Anforderungen, Dauer und Umsetzung
TISAX®, kurz für Trusted Information Security Assessment Exchange, ist ein Prüf- und Austauschsystem, das vom Verband der Automobilindustrie (VDA) entwickelt wurde. TISAX® ist ein internationaler Standard für die Bewertung der Informationssicherheit von Unternehmen, die mit der Automobilindustrie zusammenarbeiten. Alle Zulieferer, die mit deutschen Automobilherstellern zusammenarbeiten wollen, sollten in der Lage sein, ihre Informationssicherheit durch eine Zertifizierung nach TISAX® nachweisen.
TISAX® basiert auf der Informationssicherheits-Norm ISO 27001 und enthält zusätzliche Abschnitte für Prototypenschutz und Datenschutz.
Die Zertifizierung soll gewährleisten, dass Automobilhersteller geschützte Informationen sicher weitergeben können und entsprechend den individuellen Anforderungen nach drei Assessment Levels geprüft werden.
Der Standard nach TISAX® ist Grundlage für die Zusammenarbeit in der Industrie und die Voraussetzung für Geschäftsbeziehungen zwischen Zulieferern und Herstellern. Die Anforderungen an die Zusammenarbeit unterscheiden sich aber: Sowohl die Intensität der Prüfung als auch die Prüfziele selbst können unterschiedlich ausfallen.
Label nach TISAX® beschreiben dabei die Prüfziele. Wie gut die Anforderungen umgesetzt wurden, wird in Reifegraden gemessen und die Level nach TISAX® fassen die Art der Prüfung zusammen. Insgesamt gibt es 3 Level, relevant sind aber in der Praxis nur Level 2 und 3.
Je höher dabei das Level ist (AL 1, Al 2, AL 3), desto anspruchsvoller sind die Anforderungen. Um Kundenanforderungen entsprechend nachzukommen, können Kunden sich zwischen Assessment Level 1 (AL 1), Assessment Level 2 (AL 2) und Assessment Level 3 (AL 3) entscheiden. Zusätzlich gibt es noch ein “Zwischenlevel”: 2,5. Um die Assessment Levels erfolgreich zu bestehen, müssen Unternehmen bei Kontrollen einen Reifegrad von 3 oder höher vorweisen, um ein Audit nach TISAX® zu bestehen.
Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen (Insbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt.
Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.
Das Assessment Level 1 nach TISAX® (AL1) ist das niedrigste Level und hat auch die geringste Vertrauensstufe. Das Assessment wird vom Unternehmen selbst durchgeführt und erfordert zunächst nur eine Selbsteinschätzung des Unternehmens auf Grundlage des VDA-ISA-Fragenkatalogs.
Das AL 1 ist in der Praxis allerdings kaum relevant: Der Inhalt der Selbsteinschätzung wird nach der Durchführung nicht überprüft. Das bedeutet, dass keine objektive Instanz die Maßnahmen und Prüfergebnisse des Unternehmens für plausibel erklärt, verifiziert oder bestätigt. Level 1 nach TISAX® ist deswegen rein theoretischer Natur und nicht praxisnah.
Wichtige Fakten:
Assessment Level 1 nach TISAX®
Das Assessment Level 2 nach TISAX® basiert ebenfalls auf einer Selbsteinschätzung durch das Unternehmen. Im Gegensatz zu AL 1 wird die Selbsteinschätzung bei AL 2 jedoch durch einen akkreditierten Auditor nach TISAX® auf Plausibilität geprüft und bestätigt. Die Prüfung basiert auf der Dokumentation des Unternehmens und wird in der Regel durch Telefon-Interviews und Plausibilitätsprüfungen remote ergänzt.
Wichtige Fakten:
Assessment Level 2 nach TISAX®
Neben Assessment Level 1, 2 und 3 gibt es auch noch das Assessment Level 2,5. Das AL 2,5 ist eine alternative Methode zur Durchführung einer Prüfung im Assessment Level 2. In diesem Assessment führt der Auditor zwar ebenfalls eine vollständige Fernprüfung durch, aber er verifiziert, ob das ISMS des Unternehmens die geltenden Anforderungen erfüllt. Die on-site Prüfungen von Assessment Level 3 finden jedoch nicht statt.
