TISAX Pillar Background

Der Fragenkatalog VDA ISA nach TISAX®

Alles, was Sie wissen müssen

Starten Sie noch heute mit TISAX

Der Fragenkatalog VDA ISA nach TISAX® ist ein Branchenstandard für Informationssicherheits-Assessments in der Automobilindustrie. Er wurde vom Verband der Automobilindustrie (VDA) gemeinsam mit der ENX Association entwickelt und dient als Grundlage für die Durchführung von Audits und Zertifizierungen.

In diesem Artikel erfahren Sie alles Wissenswerte über den Fragenkatalog VDA ISA nach TISAX®. Wir beantworten die wichtigsten Fragen zum Thema und geben Ihnen Tipps, wie Sie sich auf ein Audit vorbereiten können.

Was ist TISAX®?

TISAX®, kurz für Trusted Information Security Assessment Exchange, ist ein Prüf- und Austauschsystem, das vom Verband der Automobilindustrie (VDA) entwickelt wurde. Das Label ist ein Standard für die Bewertung der Informationssicherheit von Unternehmen, die mit der Automobilindustrie zusammenarbeiten.  

 

Was ist der Fragenkatalog VDA ISA nach TISAX®?

Für die Marktteilnahme in der Branche ist die Zertifizierung nach TISAX® nicht nur ein Nice-To-Have, sondern eine grundlegende Voraussetzung. Um sicherzustellen, dass ein Unternehmen die Voraussetzungen erfüllt, hat der Arbeitskreis Informationssicherheit im VDA einen Prüfkatalog entwickelt: den VDA ISA. ISA steht für Information Security Assessment.

 

Ist der VDA ISA ein Anforderungskatalog?

Ja, der Fragenkatalog VDA ISA ist die Grundlage für die Selbsteinschätzung der Unternehmen, die eine Zertifizierung nach TISAX® erreichen möchten. In dem Dokument werden Prüfziele und angestrebte Label nach TISAX® abgefragt. Es wird außerdem erhoben, ob ein Unternehmen die zugehörigen Anforderungen erfüllt - und wenn ja, welchen Reifengrad die umgesetzten Prozesse und Maßnahmen haben.

Der Fragenkatalog VDA ISA stellt also relevante Kontrollfragen zusammen, die später als Grundlage für die Arbeit des Auditors dienen.

 

Wie ist der Fragenkatalog VDA ISA aufgebaut?

Der Fragenkatalog fasst alle Prüfziele, Label, Anforderungen und entsprechende Vorgaben zu Reifegraden zusammen. Die Einteilung der Ziele und zugehörigen Anforderungen erfolgt in Kapiteln, die auf den typischen Verantwortlichkeiten in Unternehmen basieren: Dazu gehören z.B. Human Ressource, Incident Management und Asset Management.

Mithilfe der gelisteten Kontrollfragen ist es möglich, als Unternehmen ein Information Security Assessment durchzuführen und den Reifegrad der erfüllten Maßnahmen einzuschätzen.

 

Reifegrad Kapitel    
  Kontrollfrage Ziel Anforderung

 

Maximieren Sie Ihre Chance für ein erfolgreiches TISAX® Assessment

Mit diesem Leitfaden erhalten Sie eine umfassende Checkliste für den Weg zur Zertifizierung nach TISAX®

Jetzt kostenlos herunterladen

Label nach TISAX® und Prüfziele: Gibt es einen Unterschied?

“Prüfziele” und “Label” sind nahezu identisch: Der Unterschied liegt im Kontext: Mit den Prüfzielen steigen Sie in den Prüfprozess ein und legen fest, was das Outcome Ihres Assessment nach TISAX® sein soll. Wenn Sie die Prüfung bestehen, erhalten Sie das entsprechende Label nach TISAX®.

Der Denkprozess funktioniert auch andersherum: Unternehmen können von Ihnen ein bestimmtes Label nach TISAX® verlangen, beispielsweise “Confidential”. Um das zu erreichen, wählen Sie dann für den Prüfprozess das Prüfziel “Confidential” aus.

