Checkliste zur Vorbereitung auf das Assessment nach TISAX^®

Warum TISAX®?

Automobilhersteller (Original Equipment Manufacturers, OEMs) und ihre Zulieferer bilden eine der komplexesten Lieferketten der Welt. In der Vergangenheit haben die strikten Anforderungen dieser Branche dazu geführt, dass viele Hersteller die Audits ihrer Lieferanten einzeln und unabhängig voneinander durchgeführt haben. Dies hatte zur Folge, dass Lieferanten immer wieder mehrere Prüfungen durch mehrere Kunden durchlaufen mussten, was mit viel Arbeits-, Zeit- und Geldaufwand verbunden war.

Der Trusted Information Security Assessment Exchange (TISAX®) wurde entwickelt, um Mehrfachprüfungen für Unternehmen zu vermeiden und die Effizienz in der Branche zu steigern. Durch die Schaffung eines gemeinsam anerkannten Standards kann TISAX® unternehmensübergreifend und sogar in anderen Branchen zum Einsatz kommen, ohne dass zusätzliche Prüfungen erforderlich sind. Eine Zertifizierung nach TISAX® ermöglicht ein einheitliches Maß an Informationssicherheit, das erkennbar und nachvollziehbar für alle ist.

Welche Personen aus Ihrer Organisation müssen miteinbezogen werden?

Obwohl dieses Thema oft dem IT-Team zugeschoben wird, betrifft TISAX® alle Geschäftsprozesse. Zum Beispiel werden externe Auditoren prüfen, welche Sicherheitsmaßnahmen Sie für das Offboarding und das Onboarding neuer Mitarbeiter ergriffen haben. Die damit verbundenen Aufgaben (Übergabe von Schlüsseln oder Schlüsselkarten, Unterzeichnung von Verträgen und Vereinbarungen, Anlegen neuer E-Mail-Konten) werden gewöhnlich auf mehrere Abteilungen aufgeteilt. Damit sind alle Abteilungen, die eine Rolle in einem Ihrer Kernprozesse spielen, in irgendeiner Form involviert: Personal-, Rechts- und IT-Abteilung, Büromanager, Führungskräfte und mehr.

Wie lange sollte ich mich auf das Assessment vorbereiten?

Die Umsetzung eines starken Informationssicherheits-Managementsystems (ISMS) nimmt der Erfahrung nach durchschnittlich sechs Monate in Anspruch. Unter Umständen benötigen Sie etwas weniger Zeit, insbesondere wenn Ihnen ein Experte zur Seite steht, der auf die Vorbereitung von Assessment nach TISAX® spezialisiert ist.

Die Dauer der eigentlichen Prüfung durch den externen Auditor hängt von der Größe Ihres Unternehmens und der erforderlichen Reisetätigkeit zwischen Ihren Standorten ab. Bei einem KMU mit etwa 50 Mitarbeitern nimmt die Durchführung des Assessments vor Ort etwa zwei Tage in Anspruch.

Was passiert BEIM ASSESSMENT?

Diese Prüfung kann nur von Zertifizierungsgesellschaften durchgeführt werden, die von der ENX Association, die das TISAX® -Programm betreibt, für TISAX® akkreditiert wurden. Der Auditor schaut unter die Haube Ihres Informationssicherheits-Managementsystems (ISMS), um Ihre Prozesse zu bewerten. Zum Beispiel nimmt der Auditor Ihren Ansatz zum Datenschutz und die Form der Verarbeitung personenbezogener und vertraulicher Daten in Ihrer Organisation genau unter die Lupe. Auditoren untersuchen auch die physische Sicherheit Ihrer Geschäftsräume und prüfen, welche Schutzmaßnahmen Sie getroffen haben (z. B. im Liefer- und Versandbereich oder in den IT-Räumen).

