TISAX Anforderungen: Schritt für Schritt Zertifizierung vorbereiten

TISAX® Anforderungen: Schritt für Schritt Zertifizierung vorbereiten

TISAX und der VDA-ISA Fragenkatalog sind zwei wichtige Standards für die Informationssicherheit in der Automobilindustrie. TISAX® ist ein Zertifizierungsschema, das von der ENX Association entwickelt wurde und die Anforderungen an die Informationssicherheit von Unternehmen in der Automobilindustrie bewertet. Der VDA-ISA Fragenkatalog ist ein Fragebogen, der die Grundlage für das TISAX®-Assessment bildet.

In diesem Blogbeitrag erfahren Sie, wie Sie sich optimal auf die TISAX-Zertifizierung bzw. das TISAX-Audit vorbereiten können. Welche Schritte notwendig sind, wo es Parallelen zur Informationssicherheit und dem Datenschutz gibt und welche Neuerungen die VDA-ISA Version 6 mit sich bringt.

Wichtigste Informationen zum TISAX®

  • TISAX ist ein internationaler Standard für die Informationssicherheit in der Automobilindustrie. Er wurde von der VDA gemeinsam mit der ENX Association entwickelt.
  • TISAX ist ein Standard für Informationssicherheitsmanagement-Systeme und basiert auf den Anforderungen der ISO/IEC 27001. Er enthält jedoch zusätzliche Anforderungen, die sich aus den besonderen Bedürfnissen der Automobilindustrie ergeben.
  • TISAX wird von Unternehmen verwendet, die mit der Automobilindustrie zusammenarbeiten. Dazu gehören Zulieferer, Dienstleister und Hersteller von Fahrzeugen und Fahrzeugkomponenten.
  • Die Zertifizierung nach TISAX ist freiwillig. Sie wird jedoch von vielen Automobilherstellern als Voraussetzung für die Zusammenarbeit gefordert.
  • Die Zertifizierung nach TISAX ist ein aufwändiger Prozess. Er erfordert die Durchführung einer Selbstbewertung und eine regelmäßige Rezertifizierung.

Was ist TISAX®?

Definition von TISAX®

TISAX® steht für „Trusted Information Security Assessment Exchange“ und ist ein standardisiertes Prüfverfahren für die Informationssicherheit in der Automobilindustrie. TISAX® wurde entwickelt, um sicherzustellen, dass Unternehmen, die sensible Informationen und Daten in der Automobilbranche verarbeiten, die erforderlichen Sicherheitsstandards und -anforderungen erfüllen. Dieses Sicherheitsbewertungsverfahren ermöglicht es Unternehmen, ihre Informationssicherheit zu überprüfen, zu verbessern und gegenüber Geschäftspartnern nachzuweisen. TISAX® ist ein wichtiger Schritt zur Gewährleistung der Datensicherheit und zum Schutz vor Cyberbedrohungen in der Automobilindustrie.

Zusammenhang von TISAX®, VDA und ISA

TISAX, VDA und ISA sind eng miteinander verknüpfte Konzepte, die in der Automobilindustrie eine wichtige Rolle spielen.

TISAX: Trusted Information Security Assessment Exchange
VDA: Verband der Automobilindustrie
ISA: Information Security Assessment

TISAX® ist ein standardisiertes Prüfverfahren für die Informationssicherheit in der Automobilindustrie und wurde von der ENX Association entwickelt, um sicherzustellen, dass Unternehmen, die sensible Informationen in der Automobilbranche verarbeiten, die erforderlichen Sicherheitsstandards und -anforderungen erfüllen. TISAX basiert auf internationalen Standards und ist eine Plattform, auf der Unternehmen ihre Informationssicherheit zertifizieren und austauschen können.

Der VDA ist der deutsche Verband der Automobilindustrie, repräsentiert die Interessen der Automobilhersteller und Zulieferer in Deutschland und hat zusammen mit anderen Organisationen und Akteuren aus der Branche die TISAX-Standards und -Anforderungen mitentwickelt. Der VDA unterstützt die Verbreitung und Umsetzung von TISAX in der Automobilindustrie.