Aufgrund der Verifizierung ist die Prüfung methodisch mit Assessment Level 3 kompatibel und ein Upgrade ist mit geringem Aufwand möglich. Wenn Unternehmen nur Assessment Level 2 benötigen, aber in Zukunft Assessment Level 3 nicht ausschließen, empfiehlt sich eine Prüfung nach AL 2,5.
Wichtige Fakten:
Assessment Level 2,5 nach TISAX®
Das Assessment Level 3 nach TISAX® ist das höchste Level der Prüfung. Das Verfahren basiert ebenfalls auf der Selbsteinschätzung des Unternehmens auf Grundlage des VDA-ISA-Fragebogens.
Allerdings werden die Prüfergebnisse für das Assessment Level 3 nach TISAX® nicht nur remote geprüft, sondern zum AL 3 gehören auch Vor-Ort-Begehungen und Live-Interviews, die ein akkreditierter Auditor durchführt. Dabei werden die Prüfergebnisse verifiziert. Zusätzlich werden Dokumente und Nachweise geprüft, die Durchführung von Prozessen betrachtet, örtliche Gegebenheiten geprüft und ungeplante Interviews mit Prozessbeteiligten durchgeführt.
Wichtige Fakten:
Assessment Level 3 nach TISAX®
Mit diesem Leitfaden erhalten Sie eine umfassende Checkliste für den Weg zur Zertifizierung nach TISAX®
TISAX® ist die Grundvoraussetzung, um mit OEMs in der Automobilindustrie ins Geschäft zu kommen. In der Regel geben die Hersteller vor, welches Label sie von ihren Partnern erwarten und welches Assessment Level nach TISAX® Sie anstreben sollten.
Für eine Zertifizierung nach TISAX® wird festgestellt, ob Ihr Unternehmen die relevanten Informationssicherheits-, Prototypenschutz- und Datenschutzanforderungen erfüllt.
Um ein Label nach TISAX® zu erhalten, muss das Unternehmen in erster Linie ein aktives Informationssicherheits-Managementsystem (ISMS) etabliert haben.
Für eine erfolgreiche Zertifizierung nach TISAX® sollten außerdem unternehmensinterne Prozessabläufe und Dokumentationen standardisiert sein. Dabei sollten die wichtigsten Voraussetzungen am besten schon vor der Registrierung für ein Assessment nach TISAX® gegeben sein.
Werfen Sie einen Blick auf die wichtigsten Anforderungen:
Risikomanagement: Es müssen regelmäßige Kontrollen durchgeführt werden, damit Risiken möglichst früh erkannt und behandelt werden.
Informationssicherheits-Politik: Die Mitarbeitenden müssen die interne Informationssicherheits-Politik verstehen und umsetzen.
Prozess-Dokumentationen: Verantwortliche müssen sicherheitsrelevante Prozesse dokumentieren.
Incident-Response-Plan: Das Unternehmen muss in der Lage sein, auf Sicherheitsvorfälle schnell und angemessen reagieren zu können.
Schulungen und Awareness-Programme: Wissen und Bewusstsein für Informationssicherheit und Datenschutz müssen gegeben sein.