Der Prozess besteht aus drei Prüfungen:

• Erstprüfung
  
  
• Maßnahmenplanprüfung
  
  
• Follow-up-Prüfung

Die zweite und dritte Prüfung können oft mehrfach stattfinden. Diese werden so lange wiederholt, bis Ihre Organisation alle Lücken geschlossen hat – und zwar innerhalb eines Zeitraums von maximal neun Monaten. Werden neun Monate überschritten, muss die Erstprüfung erneut absolviert werden.

Welches Ergebnis sollte ich anstreben?

• Konform: Das bedeutet, dass Sie alle Anforderungen erfüllt haben. Dies sollte Ihr vorrangiges Ziel sein.
  
  
• Nebenabweichend: Das bedeutet, dass Sie mindestens eine Nebenabweichung haben. Mit diesem Ergebnis können Sie temporäre Label nach TISAX® erhalten, bis die Abweichungen beseitigt sind.
  
  
• Hauptabweichend: Das bedeutet, dass Sie mindestens eine Hauptabweichung haben. Mit diesem Ergebnis erhalten Sie keine Labels, bis die Abweichungen beseitigt sind.

Das Bewertungsergebnis ist drei Jahre gültig. Danach muss Ihr Unternehmen das Assessment wiederholen.

Teil 1: Ihr ISMS

Definieren und dokumentieren Sie den Anwendungsbereich Ihres ISMS

Der Anwendungsbereich legt Ihre Grenzen fest, für die Ihre ISMS-Implementierung gelten wird. Der Anwendungsbereich wird bei TISAX® alle Systeme, Prozesse, physischen Standorte, Dienstleistungen, Produkte und Abteilungen Ihrer Organisation umfassen, die geschützt werden müssen.

Erstellen Sie eine Liste mit allen von Ihnen geschützten Informationen

Hierzu gehören beispielsweise Informationen, die in Cloud-Diensten (Office, G-Suite) oder in Tools wie Salesforce, Pipedrive, Workday, Cognos und Slack gespeichert werden. Darunter fallen auch Prototyping-Tools wie Figma und Miro oder andere cloudbasierte Tools oder Plattformen, die Ihr Team verwendet. Außerdem sollten u. a. Folgende Informationen enthalten sein: Informationen auf Servern, Informationen, die bei Subunternehmern/Lieferanten liegen, oder Informationen, die Sie von Kunden erhalten haben.

Definieren und dokumentieren Sie Ihre Informationssicherheitsziele

Dazu zählen alle Möglichkeiten, wie Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensinformationen sicherstellen wollen.

Definieren Sie Grundsätze für den sicheren Betrieb Ihrer Systeme

Ihre Grundsätze sollten sicherstellen, dass Ihre Informationen vor unbefugter Weitergabe und unbefugter oder versehentlicher Änderung (z. B. Löschung oder Bearbeitung der Daten) geschützt sind. Alle Informationen sollten für berechtigte Nutzer leicht zugänglich sein.

TEIL 2: ihr Team

Legen Sie Rollen und Verantwortlichkeiten fest

Benennen Sie die verantwortlichen Mitglieder Ihres Teams, die bei der Vorbereitung auf die Bewertung helfen. Wie bereits erwähnt, sollten dies nicht nur Mitarbeiter der IT-Abteilung, sondern aus verschiedenen Abteilungen sein.

Definieren und implementieren Sie eine Methode zur Schulung Ihrer Mitarbeiter

Es sollten regelmäßig Schulungen stattfinden, um sicherzustellen, dass alle Mitarbeiter auf dem Laufenden sind, was Informationssicherheitsthemen und deren Einfluss auf ihre tägliche Arbeit angeht.

Erarbeiten Sie eine Richtlinie für Zugriffskontrollen

Sie müssen Regeln und Richtlinien definieren, nach denen die Art des Zugriffs auf Ihre Informationen gewährt, kontrolliert und überwacht wird.

