Diese Themen sollten Sie nicht verpassen:
Weitere Ressourcen
Bereits über Kunden vertrauen auf DataGuard als externen Datenschutzbeauftragten
Verlieren Sie keine Zeit mehr und gehen das Assessment nach TISAX® auf eine pragmatische Weise an!
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Automobilhersteller (Original Equipment Manufacturers, OEMs) und ihre Zulieferer bilden eine der komplexesten Lieferketten der Welt. In der Vergangenheit haben die strikten Anforderungen dieser Branche dazu geführt, dass viele Hersteller die Audits ihrer Lieferanten einzeln und unabhängig voneinander durchgeführt haben. Dies hatte zur Folge, dass Lieferanten immer wieder mehrere Prüfungen durch mehrere Kunden durchlaufen mussten, was mit viel Arbeits-, Zeit- und Geldaufwand verbunden war.
Der Trusted Information Security Assessment Exchange (TISAX®) wurde entwickelt, um Mehrfachprüfungen für Unternehmen zu vermeiden und die Effizienz in der Branche zu steigern. Durch die Schaffung eines gemeinsam anerkannten Standards kann TISAX® unternehmensübergreifend und sogar in anderen Branchen zum Einsatz kommen, ohne dass zusätzliche Prüfungen erforderlich sind. Eine Zertifizierung nach TISAX® ermöglicht ein einheitliches Maß an Informationssicherheit, das erkennbar und nachvollziehbar für alle ist.
Obwohl dieses Thema oft dem IT-Team zugeschoben wird, betrifft TISAX® alle Geschäftsprozesse. Zum Beispiel werden externe Auditoren prüfen, welche Sicherheitsmaßnahmen Sie für das Offboarding und das Onboarding neuer Mitarbeiter ergriffen haben. Die damit verbundenen Aufgaben (Übergabe von Schlüsseln oder Schlüsselkarten, Unterzeichnung von Verträgen und Vereinbarungen, Anlegen neuer E-Mail-Konten) werden gewöhnlich auf mehrere Abteilungen aufgeteilt. Damit sind alle Abteilungen, die eine Rolle in einem Ihrer Kernprozesse spielen, in irgendeiner Form involviert: Personal-, Rechts- und IT-Abteilung, Büromanager, Führungskräfte und mehr.
Die Umsetzung eines starken Informationssicherheits-Managementsystems (ISMS) nimmt der Erfahrung nach durchschnittlich sechs Monate in Anspruch. Unter Umständen benötigen Sie etwas weniger Zeit, insbesondere wenn Ihnen ein Experte zur Seite steht, der auf die Vorbereitung von Assessment nach TISAX® spezialisiert ist.
Die Dauer der eigentlichen Prüfung durch den externen Auditor hängt von der Größe Ihres Unternehmens und der erforderlichen Reisetätigkeit zwischen Ihren Standorten ab. Bei einem KMU mit etwa 50 Mitarbeitern nimmt die Durchführung des Assessments vor Ort etwa zwei Tage in Anspruch.
Diese Prüfung kann nur von Zertifizierungsgesellschaften durchgeführt werden, die von der ENX Association, die das TISAX® -Programm betreibt, für TISAX® akkreditiert wurden. Der Auditor schaut unter die Haube Ihres Informationssicherheits-Managementsystems (ISMS), um Ihre Prozesse zu bewerten. Zum Beispiel nimmt der Auditor Ihren Ansatz zum Datenschutz und die Form der Verarbeitung personenbezogener und vertraulicher Daten in Ihrer Organisation genau unter die Lupe. Auditoren untersuchen auch die physische Sicherheit Ihrer Geschäftsräume und prüfen, welche Schutzmaßnahmen Sie getroffen haben (z. B. im Liefer- und Versandbereich oder in den IT-Räumen).
Die zweite und dritte Prüfung können oft mehrfach stattfinden. Diese werden so lange wiederholt, bis Ihre Organisation alle Lücken geschlossen hat – und zwar innerhalb eines Zeitraums von maximal neun Monaten. Werden neun Monate überschritten, muss die Erstprüfung erneut absolviert werden.
Das Bewertungsergebnis ist drei Jahre gültig. Danach muss Ihr Unternehmen das Assessment wiederholen.
Reduzieren Sie die Vorbereitungszeit bei Re-Audits bis zu um bis zu 30%
Sparen Sie bis zu 75% des manuellen Arbeitsaufwandes
Der Anwendungsbereich legt Ihre Grenzen fest, für die Ihre ISMS-Implementierung gelten wird. Der Anwendungsbereich wird bei TISAX® alle Systeme, Prozesse, physischen Standorte, Dienstleistungen, Produkte und Abteilungen Ihrer Organisation umfassen, die geschützt werden müssen.