Anforderungen, die für die jeweiligen Assessment Level erfüllt werden müssen, sind unter anderem die Folgenden:
|
Assessment Level 1 |
Das Unternehmen muss ein ISMS implementiert haben. Das Unternehmen muss die Anforderungen des Katalogs nach TISAX® erfüllen. |
|
Assessment Level 2 |
Das Unternehmen muss ein ISMS implementiert haben. Das Unternehmen muss die Anforderungen des Katalogs nach TISAX® erfüllen. Das Assessment wird von einem akkreditierten Auditor nach TISAX® durchgeführt. Die Prüfung basiert auf der Dokumentation des Unternehmens und wird in der Regel durch Telefon-Interviews und Plausibilitätsprüfungen remote ergänzt. |
|
Assessment Level 2,5 |
Das Unternehmen muss ein ISMS implementiert haben. Das Unternehmen muss die Anforderungen des Katalogs nach TISAX® erfüllen. Das Assessment wird von einem akkreditierten Auditor nach TISAX® durchgeführt. Die Prüfung basiert auf der Dokumentation des Unternehmens. Vor-Ort-Aktivitäten entfallen. |
|
Assessment Level 3 |
Das Unternehmen muss ein ISMS implementiert haben. Das Unternehmen muss die Anforderungen des Katalogs nach TISAX® erfüllen. Das Assessment wird von einem akkreditierten TISAX® Auditor durchgeführt. Die Prüfung basiert auf der Dokumentation des Unternehmens und wird in der Regel durch Vor-Ort-Begehungen und Live-Interviews ergänzt. |
Hier erhalten Sie einen Überblick über die Prüfziele und damit verbundenen ALs:
|
Nummer |
Prüfziel |
Kategorie |
Möglich mit AL... |
|
1 |
Info high |
Informationssicherheit |
AL 2 |
|
2 |
Info very high |
Informationssicherheit |
AL 3 |
|
3 |
Confidential |
Informationssicherheit |
AL 2 |
|
4 |
Strictly confidential |
Informationssicherheit |
AL 3 |
|
5 |
High availability |
Informationssicherheit |
AL 2 |
|
6 |
Very high availability |
Informationssicherheit |
AL 3 |
|
7 |
Proto parts |
Prototypenschutz |
AL 3 |
|
8 |
Proto vehicles |
Prototypenschutz |
AL 3 |
|
9 |
Test vehicles |
Prototypenschutz |
AL 3 |
|
10 |
Proto events |
Prototypenschutz |
AL 3 |
|
11 |
Data |
Informationssicherheit und Datenschutz |
AL 2 |
|
12 |
Special data |
Informationssicherheit und Datenschutz |
AL 3 |
Anforderungen, Prüfziele, Level, das ist alles schön und gut – aber was kostet es Unternehmen eigentlich, sich nach TISAX® zertifizieren zu lassen?
Es kommt darauf an. Pauschale Aussagen zu den Kosten sind nicht möglich, denn wie in den meisten Bereichen kommt es auch bei einem Assessment nach TISAX® auf Größe, Komplexität und vorhandene Strukturen des Unternehmens an. Welche Prüfziele und welches Assessment Level wird angestrebt? Wie viele Standorte gibt es? Wie gut ist das Unternehmen organisiert? Welche Maßnahmen müssen noch durchgeführt werden? Das alles hat erheblichen Einfluss auf die finalen Kosten.
Natürlich gibt es aber auch Kosten, die man auf jeden Fall einkalkulieren sollte:
Reduzieren Sie die Vorbereitungszeit bei Re-Audits bis zu um bis zu 30%
Sparen Sie bis zu 75% des manuellen Arbeitsaufwandes
Mit einer Zertifizierung nach TISAX® zeigen Unternehmen, dass sie Informationssicherheit ernst nehmen. Sie qualifizieren sich als zuverlässiger Partner in der Automobilindustrie und legen den Grundstein für eine erfolgreiche Zusammenarbeit mit OEMs.
Die TISAX® Zertifizierung bietet Unternehmen eine Reihe von Vorteilen, darunter:
Die TISAX® Zertifizierung ist eine wichtige Investition für Unternehmen, die mit der Automobilindustrie zusammenarbeiten. Sie kann Unternehmen dabei helfen, ihre Informationssicherheit zu verbessern und ihre Geschäftsbeziehungen zu stärken.
Unsere Experten verfügen über das nötige Know-how und die Erfahrung, um Sie erfolgreich durch den Zertifizierungsprozess und zu allen Levels nach TISAX® zu führen.
Mit DataGuard haben Sie einen starken Partner an Ihrer Seite, der Sie auf dem Weg zur Zertifizierung nach TISAX® begleitet.
P I C
Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten
Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit
Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.