ISA ist ein Instrument, das im Rahmen von TISAX eingesetzt wird, um die Informationssicherheit von Unternehmen zu bewerten. Die sogenannten ISA-Assessments werden von autorisierten TISAX-Assessmentstellen durchgeführt, um die Einhaltung der Sicherheitsstandards und -anforderungen zu überprüfen. Die Ergebnisse von ISA-Assessments sind entscheidend für die TISAX-Zertifizierung von Unternehmen.

Wie funktioniert TISAX®?

Teilnehmer des TISAX®-Verfahrens müssen sich verpflichten auf einem Online-Portal registrieren, um u. a. Informationen zum Status der Informationssicherheit, den sogenannten  Assessmentdaten, untereinander auszutauschen. Das Portail dient auch dazu, Kontakt zu weiteren Beteiligten am TISAX-Verfahren auszunehmen:

  • ENX Association: Die ENX Association pflegt den Kriterienrahmen („TISAX ACAR“). Es genehmigt Prüfdienstleister und überwacht die Qualität der Umsetzung der Prüfergebnisse.
  • Prüfdienstleister: Der Prüfdienstleister ist von der ENX Association zugelassen und führt die Prüfung beim Teilnehmer durch. Der Auditdienstleister stellt dem bewerteten Teilnehmer das Bewertungsergebnis zur Verfügung.
  • Teilnehmer: Der Teilnehmer ist ein in TISAX registriertes Unternehmen und wird von einem Prüfdienstleister bewertet.

Organisationen, die eine TISAX-Zertifizierung anstreben, müssen sich auf den Prozess vorbereiten. Dies beinhaltet die Auswahl der relevanten TISAX-Reifegradstufen basierend auf den Sicherheitsanforderungen und Bedürfnissen der Organisation.

Das Unternehmen wählt eine autorisierte TISAX-Assessmentstelle aus, die das TISAX-Assessment durchführen wird. Diese Stellen sind von der ENX Association autorisiert und führen unabhängige Sicherheitsbewertungen durch.

Die TISAX-Assessmentstelle führt das Assessment durch, bei dem die Informationssicherheitsmaßnahmen und -prozesse des Unternehmens überprüft werden. Dies umfasst Aspekte wie Datenschutz, Cybersecurity, IT-Infrastruktur und Risikomanagement.

Während des Assessments wird das Information Security Assessment (ISA) als Instrument verwendet, um die Sicherheit des Unternehmens zu bewerten. ISA dient als Grundlage für die Überprüfung der Informationssicherheitsstandards.

Die Ergebnisse des Assessments werden in einem Bericht festgehalten. Dieser Bericht enthält Empfehlungen zur Verbesserung der Informationssicherheit und zeigt auf, ob das Unternehmen die TISAX-Anforderungen erfüllt.

Nach dem TISAX-Assessment bereitet sich das Unternehmen auf das TISAX-Audit vor, das den abschließenden Schritt des Zertifizierungsprozesses darstellt.

Ein autorisiertes TISAX-Auditteam führt das TISAX-Audit durch. Dabei wird überprüft, ob das Unternehmen die Sicherheitsstandards gemäß den gewählten TISAX-Reifegradstufen erfüllt.

Bei erfolgreicher Überprüfung und Erfüllung der TISAX-Anforderungen wird dem Unternehmen die TISAX-Zertifizierung erteilt. Dies bestätigt, dass es die hohen Standards für Informationssicherheit in der Automobilindustrie erfüllt.

Hintergrundinformationen zu TISAX®

Herkunft und Entstehung von TISAX®

Die Herkunft und Entstehung von TISAX, dem Trusted Information Security Assessment Exchange, sind eng mit der Automobilindustrie und den Herausforderungen der Informationssicherheit in diesem Sektor verbunden.