 

Welche Prüfziele und Label nach TISAX® gibt es?

Aktuell gibt es 12 Prüfziele und entsprechende Label. Ab April 2024 werden sich die Prüfziele um zwei reduzieren, es wird also insgesamt 10 Prüfziele und entsprechende Label geben.

Die ENX Association hat aktuell 12 Label nach TISAX® definiert. Die 12 Label sind:

  • Informationssicherheit:

    • Info high

    • Info very high

    • Confidential

    • Strictly confidential

    • High availability

    • Very high availability

  • Prototypenschutz:

    • Proto parts

    • Proto vehicles

    • Test vehicles

    • Proto events

  • Datenschutz: 

    • Data 

    • Special data

Ab April 2024 werden “Info high” und “Info very high” durch “Confidential” und “Strictly confidential” ersetzt.

 

Welches Prüfziel brauche ich?

Das kommt vor allem auf den Partner Ihres Unternehmens an: In der Regel gibt der Geschäftspartner vor, welches Label nach TISAX® er von Kooperationspartnern und Zulieferern fordert. Die Vorgabe für das richtige Prüfziel kommt also vom Automobilhersteller.

Natürlich ist auch die freiwillige Prüfung nach TISAX® möglich: In diesem Fall können Sie als Unternehmen bis zu einem gewissen Grad selbst festlegen, welches Label Sie erreichen möchten. Es gibt allerdings Abhängigkeiten zwischen den Prüfzielen - Wer beispielsweise das Prüfziel „Umgang mit Testfahrzeugen“ erfüllen will, muss mindestens auch das Prüfziel „Umgang mit Informationen mit hohem Schutzbedarf“ erfüllen.

 

Was sind die Assessment Level nach TISAX®?

Der Fragenkatalog nach TISAX® legt je nach Prüfziel verschiedene Schutzbedarfe fest. Als Gegenstück dazu gibt es für die Durchführung des Prozesses nach TISAX® auch drei unterschiedliche Assessment-Level (AL): AL 1, AL 2 und AL 3. Abhängig vom erforderlichen Assessment Level sind vom Auditor unterschiedliche Prüfmethoden anzuwenden. Die Prüfungen sind unterschiedlich umfangreich: Die Genauigkeit der Prüfung steigt mit der Höhe des Assessment Levels.

Beispiel:

Bei AL 1 genügt die Selbsteinschätzung. Geprüft wird lediglich, ob diese vorliegt, nicht der Inhalt derselben. AL 1 ist daher nur für interne Audits geeignet. Ein Label nach TISAX® wird dafür nicht ausgestellt.

Bei AL 2 unterzieht ein externer Auditor Ihre Selbsteinschätzung einer Plausibilitätsprüfung.

Bei AL 3 findet durch den Auditor in jedem Fall auch eine Prüfung vor Ort statt.

Was-passiert-in-einem-Audit-nach-TISAX®_-_1_

Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen (Insbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt. 

Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung. 

Was sind die VDA ISA Kriterienkataloge?

Den verschiedenen Prüfzielen ordnet der Fragenkatalog bestimmte Kriterien- und Anforderungskataloge zu. Hier werden die Anforderungen zum Erreichen der Label nach TISAX® zusammengefasst. Das heißt, wenn Unternehmen ein Prüfziel gewählt haben, sind in Abhängigkeit von dem gewählten Prüfziel fest definierte Kriterien zu erfüllen.

Beispiel: Für unterschiedliche Prüfziele gelten unterschiedlich umfangreiche Anforderungen: Wählen Sie zum Beispiel das Ziel “Datenschutz”, müssen Sie die Fragen des Kriterienkatalogs “Datenschutz” und des Kriterienkatalogs “Informationssicherheit” abarbeiten und die Maßnahmen in Ihrem Informationssicherheits-Managementsystem umsetzen.

 

Was sind Reifegrade im VDA ISA Fragenkatalog?

