TISAX^® steht für Trusted Information Security Assessment Exchange. Das Label bezeichnet einen Informationssicherheitsstandard, der speziell für die Automobilindustrie entwickelt wurde.

Ursprünglich initiiert vom Verband der Deutschen Automobilindustrie (VDA), hat sich der Standard mittlerweile in ganz Europa etabliert. Seit dem Jahr 2000 ist TISAX^® eine eingetragene Marke der ENX Association, dem Verband der europäischen Automobilindustrie.

TISAX^® basiert auf ISO 27001, ist aber auf die Anforderungen der Automobilindustrie zugeschnitten. ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme, also ein Standard, der Richtlinien für den Schutz von Informationsbeständen bietet. Bei den Anforderungen nach TISAX^® gilt zusätzlich der Schutz von Prototypen und Datenschutz.

Es gilt: Je komplexer die Anforderungen, desto aufwendiger die Vorbereitung. Die Kostenfrage lässt sich daher nicht pauschal beantworten. Damit die Kosten für eine Zertifizierung nach TISAX^® ermittelt werden können, müssen verschiedene Faktoren einbezogen werden: Welches Level nach TISAX^® möchte ein Unternehmen erreichen? Wird bereits ein ISMS eingesetzt und erfüllt dieses bereits die Anforderungen gemäß ISO 27001? So wird ermittelt, wie viel Grundlagenarbeit noch bevorsteht, bevor Sie mit der Implementierung beginnen können.

Schwachstellen erkennen und Umsetzung starten
Machen Sie sich zunächst mit den Anforderungen an TISAX^® vertraut. Führen Sie eine Gap-Analyse durch, um Bereiche zu identifizieren, in denen Verbesserungen erforderlich sind. Arbeiten Sie mit unseren zertifizierten Experten für Informationssicherheit zusammen, um einen passgenauen TISAX^®-Implementierungsplan zu erstellen. Dieser Plan legt auch den Anwendungsbereich Ihres Informationssicherheits-Managementsystems (ISMS) fest.

Das ISMS aufbauen
Das ISMS ist ein umfassender Rahmen von Richtlinien, Prozessen, Verfahren und Kontrollen zur Verbesserung der Informationssicherheitspraktiken in Ihrem Unternehmen.

Identifizieren und Behandeln von Risiken
Risiken für die Informationssicherheit ergeben sich aus verschiedenen organisatorischen Quellen, darunter Menschen, Infrastruktur, physische Sicherheit und Beziehungen zu Dritten. Beginnen Sie also mit dem Erörtern hypothetischer Szenarien in einem Brainstorming, um die vielfältigen Informationssicherheits-Risiken zu ermitteln, denen Ihr Unternehmen ausgesetzt ist. Bewerten Sie deren Auswirkungen aus finanzieller, rechtlicher und betrieblicher Sicht. Anschließend können Sie technische und prozessorientierte Maßnahmen einführen, um die ermittelten Risiken zu mindern und zu verwalten.

Schützen von Informationswerten
Identifizieren und dokumentieren Sie alle Information Assets in Ihrem Unternehmen wie Hardware, Daten und Personal. Kategorisieren Sie sie nach Wichtigkeit und Wert, um geeignete Kontrollmechanismen zu bestimmen. Legen Sie die Verantwortlichkeiten für Verwaltung und Schutz der Assets fest.

Absolvieren Sie das Audit nach TISAX^®
Beim externen Audit bewertet ein akkreditierter Prüfer alle Aspekte des ISMS Ihrer Organisation, um die Einhaltung der Standards nach TISAX^® zu überprüfen. Die Experten von DataGuard unterstützen Sie bei der Durchführung eines umfassenden internen Audits und maximieren so Ihre Chancen auf ein erfolgreiches externes Audit.

Die eigentliche Reise beginnt: Pflegen Ihres ISMS
Änderungen an der organisatorischen Infrastruktur und weiterentwickelte Sicherheitsbedrohungen schaffen stetig neue Risiken. Um die kontinuierliche Einhaltung der Anforderungen an TISAX^® zu gewährleisten, müssen Sie Ihr ISMS regelmäßig überprüfen und aktualisieren. Dazu gehören Risikobewertungen, interne Audits und Mitarbeiterschulungen.

Um zertifiziert zu bleiben, muss Ihre Organisation alle 3 Jahre ein Re-Audit bestehen. Arbeiten Sie laufend an Verbesserungen Ihres ISMS, während das Unternehmen wächst. Zeigen Sie mit der Zertifizierung nach TISAX^® Ihr Engagement für die Informationssicherheit und gewinnen Sie mehr Aufträge.

Die Zertifizierung nach TISAX^® ist nicht gesetzlich vorgeschrieben. Unternehmen können nicht dazu verpflichtet werden Managementsysteme nach den Anforderungen nach TISAX^® einzuführen.