TEIL 3: Risikobewertung und -behandlung

Definieren Sie eine Risikobewertungsmethodik

Diese sollte natürliche und physikalische Risiken, Rechtsrisiken, Vertragsrisiken, Compliance-Risiken und finanzielle Risiken umfassen.

Erarbeiten Sie einen Risikobehandlungsplan und dokumentieren Sie die Ergebnisse

Ihr Plan sollte aufzeigen, welche möglichen Risiken auftreten können und wie auf diese reagiert wird. Zum Beispiel, was passieren würde, wenn Ihre Server abstürzen oder ein wichtiger Cloud-Dienst nicht verfügbar ist.

Erstellen Sie einen Risikobewertungsbericht

Dieser Bericht ist eine detaillierte Zusammenfassung aller potenziellen Bedrohungen für Ihre Organisation. Für jedes Risiko sind die Eintrittswahrscheinlichkeit, die resultierende Auswirkung und die zur Verhinderung erforderlichen Sicherheitskontrollen und/oder -maßnahmen zu bestimmen.

TEIL 4: Kunden, Lieferanten und Partner

Erarbeiten Sie eine Richtlinie für die Lieferanten-Compliance

Dieses Dokument ist entscheidend, um die Anforderungen, Erwartungen und Sanktionen Ihres Unternehmens in Bezug auf die Zusammenarbeit mit Lieferanten und Partnern zu klären (z. B. Dienstleistungsstandards, Lieferungen, Produktbedingungen). Nehmen Sie Klauseln für Ihre wichtigsten Belange auf (z. B. wie Informationen über vertrauliche Prototypen weitergegeben und verarbeitet werden).

Dokumentieren Sie, wie Sie die Daten Ihrer Kunden schützen

Verarbeiten Sie personenbezogene oder sensible Daten für Ihre Kunden? Wenn dies der Fall ist, werden die Auditoren prüfen, ob Sie die notwendigen Maßnahmen zum Schutz dieser Daten ergriffen haben.

Stellen Sie sicher, dass alle gesetzlichen, behördlichen und vertraglichen Anforderungen aufgezeichnet und erfüllt werden

Definieren Sie eine klare Methode zur Dokumentation von Anforderungen für jede Geschäftsbeziehung.

TEIL 5: Test und Beurteilung

Erarbeiten Sie eine Methode zur Überwachung und Messung Ihres ISMS

Diese lässt sich am besten bestimmen, indem Sie beurteilen, wie detailliert Ihr ISMS ist und wie reibungslos es läuft. Zum Beispiel Ihr Fortschritt bei der Identifikation, Beurteilung und Behandlung von Risiken, der Stand Ihrer Dokumentation, regelmäßige Managementbewertungen und -analysen usw. Ein Auditor wird prüfen, ob das ISMS in der Praxis funktioniert.

Beurteilen Sie die Ergebnisse Ihres Überwachungs- und Messverfahrens

Welche Vorfälle sind aufgetreten und wie viele? Welche Vorfälle wurden verhindert? Wurde jeder Mitarbeiter effektiv geschult? Wird jedes zu Beginn festgelegte Ziel erreicht?

Dokumentieren Sie die Korrekturmaßnahmen, die Sie auf Grundlage Ihrer Erkenntnisse ergriffen haben

Dies kann alles sein, was Sie tun, um Bedrohungen zu vermeiden oder zu neutralisieren. Zum Beispiel die Durchführung baulicher Maßnahmen zum Zutrittsschutz oder das Verlagern Ihrer Server.

Führen Sie eine TISAX® -Selbsteinschätzung durch

Um bereit für ein Assessment nach TISAX® zu sein, müssen Sie sicherstellen, dass Ihr ISMS stabil und wirksam ist. Um herauszufinden, ob es dem erwarteten Niveau entspricht, sollten Sie eine Selbsteinschätzung auf Basis des ISA durchführen.

Wenn Sie weitere Fragen haben stehen wir Ihnen gerne zur Verfügung! Ein erstes Gespräch ist bei uns immer kostenlos.