Checklists

Checkliste zur Vorbereitung auf das Assessment nach TISAX®

Verlieren Sie keine Zeit mehr und gehen das Assessment nach TISAX® auf eine pragmatische Weise an!

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Finden Sie Antworten auf diese Fragen:

  • Welche Personen aus Ihrer Organisation müssen einbezogen werden?
  • Wie lange dauert ein Assessment nach TISAX®?
  • Welches Ergebnis sollte angestrebt werden?
  • Und: Eine Checkliste, die Ihnen hilft, sich gut auf Ihr Assessment nach TISAX® vorzubereiten!
TISAX® Checkliste für ein erfolgreiches Assessment TISAX® Checkliste für ein erfolgreiches Assessment TISAX® Checkliste für ein erfolgreiches Assessment

Warum TISAX®?

Automobilhersteller (Original Equipment Manufacturers, OEMs) und ihre Zulieferer bilden eine der komplexesten Lieferketten der Welt. In der Vergangenheit haben die strikten Anforderungen dieser Branche dazu geführt, dass viele Hersteller die Audits ihrer Lieferanten einzeln und unabhängig voneinander durchgeführt haben. Dies hatte zur Folge, dass Lieferanten immer wieder mehrere Prüfungen durch mehrere Kunden durchlaufen mussten, was mit viel Arbeits-, Zeit- und Geldaufwand verbunden war.

Der Trusted Information Security Assessment Exchange (TISAX®) wurde entwickelt, um Mehrfachprüfungen für Unternehmen zu vermeiden und die Effizienz in der Branche zu steigern. Durch die Schaffung eines gemeinsam anerkannten Standards kann TISAX® unternehmensübergreifend und sogar in anderen Branchen zum Einsatz kommen, ohne dass zusätzliche Prüfungen erforderlich sind. Eine Zertifizierung nach TISAX® ermöglicht ein einheitliches Maß an Informationssicherheit, das erkennbar und nachvollziehbar für alle ist.

 

Welche Personen aus Ihrer Organisation müssen miteinbezogen werden?

Obwohl dieses Thema oft dem IT-Team zugeschoben wird, betrifft TISAX® alle Geschäftsprozesse. Zum Beispiel werden externe Auditoren prüfen, welche Sicherheitsmaßnahmen Sie für das Offboarding und das Onboarding neuer Mitarbeiter ergriffen haben. Die damit verbundenen Aufgaben (Übergabe von Schlüsseln oder Schlüsselkarten, Unterzeichnung von Verträgen und Vereinbarungen, Anlegen neuer E-Mail-Konten) werden gewöhnlich auf mehrere Abteilungen aufgeteilt. Damit sind alle Abteilungen, die eine Rolle in einem Ihrer Kernprozesse spielen, in irgendeiner Form involviert: Personal-, Rechts- und IT-Abteilung, Büromanager, Führungskräfte und mehr.

 

Wie lange sollte ich mich auf das Assessment vorbereiten?

Die Umsetzung eines starken Informationssicherheits-Managementsystems (ISMS) nimmt der Erfahrung nach durchschnittlich sechs Monate in Anspruch. Unter Umständen benötigen Sie etwas weniger Zeit, insbesondere wenn Ihnen ein Experte zur Seite steht, der auf die Vorbereitung von Assessment nach TISAX® spezialisiert ist.

Die Dauer der eigentlichen Prüfung durch den externen Auditor hängt von der Größe Ihres Unternehmens und der erforderlichen Reisetätigkeit zwischen Ihren Standorten ab. Bei einem KMU mit etwa 50 Mitarbeitern nimmt die Durchführung des Assessments vor Ort etwa zwei Tage in Anspruch.

 

Was passiert BEIM ASSESSMENT?

Diese Prüfung kann nur von Zertifizierungsgesellschaften durchgeführt werden, die von der ENX Association, die das TISAX® -Programm betreibt, für TISAX® akkreditiert wurden. Der Auditor schaut unter die Haube Ihres Informationssicherheits-Managementsystems (ISMS), um Ihre Prozesse zu bewerten. Zum Beispiel nimmt der Auditor Ihren Ansatz zum Datenschutz und die Form der Verarbeitung personenbezogener und vertraulicher Daten in Ihrer Organisation genau unter die Lupe. Auditoren untersuchen auch die physische Sicherheit Ihrer Geschäftsräume und prüfen, welche Schutzmaßnahmen Sie getroffen haben (z. B. im Liefer- und Versandbereich oder in den IT-Räumen).