Allerdings ist ein Nachweis für TISAX^® in der Praxis unverzichtbar für alle Unternehmen, die in der Automobilbranche als Zulieferer oder Partner für Automobilhersteller tätig sein wollen. Viele OEMs in der Automobilindustrie fordern für eine Zusammenarbeit mit Zulieferern jedoch ein Label nach TISAX^®. Wenn Sie als Zulieferer oder Hersteller in der Automobilindustrie tätig sind ist es daher empfehlenswert, sich zertifizieren zu lassen, um wettbewerbsfähig zu bleiben und Aufträge zu erhalten. Ohne einen Nachweis für TISAX^® wird eine Zusammenarbeit mit den großen OEMs in Zukunft immer schwieriger.

TISAX^® arbeitet mit drei unterschiedlichen Schutzniveaus – Assessment Level 1, 2 und 3 nach TISAX^®. Um ein Level 1 nach TISAX^® zu erhalten, reicht eine Selbstauskunft, die durch den Fragenkatalog nach TISAX^® abgewickelt wird.

TISAX^® ist seit dem Jahr 2000 eine eingetragene Marke des Verbands der europäischen Automobilindustrie, der ENX Association. Die ENX Association ist mit der Durchführung des TISAX^®-Verfahrens betraut. Das Verfahren basiert auf einem ISA-Fragebogen des Verbands der Deutschen Automobilindustrie VDA (VDA-ISA). ISA steht für Information Security Assessment.

Ab der Prüfung für das Level 2 nach TISAX^® schaltet sich ein bei der ENX Association akkreditierter Prüfdienstleister ein, der die Selbstauskunft sichtet, eine Plausibilitätsprüfung durchführt oder das Managementsystem vor Ort prüft.

TISAX^® ist der international anerkannte Standard für die Prüfung der Informationssicherheit und des Prototypenschutzes in der Automobilindustrie.

Die Zertifizierung nach TISAX^® muss alle drei Jahre erneuert werden. Deswegen ist nicht nur die Zertifizierung, sondern vor allem die Pflege des ISMS ein fortlaufender Prozess. Kontinuierliche Kontrollen und Aktualisierungen des ISMS sind die beste Voraussetzung für eine erneute Zertifizierung.

Ein Informationssicherheits-Managementsystem (ISMS) ist ein Framework für Richtlinien und Verfahren, die die Auswirkungen von Sicherheitsverletzungen verringern sollen. Es ist auch Grundlage und Ergebnis der Umsetzung des ISO 27001-Standards.

Die Anforderungen und die Art des Assessments unterscheiden sich je nach definiertem Prüfziel. Bei Assessment Level 1 genügt die Selbsteinschätzung. Bei Assessment Level 2 erfolgt eine Dokumenten- und Nachweisprüfung durch den Auditor. Diese wird in der Regel remote durchgeführt, auf Wunsch sind auch Vor-Ort-Überprüfungen möglich. Bei Assessment Level 3 führt der Auditor zusätzlich und generell noch Prüfungen vor Ort durch. Mehr zu den Leveln nach TISAX^® finden Sie hier.

Voraussetzung für das Assessment nach TISAX^® ist ein aktives Informationssicherheits-Managementsystem (ISMS). TISAX^® orientiert sich beim ISMS an den Anforderungen der ISO 27001. Wir prüfen, ob Ihr ISMS die Anforderungen erfüllt und an welchen Stellen es noch Optimierungsbedarf gibt. So bereiten wir Ihr Unternehmen systematisch auf das Assessment nach TISAX^® vor.

Bei TISAX^® gibt es acht verschiedene Prüfziele und drei unterschiedliche Assessment Level. Je nach angestrebtem Label reicht das Spektrum vom einfachen Selbst-Assessment über das Remote-Audit bis hin zum Live-Assessment vor Ort. Ganz gleich, welche Prüfziele und welches Assessment Level Sie zu erfüllen haben: Wir bereiten Sie systematisch und erfolgreich darauf vor. Wie viel Support brauchen Sie bis zum Assessment nach TISAX^®? Sicher ist, wir bereiten Sie so vor, dass Ihr Unternehmen das Assessment nach TISAX^® schon im ersten Anlauf erfolgreich besteht. Der Weg dahin verläuft stets individuell. Er ist mal länger, mal kürzer: Je nach Prüfziel, damit verbundenem Assessment Level und der bereits vorhandenen Informationssicherheitsarchitektur. Fragen Sie uns einfach, wir kennen den schnellsten Weg zu Ihrem Ziel: einem erfolgreichen Assessment nach TISAX^®.