Die ENX Association, ein europäischer Netzwerkbetreiber für die Automobilindustrie, spielt eine zentrale Rolle bei der Herkunft von TISAX. Die ENX Association hat das Ziel, sicheren Datenaustausch und Zusammenarbeit in der Automobilindustrie zu fördern. Mit dem zunehmenden Einsatz digitaler Technologien und der verstärkten Vernetzung in der Automobilindustrie entstand die Notwendigkeit, robuste Sicherheitsstandards zu etablieren. Sensible Informationen, insbesondere im Bereich der Produktentwicklung und Lieferkette, erforderten einen höheren Schutz vor Cyberbedrohungen.

Die ENX Association arbeitete eng mit verschiedenen Stakeholdern der Automobilindustrie zusammen, darunter Hersteller, Zulieferer und Dienstleister. Gemeinsam erkannten sie die Bedeutung einer standardisierten Methode zur Bewertung und Zertifizierung der Informationssicherheit. Basierend auf dieser Erkenntnis entwickelte die ENX Association TISAX als standardisiertes Prüfverfahren für die Informationssicherheit. Der Fokus lag darauf, ein einheitliches und anerkanntes System zu schaffen, das es Unternehmen ermöglicht, ihre Informationssicherheit zu zertifizieren und diese Zertifizierung branchenweit anzuerkennen.

TISAX orientiert sich an internationalen Standards für Informationssicherheit und Datenschutz, um sicherzustellen, dass die entwickelten Maßnahmen und Anforderungen global anerkannt sind. TISAX hat sich zu einem Standard in der Automobilindustrie entwickelt, der von vielen Unternehmen akzeptiert wird. Die branchenweite Akzeptanz zeigt sich in der steigenden Anzahl von Unternehmen, die TISAX-Zertifizierungen anstreben, um ihre Informationssicherheit zu belegen.

Abgrenzung TISAX® von der ISO 27001

TISAX (Trusted Information Security Assessment Exchange) und ISO 27001 sind zwei verschiedene Ansätze zur Informationssicherheit, die in unterschiedlichen Kontexten verwendet werden. TISAX ist spezifisch auf die Automobilindustrie ausgerichtet, die DIN EN ISO 27001 bietet allgemeinere Anwendbarkeit. Unternehmen wählen ihren Ansatz in Abhängigkeit von ihrer Branche, ihren spezifischen Anforderungen und den Erwartungen ihrer Geschäftspartner.

Hier sind die Hauptunterschiede zwischen TISAX und ISO 27001:

  • TISAX ist speziell auf die Anforderungen der Automobilindustrie ausgerichtet. Es wurde entwickelt, um den Schutz sensibler Informationen in diesem speziellen Sektor zu gewährleisten.
  • ISO 27001 hingegen ist ein internationaler Standard, der allgemeine Richtlinien für das Informationssicherheitsmanagement in verschiedenen Branchen bietet.
  • TISAX richtet sich in erster Linie an Unternehmen, die in der Lieferkette der Automobilindustrie tätig sind, wie Hersteller, Zulieferer und Dienstleister.
  • ISO 27001 ist allgemeiner und kann auf Unternehmen jeder Branche angewendet werden, unabhängig von ihrer Rolle in der Lieferkette.
  • TISAX legt einen besonderen Fokus auf die Sicherheit in der Lieferkette der Automobilindustrie. Unternehmen müssen ihre Informationssicherheit nicht nur intern gewährleisten, sondern auch sicherstellen, dass Partner und Lieferanten angemessene Sicherheitsmaßnahmen implementieren.
  • ISO 27001 ist breiter angelegt und konzentriert sich weniger explizit auf die spezifischen Anforderungen innerhalb einer Lieferkette.
  • TISAX verwendet das TISAX-Assessment und TISAX-Audit, um die Informationssicherheit zu bewerten und zu zertifizieren. Die Zertifizierung ist auf bestimmte Reifegradstufen ausgerichtet.
  • ISO 27001 setzt auf ein Informationssicherheitsmanagementsystem (ISMS), das gemäß den Anforderungen des Standards entwickelt und implementiert wird. Die Zertifizierung erfolgt durch eine unabhängige Prüfstelle.
  • TISAX ist spezifisch für die Automobilindustrie und wird hauptsächlich von Unternehmen innerhalb dieser Branche genutzt.
  • ISO 27001 ist international anerkannt und kann in Unternehmen weltweit angewendet werden.

Zusammenhang TISAX® und Datenschutz

TISAX und Datenschutz haben einen engen Zusammenhang. Der VDA-ISA-Standard, auf dem die TISAX Zertifizierung basiert, enthält auch Anforderungen an den Datenschutz. Diese Anforderungen sind in den folgenden Bereichen festgelegt:

  • Organisation des Datenschutzes: Bestellung eines Datenschutzbeauftragten, sofern gesetzlich erforderlich, sonst durch die Bestimmung eines Datenschutzverantwortlichen
  • Treffen von technisch organisatorischen Maßnahmen in Bezug auf die gesetzkonforme Verarbeitung personenbezogener Daten
  • Implementierung eines Datenschutz-Management-Systems und regelmäßige Aktualisierung und Qualitätsprüfung.
  • Dokumentation wesentlicher Tätigkeiten in Bezug auf die gesetzlichen Anforderungen im Bereich Datenschutz.

Datenschutz in Vorbereitung auf die TISAX-Zertifizierung umsetzen

Die Berater der Robin Data GmbH helfen Ihnen dabei, Ihren organisatorischen Datenschutz zu organisieren. Von der Implementierung eines Datenschutz-Management-Systems, über die Entwicklung von Maßnahmen speziell für Ihre Organisation bis zu Dokumentation von Tätigkeiten.

Vorteile von TISAX®

  • Standardisierte Prüf- und Berichtsverfahren
  • Verbesserte Informationssicherheit und Sicherheit von Daten
  • Erhöhte Kundenzufriedenheit
  • Implementierung eines Risikomanagement und Reduzierung von Risiken
  • Geringere Kosten für Informationssicherheit durch optimierte Informationssicherheitsprozesse
  • Verbesserte Wettbewerbsfähigkeit durch Professionalität und Zuverlässigkeit
  • Breite Akzeptanz in der Automobilbranche

Die TISAX-Zertifizierung im Detail

Welche Unternehmen benötigen TISAX®?

TISAX, das Trusted Information Security Assessment Exchange, wird in der Regel von Organisationen in der Automobilindustrie benötigt. Insbesondere Organisationen, die in der Lieferkette der Automobilbranche tätig sind, sollten TISAX-Zertifizierungen anstreben. Die Entscheidung für die TISAX-Zertifizierung hängt oft von der Rolle einer Organisation in der Lieferkette ab und davon, ob es sensible Informationen verarbeitet, die den Sicherheitsstandards von TISAX unterliegen. Organisationen sollten sich mit ihren Kunden und Geschäftspartnern abstimmen, um festzustellen, ob die TISAX-Zertifizierung erforderlich ist.

Akteure die in der Lieferkette der Automobilindustrie eingebunden sind und typischerweise eine TISAX-Zertifizierungen benötigen sind:

  • Automobilhersteller
  • Zulieferer von Fahrzeugteilen
  • Dienstleister in der Automobilbranche (z. B. IT-Dienstleister, Beratungsunternehmen oder Logistikdienstleister)
  • Softwareentwickler für Fahrzeugsysteme
  • Produktionsunternehmen in der Automobilzulieferkette

TISAX® Schutzklassen und Assessment Level

TISAX unterscheidet zwischen drei Assessment-Levels (Schutzanforderungen), abhängig davon, welcher Schutz erforderlich ist: normal (Level 1), hoch (Level 2) und sehr hoch (Level 3). Die Prüfmethoden und der Aufwand werden durch die festgelegten Sicherheitsanforderungen bestimmt.

Die Wahl des richtigen TISAX Assessment Levels hängt von den spezifischen Anforderungen des Unternehmens ab. Unternehmen sollten sich daher von einem qualifizierten Berater beraten lassen, um das richtige Level für ihr Unternehmen auszuwählen.

In Abhängigkeit davon, wie hoch der Schutzbedarf der Daten eingestuft wird, steigt auch der Prüfumfang und Aufwand.

Das TISAX Assessment Level 1 ist das Grundlevel der TISAX Zertifizierung. Es umfasst die Anforderungen des VDA-ISA-Standards für die Informationssicherheit in der Automobilindustrie. Der potenzielle Schaden für die Organisation ist begrenzt und überschaubar.

Prüfumfang: Grundprüfung bzw. Selbstauskunft (Self Assessment)

Das Level 1 Assessment ist für Organisationen mit normalen Schutzanforderungen gedacht, die:

  • keine sensiblen Daten verarbeiten
  • keine kritischen Prozesse ausführen
  • keine hohen Anforderungen an die Informationssicherheit haben

Das TISAX Assessment Level 2 ist das mittlere Level der TISAX Zertifizierung. Es umfasst alle Anforderungen des VDA-ISA-Standards plus zusätzliche Anforderungen an die Informationssicherheit. Der potenzielle Schaden für die Organisation kann beträchtlich sein.

Prüfumfang:

  • Selbstbewertung
  • Plausibilitätsprüfung der Selbstbewertung durch akkreditierten Prüfer
  • Prüfung des ISMS

Das Level 2 Assessment ist für Organisationen mit hohen Schutzanforderungen gedacht, die:

  • sensible Daten verarbeiten
  • kritische Prozesse ausführen
  • hohe Anforderungen an die Informationssicherheit haben

Das TISAX Assessment Level 3 ist das höchste Level der TISAX Zertifizierung. Es umfasst alle Anforderungen des VDA-ISA-Standards plus zusätzliche Anforderungen an die Informationssicherheit, die für Unternehmen mit sehr hohen Sicherheitsanforderungen erforderlich sind. Der potenzielle Schaden kann ein für die Organisation existenziell bedrohliches oder katastrophales Ausmaß erreichen.

Prüfumfang:

  • Selbstbewertung
  • Plausibilitätsprüfung der Selbstbewertung durch akkreditierten Prüfer vor Ort
  • Assessment der Wirksamkeit und des Reifegrades des ISMS  vor Ort

Das Level 3 Assessment ist für Organisationen mit sehr hohen Schutzanforderungen gedacht, die:

  • sehr sensible Daten verarbeiten
  • sehr kritische Prozesse ausführen
  • sehr hohe Anforderungen an die Informationssicherheit haben

TISAX®-Reifegradstufen

Das TISAX-Reifegradmodell ist ein 5-stufiges Modell, das die Umsetzung der Anforderungen des TISAX-Standards bewertet. Die Reifegrade reichen von 0 für „unvollständig“ bis 5 für „optimierend“. Bei der Auditierung des Informationssicherheitsmanagementsystems (ISMS) wird die Umsetzung von Teilergebnissen anhand der TISAX-Reifegrade bewertet. Aus der Bewertung dieser Teilergebnissen wird ein Durchschnitt gebildet, dieser Wert entspricht dem Reifegrad des ISMS. Für eine erfolgreiche Zertifizierung nach TISAX® ist mindestens der Reifegrad 3 zu erreichen.

ReifegradBeschreibung
0: UnvollständigAuf Reifegrad 0 werden die Anforderungen des TISAX-Standardsnicht erfüllt. Innerhalb der Organisation gibt es keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen.
1: DurchgeführtAuf Reifegrad 1 werden die Anforderungen des TISAX-Standards grundsätzlich erfüllt. Die Maßnahmen sind jedoch nicht oder nur unvollständig dokumentiert und es gibt keine systematische Überwachung oder Verbesserung.
2: GesteuertAuf Reifegrad 2 sind die Anforderungen des TISAX-Standards dokumentiert und es gibt eine systematische Überwachung und Verbesserung. Die Maßnahmen werden jedoch nicht immer effektiv umgesetzt.
3: EtabliertAuf Reifegrad 3 werden die Anforderungen des TISAX-Standards effektiv umgesetzt. Die Maßnahmen sind in die Unternehmenskultur integriert und es gibt einen kontinuierlichen Verbesserungsprozess.
4: VoraussagbarAuf Reifegrad 4 sind die Anforderungen des TISAX-Standards so gut umgesetzt, dass Abweichungen von den Zielen vorhersagbar sind. Es gibt ein hohes Maß an Sicherheit und Zuverlässigkeit.
5: OptimierendAuf Reifegrad 5 werden die Anforderungen des TISAX-Standards kontinuierlich optimiert. Es gibt einen aktiven Austausch mit den Interessengruppen und es werden neue Erkenntnisse und Technologien genutzt.

Schritte zur TISAX®-Zertifizierung

Die TISAX Zertifizierung ist ein Prozess, der von einer Organisation durchgeführt wird, um zu zeigen, dass es die Anforderungen des VDA-ISA-Standards für die Informationssicherheit erfüllt.

Obwohl der Begriff „TISAX Zertifizierung“ etabliert ist, erhält die Organisation kein Zertifikat im klassischen Sinne. Mit Zertifizierung ist eher der Ablauf gemeint, in Folge dessen die TISAX-Anforderungen überprüft werden. In Folge der Überprüfung wird ein Gutachten erstellt. Verläuft die Überprüfung positiv, erhält die Organisation vielmehr ein Label, welches werblich genutzt werden.

Organisationen, die eine TISAX-Zertifizierung anstreben, müssen sich auf den Prozess vorbereiten. In der Vorbereitungsphase informiert sich die Organisation über die Anforderungen des VDA-ISA-Standards und wählt die passenden Prüfziele aus. Außerdem beginnt das Unternehmen mit der Vorbereitung der nötigen Dokumente. Dazu gehören unter anderem:

  • Übersicht über die Organisationsstruktur
  • Beschreibung der Informationssicherheitsorganisation
  • Risikoanalyse
  • Maßnahmenplan zur Risikominderung

Die TISAX Registrierung ist einer der ersten Schritte auf dem Weg zur TISAX-Zertifizierung. Die Registrierung erfolgt über das ENX Portal, das von der European Network Exchange GmbH betrieben wird. Die Organisation reicht mit der Registrierung Anforderungsdokumente wie die  Selbsteinschätzung auf Basis des VDA-ISA-Fragenkataloges inkl. der angestrebten Labels ab.

Der Prüfdienstleister ist dafür verantwortlich, das Assessment durchzuführen und einen Bericht über die Ergebnisse zu erstellen. Prüfdienstleister sind von der ENX Association autorisiert und führen unabhängige Sicherheitsbewertungen durch.

Bei der Auswahl eines Prüfdienstleisters sollten Sie Folgendes berücksichtigen:

  • Akkreditierung: Der Prüfdienstleister muss von einem akkreditierten Akkreditierungsdienstleister akkreditiert sein. Die Akkreditierung stellt sicher, dass der Prüfdienstleister über die erforderlichen Qualifikationen und Erfahrungen verfügt, um das Assessment durchzuführen.
  • Erfahrung: Der Prüfdienstleister sollte Erfahrung mit der Durchführung von TISAX-Assessments haben. Dies stellt sicher, dass der Prüfdienstleister mit den Anforderungen des VDA-ISA-Standards vertraut ist und das Assessment sachgerecht durchführen kann.
  • Kompetenz: Der Prüfdienstleister sollte über die erforderlichen Kompetenzen in den Bereichen Informationssicherheit, Datenschutz und Automobilindustrie verfügen. Dies stellt sicher, dass der Prüfdienstleister das Assessment umfassend und fundiert durchführen kann.

Eine Übersicht über die autorisierten Prüfdienstleister finden Sie auf der ENX-Website.