Der TISAX® Fragenkatalog fragt bei den Kontrollfragen nicht nach „Ja“ oder „Nein“, sondern nach einem Reifegrad. Dieser individuell eingeschätzte Reifegrad wird dann mit dem für die jeweilige Frage definierten Zielreifegrad verglichen.

Um den Reifegrad einschätzen zu können gibt es im Kapitel “Reifegrade” eine detaillierte Übersicht zu den jeweiligen Anforderungen der Reifegrade 1 bis 5. Je höher der Reifegrad, desto besser etabliert ist die Maßnahme.

Beispiel: Eine der Kontrollfragen lautet „Inwieweit sind in Ihrem Unternehmen Richtlinien zur Informationssicherheit vorhanden?“. Die Zielreifegrad ist im Fragenkatalog mit „3“ angegeben. Das Ergebnis Ihrer Selbsteinschätzung sollte also mindestens „Reifegrad 3“ lauten. Alle Kontrollfragen des TISAX® Fragenkatalogs sind auf diese Weise zu beantworten.

Wichtig zu wissen: Wenn Ihr Unternehmen bei einer Frage mit dem Zielreifegrad 3 einen Reifegrad von 2 erreicht, können Sie die Differenz nicht ausgleichen, indem Sie bei einer anderen Frage ein oder zwei Punkte über dem Zielreifegrad liegen. Für die Endauswertung werden höhere Reifegrade beschnitten und auf den jeweiligen Zielreifegrad gekürzt.

 

Wann gilt der VDA ISA Fragenkatalog nach TISAX® als bestanden?

Wer anhand des Fragenkatalogs nach TISAX® die Selbsteinschätzung für das gewünschte Prüfziel durchgeführt hat, weiß danach, ob das eigene Unternehmen bereit für das TISAX® Audit ist und mit welchem TISAX® Label gerechnet werden darf. Nicht mehr, aber auch nicht weniger.

Die Selbsteinschätzung ist danach die Grundlage für den Auditor und das Assessment nach TISAX®.

Es gilt: Der vorgesehene, ideale Gesamt-Zielreifegrad für den Erhalt eines Labels nach TISAX® beträgt 3,0. Wenn Ihr individueller Gesamt-Reifegrad am Ende unter 3,0 liegt, haben Sie bei mindestens einer Frage nicht den Zielreifegrad erreicht.

In diesem Fall wird der Auditor Sie wahrscheinlich auffordern, Ihr Informationssicherheits-Managementsystem entsprechend nachzubessern, bevor er das gewünschte Label nach TISAX® erteilt. Er kann das Label jedoch auch direkt erteilen, solange Ihr Gesamt-Reifegrad nicht unter 2,7 liegt.

VDA ISA und der Fragenkatalog nach TISAX® berücksichtigen zahlreiche, für die Informationssicherheit auch noch relevante Aspekte wie beispielsweise die Unternehmensgröße und die Komplexität der Prozesse im Unternehmen nicht. Deshalb haben die Auditoren einen großen Ermessensspielraum.

 

VDA ISA Fragenkatalog nach TISAX®: Blitzschnell zum Zertifikat

Der Fragenkatalog nach TISAX® fasst nicht nur die Anforderungen an Ihr Informationssicherheits-Managementsystem zusammen. Er ist auch eine Hilfestellung um strukturiert die Selbsteinschätzung durchzuführen. Mithilfe der Definitionen von Anforderungen, Kriterien und Reifegraden können Sie Ihre Sicherheitsinfrastruktur einschätzen und feststellen, ob Sie bereit für ein Audit nach TISAX® sind.

Der Vorteil: Sie können Ihr Unternehmen mithilfe der öffentlich zugänglichen TISAX® Teilnehmerunterlagen und der Unterstützung eines erfahrenen Partners wie DataGuard umfassend auf den VDA ISA vorbereiten und Ihr ISMS in geeigneter Weise strukturieren. Überraschungen im laufenden Prüfverfahren sind dann nahezu ausgeschlossen.

newsletter-image-cta-700

Demo buchen

P I C

p

PRIVACY

Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten

i

INFOSEC

Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit

c

COMPLIANCE

Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.