Was sind die VDA ISA Kriterienkataloge?
Den verschiedenen Prüfzielen ordnet der Fragenkatalog bestimmte Kriterien- und Anforderungskataloge zu. Hier werden die Anforderungen zum Erreichen der Label nach TISAX® zusammengefasst. Das heißt, wenn Unternehmen ein Prüfziel gewählt haben, sind in Abhängigkeit von dem gewählten Prüfziel fest definierte Kriterien zu erfüllen.
Beispiel: Für unterschiedliche Prüfziele gelten unterschiedlich umfangreiche Anforderungen: Wählen Sie zum Beispiel das Ziel “Datenschutz”, müssen Sie die Fragen des Kriterienkatalogs “Datenschutz” und des Kriterienkatalogs “Informationssicherheit” abarbeiten und die Maßnahmen in Ihrem Informationssicherheits-Managementsystem umsetzen.
Was sind Reifegrade im VDA ISA Fragenkatalog?
Der TISAX® Fragenkatalog fragt bei den Kontrollfragen nicht nach „Ja“ oder „Nein“, sondern nach einem Reifegrad. Dieser individuell eingeschätzte Reifegrad wird dann mit dem für die jeweilige Frage definierten Zielreifegrad verglichen.
Um den Reifegrad einschätzen zu können gibt es im Kapitel “Reifegrade” eine detaillierte Übersicht zu den jeweiligen Anforderungen der Reifegrade 1 bis 5. Je höher der Reifegrad, desto besser etabliert ist die Maßnahme.
Beispiel: Eine der Kontrollfragen lautet „Inwieweit sind in Ihrem Unternehmen Richtlinien zur Informationssicherheit vorhanden?“. Die Zielreifegrad ist im Fragenkatalog mit „3“ angegeben. Das Ergebnis Ihrer Selbsteinschätzung sollte also mindestens „Reifegrad 3“ lauten. Alle Kontrollfragen des TISAX® Fragenkatalogs sind auf diese Weise zu beantworten.
Wichtig zu wissen: Wenn Ihr Unternehmen bei einer Frage mit dem Zielreifegrad 3 einen Reifegrad von 2 erreicht, können Sie die Differenz nicht ausgleichen, indem Sie bei einer anderen Frage ein oder zwei Punkte über dem Zielreifegrad liegen. Für die Endauswertung werden höhere Reifegrade beschnitten und auf den jeweiligen Zielreifegrad gekürzt.
Wann gilt der VDA ISA Fragenkatalog nach TISAX® als bestanden?
Wer anhand des Fragenkatalogs nach TISAX® die Selbsteinschätzung für das gewünschte Prüfziel durchgeführt hat, weiß danach, ob das eigene Unternehmen bereit für das TISAX® Audit ist und mit welchem TISAX® Label gerechnet werden darf. Nicht mehr, aber auch nicht weniger.
Die Selbsteinschätzung ist danach die Grundlage für den Auditor und das Assessment nach TISAX®.
Es gilt: Der vorgesehene, ideale Gesamt-Zielreifegrad für den Erhalt eines Labels nach TISAX® beträgt 3,0. Wenn Ihr individueller Gesamt-Reifegrad am Ende unter 3,0 liegt, haben Sie bei mindestens einer Frage nicht den Zielreifegrad erreicht.
In diesem Fall wird der Auditor Sie wahrscheinlich auffordern, Ihr Informationssicherheits-Managementsystem entsprechend nachzubessern, bevor er das gewünschte Label nach TISAX® erteilt. Er kann das Label jedoch auch direkt erteilen, solange Ihr Gesamt-Reifegrad nicht unter 2,7 liegt.
VDA ISA und der Fragenkatalog nach TISAX® berücksichtigen zahlreiche, für die Informationssicherheit auch noch relevante Aspekte wie beispielsweise die Unternehmensgröße und die Komplexität der Prozesse im Unternehmen nicht. Deshalb haben die Auditoren einen großen Ermessensspielraum.
VDA ISA Fragenkatalog nach TISAX®: Blitzschnell zum Zertifikat
Der Fragenkatalog nach TISAX® fasst nicht nur die Anforderungen an Ihr Informationssicherheits-Managementsystem zusammen. Er ist auch eine Hilfestellung um strukturiert die Selbsteinschätzung durchzuführen. Mithilfe der Definitionen von Anforderungen, Kriterien und Reifegraden können Sie Ihre Sicherheitsinfrastruktur einschätzen und feststellen, ob Sie bereit für ein Audit nach TISAX® sind.
Der Vorteil: Sie können Ihr Unternehmen mithilfe der öffentlich zugänglichen TISAX® Teilnehmerunterlagen und der Unterstützung eines erfahrenen Partners wie DataGuard umfassend auf den VDA ISA vorbereiten und Ihr ISMS in geeigneter Weise strukturieren. Überraschungen im laufenden Prüfverfahren sind dann nahezu ausgeschlossen.