Der Prozess besteht aus drei Prüfungen:

  • Erstprüfung

  • Maßnahmenplanprüfung

  • Follow-up-Prüfung

Die zweite und dritte Prüfung können oft mehrfach stattfinden. Diese werden so lange wiederholt, bis Ihre Organisation alle Lücken geschlossen hat – und zwar innerhalb eines Zeitraums von maximal neun Monaten. Werden neun Monate überschritten, muss die Erstprüfung erneut absolviert werden.

Welches Ergebnis sollte ich anstreben?

  • Konform: Das bedeutet, dass Sie alle Anforderungen erfüllt haben. Dies sollte Ihr vorrangiges Ziel sein.

  • Nebenabweichend: Das bedeutet, dass Sie mindestens eine Nebenabweichung haben. Mit diesem Ergebnis können Sie temporäre Label nach TISAX® erhalten, bis die Abweichungen beseitigt sind.

  • Hauptabweichend: Das bedeutet, dass Sie mindestens eine Hauptabweichung haben. Mit diesem Ergebnis erhalten Sie keine Labels, bis die Abweichungen beseitigt sind.

Das Bewertungsergebnis ist drei Jahre gültig. Danach muss Ihr Unternehmen das Assessment wiederholen.

Blitzschnell zur Zertifizierung nach TISAX®



Reduzieren Sie die Vorbereitungszeit bei Re-Audits bis zu um bis zu 30% 

Sparen Sie bis zu 75% des manuellen Arbeitsaufwandes 

Demo buchen
Dataguard TISAX Certificate

Teil 1: Ihr ISMS

Definieren und dokumentieren Sie den Anwendungsbereich Ihres ISMS

Der Anwendungsbereich legt Ihre Grenzen fest, für die Ihre ISMS-Implementierung gelten wird. Der Anwendungsbereich wird bei TISAX® alle Systeme, Prozesse, physischen Standorte, Dienstleistungen, Produkte und Abteilungen Ihrer Organisation umfassen, die geschützt werden müssen.

Erstellen Sie eine Liste mit allen von Ihnen geschützten Informationen

Hierzu gehören beispielsweise Informationen, die in Cloud-Diensten (Office, G-Suite) oder in Tools wie Salesforce, Pipedrive, Workday, Cognos und Slack gespeichert werden. Darunter fallen auch Prototyping-Tools wie Figma und Miro oder andere cloudbasierte Tools oder Plattformen, die Ihr Team verwendet. Außerdem sollten u. a. Folgende Informationen enthalten sein: Informationen auf Servern, Informationen, die bei Subunternehmern/Lieferanten liegen, oder Informationen, die Sie von Kunden erhalten haben.

Definieren und dokumentieren Sie Ihre Informationssicherheitsziele

Dazu zählen alle Möglichkeiten, wie Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensinformationen sicherstellen wollen.

Definieren Sie Grundsätze für den sicheren Betrieb Ihrer Systeme

Ihre Grundsätze sollten sicherstellen, dass Ihre Informationen vor unbefugter Weitergabe und unbefugter oder versehentlicher Änderung (z. B. Löschung oder Bearbeitung der Daten) geschützt sind. Alle Informationen sollten für berechtigte Nutzer leicht zugänglich sein.

 

TEIL 2: ihr Team

Legen Sie Rollen und Verantwortlichkeiten fest

Benennen Sie die verantwortlichen Mitglieder Ihres Teams, die bei der Vorbereitung auf die Bewertung helfen. Wie bereits erwähnt, sollten dies nicht nur Mitarbeiter der IT-Abteilung, sondern aus verschiedenen Abteilungen sein.

Definieren und implementieren Sie eine Methode zur Schulung Ihrer Mitarbeiter

Es sollten regelmäßig Schulungen stattfinden, um sicherzustellen, dass alle Mitarbeiter auf dem Laufenden sind, was Informationssicherheitsthemen und deren Einfluss auf ihre tägliche Arbeit angeht.

Erarbeiten Sie eine Richtlinie für Zugriffskontrollen

Sie müssen Regeln und Richtlinien definieren, nach denen die Art des Zugriffs auf Ihre Informationen gewährt, kontrolliert und überwacht wird.