Hierzu gehören beispielsweise Informationen, die in Cloud-Diensten (Office, G-Suite) oder in Tools wie Salesforce, Pipedrive, Workday, Cognos und Slack gespeichert werden. Darunter fallen auch Prototyping-Tools wie Figma und Miro oder andere cloudbasierte Tools oder Plattformen, die Ihr Team verwendet. Außerdem sollten u. a. Folgende Informationen enthalten sein: Informationen auf Servern, Informationen, die bei Subunternehmern/Lieferanten liegen, oder Informationen, die Sie von Kunden erhalten haben.
Dazu zählen alle Möglichkeiten, wie Sie die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensinformationen sicherstellen wollen.
Ihre Grundsätze sollten sicherstellen, dass Ihre Informationen vor unbefugter Weitergabe und unbefugter oder versehentlicher Änderung (z. B. Löschung oder Bearbeitung der Daten) geschützt sind. Alle Informationen sollten für berechtigte Nutzer leicht zugänglich sein.
Benennen Sie die verantwortlichen Mitglieder Ihres Teams, die bei der Vorbereitung auf die Bewertung helfen. Wie bereits erwähnt, sollten dies nicht nur Mitarbeiter der IT-Abteilung, sondern aus verschiedenen Abteilungen sein.
Es sollten regelmäßig Schulungen stattfinden, um sicherzustellen, dass alle Mitarbeiter auf dem Laufenden sind, was Informationssicherheitsthemen und deren Einfluss auf ihre tägliche Arbeit angeht.
Sie müssen Regeln und Richtlinien definieren, nach denen die Art des Zugriffs auf Ihre Informationen gewährt, kontrolliert und überwacht wird.
Diese sollte natürliche und physikalische Risiken, Rechtsrisiken, Vertragsrisiken, Compliance-Risiken und finanzielle Risiken umfassen.
Ihr Plan sollte aufzeigen, welche möglichen Risiken auftreten können und wie auf diese reagiert wird. Zum Beispiel, was passieren würde, wenn Ihre Server abstürzen oder ein wichtiger Cloud-Dienst nicht verfügbar ist.
Dieser Bericht ist eine detaillierte Zusammenfassung aller potenziellen Bedrohungen für Ihre Organisation. Für jedes Risiko sind die Eintrittswahrscheinlichkeit, die resultierende Auswirkung und die zur Verhinderung erforderlichen Sicherheitskontrollen und/oder -maßnahmen zu bestimmen.
Dieses Dokument ist entscheidend, um die Anforderungen, Erwartungen und Sanktionen Ihres Unternehmens in Bezug auf die Zusammenarbeit mit Lieferanten und Partnern zu klären (z. B. Dienstleistungsstandards, Lieferungen, Produktbedingungen). Nehmen Sie Klauseln für Ihre wichtigsten Belange auf (z. B. wie Informationen über vertrauliche Prototypen weitergegeben und verarbeitet werden).
Dokumentieren Sie, wie Sie die Daten Ihrer Kunden schützen
Verarbeiten Sie personenbezogene oder sensible Daten für Ihre Kunden? Wenn dies der Fall ist, werden die Auditoren prüfen, ob Sie die notwendigen Maßnahmen zum Schutz dieser Daten ergriffen haben.
Definieren Sie eine klare Methode zur Dokumentation von Anforderungen für jede Geschäftsbeziehung.
Diese lässt sich am besten bestimmen, indem Sie beurteilen, wie detailliert Ihr ISMS ist und wie reibungslos es läuft. Zum Beispiel Ihr Fortschritt bei der Identifikation, Beurteilung und Behandlung von Risiken, der Stand Ihrer Dokumentation, regelmäßige Managementbewertungen und -analysen usw. Ein Auditor wird prüfen, ob das ISMS in der Praxis funktioniert.
Welche Vorfälle sind aufgetreten und wie viele? Welche Vorfälle wurden verhindert? Wurde jeder Mitarbeiter effektiv geschult? Wird jedes zu Beginn festgelegte Ziel erreicht?
Dies kann alles sein, was Sie tun, um Bedrohungen zu vermeiden oder zu neutralisieren. Zum Beispiel die Durchführung baulicher Maßnahmen zum Zutrittsschutz oder das Verlagern Ihrer Server.
Um bereit für ein Assessment nach TISAX® zu sein, müssen Sie sicherstellen, dass Ihr ISMS stabil und wirksam ist. Um herauszufinden, ob es dem erwarteten Niveau entspricht, sollten Sie eine Selbsteinschätzung auf Basis des ISA durchführen.
Wenn Sie weitere Fragen haben stehen wir Ihnen gerne zur Verfügung! Ein erstes Gespräch ist bei uns immer kostenlos.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.
Bereits über Kunden vertrauen auf DataGuard als externen Datenschutzbeauftragten
Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.
100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.