Beratung TISAX®
ÜBERBLICK
Informationssicherheit gewinnt innerhalb der Automobilbranche weiter an Bedeutung. Aber nicht nur in Bezug auf die Fahrzeuge spielt Informationssicherheit eine zentrale Rolle, sondern auch hinsichtlich der Entwicklungs- und Fertigungsprozesse und beim Austausch von Informationen und Daten.
Insbesondere deutsche OEMs fordern mittlerweile verbindlich ein Assessment des Informationssicherheitsmanagementsystems (ISMS) nach TISAX (Trusted Information Security Assessment Exchange) als Voraussetzung für eine Zusammenarbeit.
Grundlage bildet der vom VDA entwickelte VDA-ISA Fragenkatalog, der auf wesentlichen Aspekten und Kriterien der international anerkannten Norm ISO/IEC 27001 basiert. Hinzu kommen spezielle Kriterienkataloge, insbesondere zum Prototypenschutz.
Gute Gründe für eine TISAX®-Zertifizierung
Die Erneuerung bestehender Lieferantenbeziehungen wird erleichtert.
Mit der Umsetzung der TISAX®-Anforderungen schützen Sie Ihre eigenen Unternehmenswerte gegen unbefugten Zugriff.
Ein TISAX® Assessment ist ein einheitlicher Standard der von allen Partnerunternehmen anerkannt wird.
Bei deutschen Automobilkonzernen (insbesondere VW Gruppe und BMW) ist eine TISAX-Zertifizierung oft Bedingung für eine (weitere) Zusammenarbeit.
Optimale Vorbereitung auf eine Zertifizierung nach ISO/IEC 27001
Woraus besteht ein TISAX®-Assessment?
TISAX® basiert auf dem Fragenkatalog der VDA-ISA, welcher von dem Arbeitskreis Informationssicherheit des Verbands der Automobilindustrie (VDA) verabschiedet wurde. Der Katalog orientiert sich dabei an der internationalen Norm ISO/IEC 27001.
Der TISAX Anforderungskatalog besteht aus mehreren Modulen. Zentral ist dabei das Hauptmodule der Informationssicherheit (entwerder hoher Schutzbedarf oder sehr hoher Schutzbedarf). Ergänzend, je nach Kundenanforderung, sind noch die Zusatzmodule Datenschutz und Prototypenschutz möglich.
Wie funktioniert die Zertifizierung?
Jedes Unternehmen kann sich proaktiv zertifizieren lassen, ohne dass es dazu von einem Kunden aufgefordert wurde. Häufig ist es jedoch der Vergabeprozess eines Kunden der eine TISAX-Zertifizierung erfordert. Dabei legt dabei die Einkaufsabteilung des ausschreibenden Kunden (häufig der OEM) fest, ob eine TISAX-Zertifizierung benötigt wird und welche Prüfmodule dabei relevant sind.
Abhängig von den durch den Kunden geforderten Modulen und dem Schutzbedarf (hoch oder sehr hoch) wird das TISAX-Assessment entweder remote (AL2, Assessment Level 2) oder vor-Ort (AL3, Assessment Level 3) durchgeführt.
Ein Level-3 TISAX-Assessment (vor-Ort Prüfung) ist notwendig, falls die Arbeit mit Informationen mit sehr hohem Schutzbedarf oder das Zusatzmodule für Prototypenschutz Teil des TISAX-Assessments ist.
Der Ablauf der TISAX-Zertifizierung
Jeder, der sich zertifizieren lassen will, muss zerst bei der Governance Organisation ENX registriert sein. Die ENX als Koordinierungsstelle verwaltet die Registrierung und die Prüfergebnisse. Die Prüfergebnisse sind nur für freigegebene Partner, beispielsweise die eigenen Kunden, einsehrbar. Die ENX speichert dabei keine Details zu den Prüfungen, sondern nur das Ergebnis.
Grundsätzlich folgt dabei eine TISAX-Zertifizierung dem folgenden Ablauf:
- Registrierung bei der ENX
- Auswahl des Prüfdienstleisters
- Ausfüllen einer Selbstauskunft
- Prüfung durch den Auditor, für Level 2 im Remote-Verfahren, für Level 3 durch eine Vor-Ort-Prüfung
- Schließung und nochmalige Prüfung eventuell aufgedeckter Lücken
- Abschluss der Prüfung und Übermittlung der Ergebnisse an die ENX
Wie bereitet man sich auf eine TISAX-Zertifizierung vor?
Falls eine Aufforderung zur Zertifizierung erfolgt, oder diese in den Ausschreibungsunterlagen ersichtlich ist, muss bestimmt werden, welche Module und welcher Level für die Zertifizierung relevant sind. Optimalerweise sollte das immer mit dem dem anfordernden OEM oder Zulieferer abgestimmt werden, auch wenn sich dies manchmal als nicht ganz einfach erweist. Auch ist es empfehlenswert bei dieser Klärung zwischen Entwicklungs- und Produktionsstandorten zu unterscheiden.