 

TEIL 3: Risikobewertung und -behandlung

Definieren Sie eine Risikobewertungsmethodik

Diese sollte natürliche und physikalische Risiken, Rechtsrisiken, Vertragsrisiken, Compliance-Risiken und finanzielle Risiken umfassen.

Erarbeiten Sie einen Risikobehandlungsplan und dokumentieren Sie die Ergebnisse

Ihr Plan sollte aufzeigen, welche möglichen Risiken auftreten können und wie auf diese reagiert wird. Zum Beispiel, was passieren würde, wenn Ihre Server abstürzen oder ein wichtiger Cloud-Dienst nicht verfügbar ist.

Erstellen Sie einen Risikobewertungsbericht

Dieser Bericht ist eine detaillierte Zusammenfassung aller potenziellen Bedrohungen für Ihre Organisation. Für jedes Risiko sind die Eintrittswahrscheinlichkeit, die resultierende Auswirkung und die zur Verhinderung erforderlichen Sicherheitskontrollen und/oder -maßnahmen zu bestimmen.

newsletter-image-cta-700

TEIL 4: Kunden, Lieferanten und Partner

Erarbeiten Sie eine Richtlinie für die Lieferanten-Compliance

Dieses Dokument ist entscheidend, um die Anforderungen, Erwartungen und Sanktionen Ihres Unternehmens in Bezug auf die Zusammenarbeit mit Lieferanten und Partnern zu klären (z. B. Dienstleistungsstandards, Lieferungen, Produktbedingungen). Nehmen Sie Klauseln für Ihre wichtigsten Belange auf (z. B. wie Informationen über vertrauliche Prototypen weitergegeben und verarbeitet werden).

Dokumentieren Sie, wie Sie die Daten Ihrer Kunden schützen

Verarbeiten Sie personenbezogene oder sensible Daten für Ihre Kunden? Wenn dies der Fall ist, werden die Auditoren prüfen, ob Sie die notwendigen Maßnahmen zum Schutz dieser Daten ergriffen haben.

Stellen Sie sicher, dass alle gesetzlichen, behördlichen und vertraglichen Anforderungen aufgezeichnet und erfüllt werden

Definieren Sie eine klare Methode zur Dokumentation von Anforderungen für jede Geschäftsbeziehung.

 

TEIL 5: Test und Beurteilung

Erarbeiten Sie eine Methode zur Überwachung und Messung Ihres ISMS

Diese lässt sich am besten bestimmen, indem Sie beurteilen, wie detailliert Ihr ISMS ist und wie reibungslos es läuft. Zum Beispiel Ihr Fortschritt bei der Identifikation, Beurteilung und Behandlung von Risiken, der Stand Ihrer Dokumentation, regelmäßige Managementbewertungen und -analysen usw. Ein Auditor wird prüfen, ob das ISMS in der Praxis funktioniert.

Beurteilen Sie die Ergebnisse Ihres Überwachungs- und Messverfahrens

Welche Vorfälle sind aufgetreten und wie viele? Welche Vorfälle wurden verhindert? Wurde jeder Mitarbeiter effektiv geschult? Wird jedes zu Beginn festgelegte Ziel erreicht?

Dokumentieren Sie die Korrekturmaßnahmen, die Sie auf Grundlage Ihrer Erkenntnisse ergriffen haben

Dies kann alles sein, was Sie tun, um Bedrohungen zu vermeiden oder zu neutralisieren. Zum Beispiel die Durchführung baulicher Maßnahmen zum Zutrittsschutz oder das Verlagern Ihrer Server.

Führen Sie eine TISAX® -Selbsteinschätzung durch

Um bereit für ein Assessment nach TISAX® zu sein, müssen Sie sicherstellen, dass Ihr ISMS stabil und wirksam ist. Um herauszufinden, ob es dem erwarteten Niveau entspricht, sollten Sie eine Selbsteinschätzung auf Basis des ISA durchführen.

 

Wenn Sie weitere Fragen haben stehen wir Ihnen gerne zur Verfügung! Ein erstes Gespräch ist bei uns immer kostenlos.

Sprechen Sie uns an

 

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.

 

Bereits über Kunden vertrauen auf DataGuard als externen Datenschutzbeauftragten

Canon-4
Hyatt-3
Holiday Inn Düsseldorf
userlane_Logo

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren