsweise die Unternehmensgröße und die Komplexität der Prozesse im Unternehmen nicht. Deshalb haben die Auditoren einen großen Ermessensspielraum.  

Fazit

Der VDA ISA gemäß TISAX® Fragenkatalog stellt, je nach Prüfziel, hohe Anforderungen an Ihr Managementsystem für Informationssicherheit und prüft deren Erfüllung systematisch ab.

Der Vorteil des geschilderten, sehr systematischen Vorgehens: Sie können Ihr Unternehmen mithilfe der öffentlich zugänglichen TISAX® Teilnehmerunterlagen und der Unterstützung eines erfahrenen Partners wie DataGuard umfassend auf den VDA ISA vorbereiten und Ihr ISMS in geeigneter Weise strukturieren. Überraschungen im laufenden Prüfverfahren sind dann nahezu ausgeschlossen.

Kostenlose Erstberatung vereinbaren

 

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren