Alles, was Sie wissen müssen
Der Fragenkatalog VDA ISA nach TISAX® ist ein Branchenstandard für Informationssicherheits-Assessments in der Automobilindustrie. Er wurde vom Verband der Automobilindustrie (VDA) gemeinsam mit der ENX Association entwickelt und dient als Grundlage für die Durchführung von Audits und Zertifizierungen.
In diesem Artikel erfahren Sie alles Wissenswerte über den Fragenkatalog VDA ISA nach TISAX®. Wir beantworten die wichtigsten Fragen zum Thema und geben Ihnen Tipps, wie Sie sich auf ein Audit vorbereiten können.
TISAX®, kurz für Trusted Information Security Assessment Exchange, ist ein Prüf- und Austauschsystem, das vom Verband der Automobilindustrie (VDA) entwickelt wurde. Das Label ist ein Standard für die Bewertung der Informationssicherheit von Unternehmen, die mit der Automobilindustrie zusammenarbeiten.
Für die Marktteilnahme in der Branche ist die Zertifizierung nach TISAX® nicht nur ein Nice-To-Have, sondern eine grundlegende Voraussetzung. Um sicherzustellen, dass ein Unternehmen die Voraussetzungen erfüllt, hat der Arbeitskreis Informationssicherheit im VDA einen Prüfkatalog entwickelt: den VDA ISA. ISA steht für Information Security Assessment.
Ja, der Fragenkatalog VDA ISA ist die Grundlage für die Selbsteinschätzung der Unternehmen, die eine Zertifizierung nach TISAX® erreichen möchten. In dem Dokument werden Prüfziele und angestrebte Label nach TISAX® abgefragt. Es wird außerdem erhoben, ob ein Unternehmen die zugehörigen Anforderungen erfüllt - und wenn ja, welchen Reifengrad die umgesetzten Prozesse und Maßnahmen haben.
Der Fragenkatalog VDA ISA stellt also relevante Kontrollfragen zusammen, die später als Grundlage für die Arbeit des Auditors dienen.
Der Fragenkatalog fasst alle Prüfziele, Label, Anforderungen und entsprechende Vorgaben zu Reifegraden zusammen. Die Einteilung der Ziele und zugehörigen Anforderungen erfolgt in Kapiteln, die auf den typischen Verantwortlichkeiten in Unternehmen basieren: Dazu gehören z.B. Human Ressource, Incident Management und Asset Management.
Mithilfe der gelisteten Kontrollfragen ist es möglich, als Unternehmen ein Information Security Assessment durchzuführen und den Reifegrad der erfüllten Maßnahmen einzuschätzen.
| Reifegrad | Kapitel | ||
| Kontrollfrage | Ziel | Anforderung |
Mit diesem Leitfaden erhalten Sie eine umfassende Checkliste für den Weg zur Zertifizierung nach TISAX®
“Prüfziele” und “Label” sind nahezu identisch: Der Unterschied liegt im Kontext: Mit den Prüfzielen steigen Sie in den Prüfprozess ein und legen fest, was das Outcome Ihres Assessment nach TISAX® sein soll. Wenn Sie die Prüfung bestehen, erhalten Sie das entsprechende Label nach TISAX®.
Der Denkprozess funktioniert auch andersherum: Unternehmen können von Ihnen ein bestimmtes Label nach TISAX® verlangen, beispielsweise “Confidential”. Um das zu erreichen, wählen Sie dann für den Prüfprozess das Prüfziel “Confidential” aus.
Aktuell gibt es 12 Prüfziele und entsprechende Label. Ab April 2024 werden sich die Prüfziele um zwei reduzieren, es wird also insgesamt 10 Prüfziele und entsprechende Label geben.
Die ENX Association hat aktuell 12 Label nach TISAX® definiert. Die 12 Label sind:
Informationssicherheit:
Info high
Info very high
Confidential
Strictly confidential
High availability
Very high availability
Prototypenschutz:
Proto parts
Proto vehicles
Test vehicles
Proto events
Datenschutz:
Data
Special data
Ab April 2024 werden “Info high” und “Info very high” durch “Confidential” und “Strictly confidential” ersetzt.
Das kommt vor allem auf den Partner Ihres Unternehmens an: In der Regel gibt der Geschäftspartner vor, welches Label nach TISAX® er von Kooperationspartnern und Zulieferern fordert. Die Vorgabe für das richtige Prüfziel kommt also vom Automobilhersteller.
Natürlich ist auch die freiwillige Prüfung nach TISAX® möglich: In diesem Fall können Sie als Unternehmen bis zu einem gewissen Grad selbst festlegen, welches Label Sie erreichen möchten. Es gibt allerdings Abhängigkeiten zwischen den Prüfzielen - Wer beispielsweise das Prüfziel „Umgang mit Testfahrzeugen“ erfüllen will, muss mindestens auch das Prüfziel „Umgang mit Informationen mit hohem Schutzbedarf“ erfüllen.
Der Fragenkatalog nach TISAX® legt je nach Prüfziel verschiedene Schutzbedarfe fest. Als Gegenstück dazu gibt es für die Durchführung des Prozesses nach TISAX® auch drei unterschiedliche Assessment-Level (AL): AL 1, AL 2 und AL 3. Abhängig vom erforderlichen Assessment Level sind vom Auditor unterschiedliche Prüfmethoden anzuwenden. Die Prüfungen sind unterschiedlich umfangreich: Die Genauigkeit der Prüfung steigt mit der Höhe des Assessment Levels.
Beispiel:
Bei AL 1 genügt die Selbsteinschätzung. Geprüft wird lediglich, ob diese vorliegt, nicht der Inhalt derselben. AL 1 ist daher nur für interne Audits geeignet. Ein Label nach TISAX® wird dafür nicht ausgestellt.
Bei AL 2 unterzieht ein externer Auditor Ihre Selbsteinschätzung einer Plausibilitätsprüfung.
Bei AL 3 findet durch den Auditor in jedem Fall auch eine Prüfung vor Ort statt.
Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen (Insbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt.
Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.
Den verschiedenen Prüfzielen ordnet der Fragenkatalog bestimmte Kriterien- und Anforderungskataloge zu. Hier werden die Anforderungen zum Erreichen der Label nach TISAX® zusammengefasst. Das heißt, wenn Unternehmen ein Prüfziel gewählt haben, sind in Abhängigkeit von dem gewählten Prüfziel fest definierte Kriterien zu erfüllen.
Beispiel: Für unterschiedliche Prüfziele gelten unterschiedlich umfangreiche Anforderungen: Wählen Sie zum Beispiel das Ziel “Datenschutz”, müssen Sie die Fragen des Kriterienkatalogs “Datenschutz” und des Kriterienkatalogs “Informationssicherheit” abarbeiten und die Maßnahmen in Ihrem Informationssicherheits-Managementsystem umsetzen.
Der TISAX® Fragenkatalog fragt bei den Kontrollfragen nicht nach „Ja“ oder „Nein“, sondern nach einem Reifegrad. Dieser individuell eingeschätzte Reifegrad wird dann mit dem für die jeweilige Frage definierten Zielreifegrad verglichen.
Um den Reifegrad einschätzen zu können gibt es im Kapitel “Reifegrade” eine detaillierte Übersicht zu den jeweiligen Anforderungen der Reifegrade 1 bis 5. Je höher der Reifegrad, desto besser etabliert ist die Maßnahme.
Beispiel: Eine der Kontrollfragen lautet „Inwieweit sind in Ihrem Unternehmen Richtlinien zur Informationssicherheit vorhanden?“. Die Zielreifegrad ist im Fragenkatalog mit „3“ angegeben. Das Ergebnis Ihrer Selbsteinschätzung sollte also mindestens „Reifegrad 3“ lauten. Alle Kontrollfragen des TISAX® Fragenkatalogs sind auf diese Weise zu beantworten.
Wichtig zu wissen: Wenn Ihr Unternehmen bei einer Frage mit dem Zielreifegrad 3 einen Reifegrad von 2 erreicht, können Sie die Differenz nicht ausgleichen, indem Sie bei einer anderen Frage ein oder zwei Punkte über dem Zielreifegrad liegen. Für die Endauswertung werden höhere Reifegrade beschnitten und auf den jeweiligen Zielreifegrad gekürzt.
Wer anhand des Fragenkatalogs nach TISAX® die Selbsteinschätzung für das gewünschte Prüfziel durchgeführt hat, weiß danach, ob das eigene Unternehmen bereit für das TISAX® Audit ist und mit welchem TISAX® Label gerechnet werden darf. Nicht mehr, aber auch nicht weniger.
Die Selbsteinschätzung ist danach die Grundlage für den Auditor und das Assessment nach TISAX®.
Es gilt: Der vorgesehene, ideale Gesamt-Zielreifegrad für den Erhalt eines Labels nach TISAX® beträgt 3,0. Wenn Ihr individueller Gesamt-Reifegrad am Ende unter 3,0 liegt, haben Sie bei mindestens einer Frage nicht den Zielreifegrad erreicht.
In diesem Fall wird der Auditor Sie wahrscheinlich auffordern, Ihr Informationssicherheits-Managementsystem entsprechend nachzubessern, bevor er das gewünschte Label nach TISAX® erteilt. Er kann das Label jedoch auch direkt erteilen, solange Ihr Gesamt-Reifegrad nicht unter 2,7 liegt.
VDA ISA und der Fragenkatalog nach TISAX® berücksichtigen zahlreiche, für die Informationssicherheit auch noch relevante Aspekte wie beispielsweise die Unternehmensgröße und die Komplexität der Prozesse im Unternehmen nicht. Deshalb haben die Auditoren einen großen Ermessensspielraum.
Der Fragenkatalog nach TISAX® fasst nicht nur die Anforderungen an Ihr Informationssicherheits-Managementsystem zusammen. Er ist auch eine Hilfestellung um strukturiert die Selbsteinschätzung durchzuführen. Mithilfe der Definitionen von Anforderungen, Kriterien und Reifegraden können Sie Ihre Sicherheitsinfrastruktur einschätzen und feststellen, ob Sie bereit für ein Audit nach TISAX® sind.
Der Vorteil: Sie können Ihr Unternehmen mithilfe der öffentlich zugänglichen TISAX® Teilnehmerunterlagen und der Unterstützung eines erfahrenen Partners wie DataGuard umfassend auf den VDA ISA vorbereiten und Ihr ISMS in geeigneter Weise strukturieren. Überraschungen im laufenden Prüfverfahren sind dann nahezu ausgeschlossen.
P I C
Externer DSB
Audit und Risikoanalyse
Betroffenenanfragen
Online-Trainings
Cookie & Preference Manager
Beratung durch zertifizierte Experten
Vorbereitung auf ISO 27001
Aufbau eines ISMS
Cybersecurity
Asset-Management
Risikominimierung
Internes Audit
Digitales Whistleblowing-System
Whistleblowing-Support
Compliance-Audit
Risikominimierung
Online-Trainings
Geprüfte Vorlagen
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.