Nach Klärung der Anforderungen sollte als nächster Schritt der aktuelle Status und der Reifegrad des ISMS (Informationssicherheitsmanagementsystems) zu ermitteln. Hierzu ist es empfehlenswert, die Selbstauskunft mit Prozess-, Dokumenten- und Umsetzungsreferenzen auszufüllen und zu bewerten. Dabei sollten zu jedem Prüfpuntk mindestens die folgenden Fragen geklärt und aufgeschrieben werden:
Damit können offene Punkte (Gaps) identifiziert und dann in eine Projektplanung einfließen.
KURZ & BÜNDIG
Häufige Fragen und Antworten
Was ist der Unterschied zwischen einer Hauptabweichung und einer Nebenabweichung?
Während der Prüfung werden Abweichungen nach der Kritikalität bewertet. Eine Hauptabweichung bedeutet hierbei, dass eine Muss-Anforderung gemäß dem VDA-ISA Katalog nicht erfüllt ist. Eine Nebenabweichung zeigt an, dass eine Anforderung nur teilweise erfüllt wurde. Im Nachgang an ein Assessment sind sowohl Hauptabweichungen wie auch Nebenabweichungen zu beheben.
Ohne eine Hauptabweichung kann aber in der Regel ein temporäres TISAX-Label für ein paar Monate erteilt werden, so dass der geprüfte Standort bereits als zertifiziert gelten kann, obwohl noch nicht alle Nebenabweichungen voll geschlossen sind.
Was ist ein temporäres TISAX-Label?
Während eines TISAX-Assessments werden Abweichungen entweder als Hauptabweichung oder als Nebenabweichung kategorisiert.
Ohne Hauptabweichung kann in der Regel ein temporäres TISAX-Label für ein paar Monate erteilt werden, so dass der geprüfte Standort bereits als TISAX-zertifiziert gelten kann, obwohl noch nicht alle Nebenabweichungen voll geschlossen sind. Dies stellt in der Praxis einen großen Vorteil dar, da in der Praxis die Kunden temporäre Label bereits voll anerkennen.
Wie kann ich den VDA-ISA Kriterienkatalog erhalten?
Der VDA-ISA Fragenkatalog ist kostenfrei erhältlich zum Download.
Ebenso sind weitere Materialien, insbesondere das TISAX-Teilnehmerhandbuch Version 2.4 TISAX-Teilnehmerhandbuch, auf dem ENX-Portal verfübar.
Was kostet eine TISAX-Zertifizierung?
Externe Kosten enstehen durch die Registrierung bei der ENX (ca. 500 Euro pro Jahr), den Prüfdienstleister (ab ca. 4.000€, abhängig von den Prüfmodulen und Reisekosten bei einem Vor-Ort Audit) sowie den anfallenden Beratungstätigkeiten zur Vorbereitung auf den Tisax-Audit.
Wie läuft eine Beratung zur TISAX-Zertifizierung ab?
Unsere erfahrenen TISAX-Auditoren können Sie bei jedem Schritt begleiten und Sie so optimal auf das TISAX-Assessment vorbereiten:
Ermitteln Ihrer Anforderungen
Im Gespräch mit Ihrem Management ermitteln wir die Anforderungen für eine TISAX-Zertifizierung.
Durchführen einer TISAX-Gap-Analyse
Auf Basis Ihrer Anforderungen führen wir ein internes Assessment zur Bestimmung potentieller Gaps durch. Sie erhalten dazu einen detaillierten Bericht der vorgefundenen Abweichungen mit konkreten Handlungsempfehlungen.
Entwicklung einer TISAX-Roadmap und Umsetzungsstrategie
Gemeinsam entwickeln wir eine effiziente Roadmap zur Schließung der vorgefundenen Abweichungen.
Beratung
In jeder Prozessphase und auch während der weiteren Umsetzung sind wir Ihr partnerschaftlicher Berater zu allen Fragen Ihrer strategischen Informationssicherheit. Dabei profizieren Sie auch von unserem umfangreichen TISAX-Templatepaket.
zertifiziert und erfahren
Qualifikationen und Standards
Warum Redlings?
Ein vertrauenswürdiger Partner
Eingehende Anforderungsanalyse, Beratung und Training in allen Fragen rund um TISAX®
Jahrelange Erfahrung in der Umsetzung von TISAX® und ISO/IEC 27001 Projekten sowohl mit börsenorientierten internationalen Konzernen als auch mit regional tätigen KMUs
Großes TISAX-Templatepaket
Lösungsorientiert und pragmatisch
Haben wir Ihr Interesse geweckt?
Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!