Das lässt sich pauschal nicht sagen. Je nach Komplexität und Umfang des TISAX^®-Projekts kann es drei Monate bis zu einem Jahr dauern, bis Unternehmen bereit für die Auditierung sind. Abhängig vom Assessment-Level umfasst das TISAX^®-Managementsystem ausnahmslos alle Bereiche und Prozesse eines Unternehmens. Deswegen müssen in der Vorbereitung auf das Audit alle Abläufe, Routinen und Abteilungen analysiert und, je nach Ausgangssituation, optimiert werden.

Für Unternehmen mit einem ausgereiften ISMS nach ISO 27001 können der Aufwand und damit auch die Vorbereitungsdauer vergleichsweise gering ausfallen. Dies bedeutet im Umkehrschluss: Wer sich als Unternehmen bisher wenig mit Fragen der Informationssicherheit beschäftigt hat, wird entsprechend länger brauchen und in jeder Hinsicht mehr investieren müssen.

Das ist höchst unterschiedlich und hängt von vielen individuellen Variablen ab. Als Mittelwert kann für ein Assessment nach TISAX^® mit Assessment Level 3 von einem Zeitaufwand von zwei bis drei Tagen Dauer je Unternehmensstandort ausgegangen werden. So viel Zeit muss der Prüfdienstleister mindestens investieren. Wesentlich zeitintensiver als das Assessment selbst wird aber die Vorbereitung sein. Hier geht es nicht um Tage, sondern eher um Wochen und Monate.

Nach der Zertifizierung ist vor dem Re-Assessment, denn die erteilten Label für eine Zertifizierung nach TISAX^® sind nur begrenzt gültig. Nach drei Jahren steht ein erneutes Audit an. Um den Auditor wiederholt zu überzeugen, sollten Unternehmen ihre Informationssicherheit stetig weiterentwickeln und die Prozesse kontinuierlich den Herausforderungen anpassen. Dabei unterstützen Sie die Experten von DataGuard gern.

Einmal erteilte Label für eine Zertifizierung nach TISAX^® sind drei Jahre lang gültig. Danach müssen sie im Rahmen eines wiederholten Assessments nach TISAX^® erneuert werden. Gut zu wissen: Die Vorbereitung auf das Erst-Assessment ist mit Abstand am aufwendigsten. Wiederholungs-Audits sind Routine-Überprüfungen und erfordern meist weit weniger Vorbereitung.

Beim Assessment nach TISAX^® werden der Prototypenschutz und die Informationssicherheit eines Unternehmens überprüft. Um letztere zu gewährleisten, müssen Unternehmen laut VDA ISA Fragenkatalog über ein Informationssicherheits-Managementsystem (ISMS) verfügen, das mindestens den ISO 27001-Standard erfüllt.

Evaluiert wird, ob Ihr Unternehmen die von der ENX Association definierten Informationssicherheits- und Prototypenschutzanforderungen erfüllt. Ermittelt wird dies mithilfe des VDA ISA Fragenkatalogs. Die Anforderungen und auch die Art des Assessments unterscheiden sich je nach definiertem Prüfziel. Bei Assessment Level 1 genügt die Selbsteinschätzung. Bei Assessment Level 2 erfolgt eine Dokumenten- und Nachweisprüfung durch den Auditor. Bei Assessment Level 3 führt der Auditor zusätzlich noch Prüfungen vor Ort durch.

Absolut! In der heutigen Welt gelten Daten als das neue Öl – wenn Sie nachweisen können, dass Sie Ihre Informationen sorgfältig schützen, hebt sich Ihr Unternehmen deutlich von der Konkurrenz ab. Durch diesen Nachweis können Sie mehr Aufträge und Ausschreibungen an Land ziehen. Darüber hinaus trägt ein zertifiziertes ISMS auch dazu bei, dass Sie wichtige Kunden an sich binden können, da viele Großunternehmen die Compliance-Anforderungen nun in ihrer gesamten Lieferkette forcieren.

DataGuard bietet Ihnen alles, was Sie brauchen, um Ihr Unternehmen rechtssicher aufzustellen. Wir verbinden Datenschutz, Informationssicherheit und Compliance durch die Verschmelzung von Technologie, Fachwissen und integrierten Tools.

Unsere ganzheitliche und skalierbare Lösung wurde von unseren Compliance-Experten entwickelt und ist für jeden geeignet. Unabhängig von Ihrer Branche, Unternehmensgröße oder Kenntnisstand helfen wir Ihnen, Ihre Risiken zu verringern, indem wir die wertvollsten Informationen Ihres Unternehmens schützen.

Unsere Experten beraten Ihr Team proaktiv ohne juristischen Fachjargon, sodass Compliance und Sicherheit mit Ihren Geschäftsplänen und Wachstumszielen in Einklang stehen.