Assessment Level 1 nach TISAX®
Das Assessment Level 1 nach TISAX® (AL1) ist das niedrigste Level und hat auch die geringste Vertrauensstufe. Das Assessment wird vom Unternehmen selbst durchgeführt und erfordert zunächst nur eine Selbsteinschätzung des Unternehmens auf Grundlage des VDA-ISA-Fragenkatalogs.
Das AL 1 ist in der Praxis allerdings kaum relevant: Der Inhalt der Selbsteinschätzung wird nach der Durchführung nicht überprüft. Das bedeutet, dass keine objektive Instanz die Maßnahmen und Prüfergebnisse des Unternehmens für plausibel erklärt, verifiziert oder bestätigt. Level 1 nach TISAX® ist deswegen rein theoretischer Natur und nicht praxisnah.
Wichtige Fakten:
Assessment Level 1 nach TISAX®
- Selbsteinschätzung des Unternehmens
- Keine Überprüfung durch einen Auditor
- Geringer Aufwand und unabhängige Umsetzung
- Gute Vorbereitung für die Zertifizierung nach TISAX® (AL 2, AL 3)
- Keine Relevanz auf dem Markt
- Keine Vertrauensbasis bei Herstellern
Assessment Level 2 nach TISAX®
Das Assessment Level 2 nach TISAX® basiert ebenfalls auf einer Selbsteinschätzung durch das Unternehmen. Im Gegensatz zu AL 1 wird die Selbsteinschätzung bei AL 2 jedoch durch einen akkreditierten Auditor nach TISAX® auf Plausibilität geprüft und bestätigt. Die Prüfung basiert auf der Dokumentation des Unternehmens und wird in der Regel durch Telefon-Interviews und Plausibilitätsprüfungen remote ergänzt.
Wichtige Fakten:
Assessment Level 2 nach TISAX®
- Selbsteinschätzung des Unternehmens
- wird von einem externen Auditor geprüft
- Prüfung findet in der Regel remote statt
- Prüfung von Nachweisen auf Aktenbasis
- Interviews mit Fachabteilungen und dem Informationssicherheitsbeauftragten
Assessment Level 2,5 nach TISAX®
Neben Assessment Level 1, 2 und 3 gibt es auch noch das Assessment Level 2,5. Das AL 2,5 ist eine alternative Methode zur Durchführung einer Prüfung im Assessment Level 2. In diesem Assessment führt der Auditor zwar ebenfalls eine vollständige Fernprüfung durch, aber er verifiziert, ob das ISMS des Unternehmens die geltenden Anforderungen erfüllt. Die on-site Prüfungen von Assessment Level 3 finden jedoch nicht statt.
Aufgrund der Verifizierung ist die Prüfung methodisch mit Assessment Level 3 kompatibel und ein Upgrade ist mit geringem Aufwand möglich. Wenn Unternehmen nur Assessment Level 2 benötigen, aber in Zukunft Assessment Level 3 nicht ausschließen, empfiehlt sich eine Prüfung nach AL 2,5.
Wichtige Fakten:
Assessment Level 2,5 nach TISAX®
- Selbsteinschätzung des Unternehmens
- wird von einem externen Auditor geprüft
- Prüfung findet in der Regel remote statt
- Prüfergebnisse werden verifiziert
Assessment Level 3 nach TISAX®
Das Assessment Level 3 nach TISAX® ist das höchste Level der Prüfung. Das Verfahren basiert ebenfalls auf der Selbsteinschätzung des Unternehmens auf Grundlage des VDA-ISA-Fragebogens.
Allerdings werden die Prüfergebnisse für das Assessment Level 3 nach TISAX® nicht nur remote geprüft, sondern zum AL 3 gehören auch Vor-Ort-Begehungen und Live-Interviews, die ein akkreditierter Auditor durchführt. Dabei werden die Prüfergebnisse verifiziert. Zusätzlich werden Dokumente und Nachweise geprüft, die Durchführung von Prozessen betrachtet, örtliche Gegebenheiten geprüft und ungeplante Interviews mit Prozessbeteiligten durchgeführt.
Wichtige Fakten:
Assessment Level 3 nach TISAX®
- Selbsteinschätzung des Unternehmens
- Systeme werden live geprüft
- Örtliche Gegebenheiten werden betrachtet
- Geplante und ungeplante Interviews finden statt
- Die Durchführung von Prozessen wird beobachtet
- wird von einem externen Auditor geprüft
- Prüfung findet in der Regel vor Ort statt
- Prüfergebnisse werden verifiziert