Die TISAX Plausibilitäts- bzw. Erstprüfung ist ein Teil des TISAX-Prozesses. Sie wird von einem akkreditierten Prüfdienstleister durchgeführt und dient dazu, die Vollständigkeit und Plausibilität der Anforderungsdokumente zu überprüfen.

Die Plausibilitäts- bzw. Erstprüfung findet in der Regel nach der Registrierung und der Auswahl des Assessment Levels statt. Der Prüfdienstleister prüft die Anforderungsdokumente, die das Unternehmen im Rahmen der Registrierung eingereicht hat. Die Dokumente enthalten Informationen über die Organisation, ihre Prozesse und ihre Informationssicherheitssysteme.

Der Prüfdienstleister prüft die Anforderungsdokumente anhand der folgenden Kriterien:

  • Vollständigkeit: Die Dokumente müssen alle erforderlichen Informationen enthalten.
  • Plausibilität: Die Informationen in den Dokumenten müssen plausibel sein.

Wenn der Prüfdienstleister feststellt, dass die Anforderungsdokumente vollständig und plausibel sind, wird die Prüfung als erfolgreich abgeschlossen. Das Unternehmen kann dann mit der Vorbereitung auf das eigentliche Assessment beginnen.

Wenn der Prüfdienstleister feststellt, dass die Anforderungsdokumente unvollständig oder nicht plausibel sind, wird die Organisation vom Prüfdienstleister aufgefordert, die Dokumente zu ergänzen oder zu korrigieren. Die Organisation hat dann eine Frist von zwei Wochen, um die erforderlichen Änderungen vorzunehmen.

Wenn die Organisation die erforderlichen Änderungen nicht vornimmt, wird das Assessment abgebrochen, in Folge dessen beginnt der gesamte Prozess von vorn.

Je nach gewältem Assessment-Level überprüft der Prüfdienstleister die Organisation in einem Remote-Audit (Level 2) oder einem Vor-Ort-Audit (Level 3). Die Wahl zwischen einem TISAX-Assessment Remote-Audit und einem Vor-Ort-Audit hängt von mehreren Faktoren ab, einschließlich der Größe und Komplexität des Unternehmens, der Art der verarbeiteten Daten und den spezifischen Anforderungen der Kunden des Unternehmens.

Teil des Assessments sind Interviews mit Mitarbeitern der Organisation, sowie die Betrachtung der IT-Infrastruktur durch den Prüfdienstleister.

Die Ergebnisse des Assessments werden in einem Bericht festgehalten. Dieser Bericht enthält Empfehlungen zur Verbesserung der Informationssicherheit und zeigt auf, ob das Unternehmen die TISAX-Anforderungen erfüllt.

Nach dem TISAX-Assessment bereitet sich das Unternehmen auf das TISAX-Audit vor, das den abschließenden Schritt des Zertifizierungsprozesses darstellt. Das Unternehmen beseitigt alle Fehler und Probleme, die sich im Zuge des TISAX-Assessments gezeigt haben.

Im abschließendem TISAX-Audit muss die Organisation nachweisen, dass alle während des Assessments festgestellten Schwachstellen optimiert wurden. Nach Abschluss des Audits erstellt der Prüfdienstleister ein Gutachten über die Ergebnisse des Audits. Der Bericht enthält eine Bewertung der Informationssicherheit der auditierten Organisation anhand der Anforderungen des VDA-ISA-Standards.

Bei erfolgreicher Überprüfung und Erfüllung der TISAX-Anforderungen wird dem Unternehmen die TISAX-Zertifizierung erteilt.

Dies bestätigt, dass es die hohen Standards für Informationssicherheit in der Automobilindustrie erfüllt. Wenn das Unternehmen die Anforderungen des VDA-ISA-Standards erfüllt, wird es mit einem TISAX-Zertifikat ausgezeichnet. Das TISAX-Zertifikat ist drei Jahre gültig.

Das TISAX Label ist ein Teil der TISAX Zertifizierung. Das Label zeigt an, für welche Prüfziele das Unternehmen zertifiziert ist.

Eintragung der Organisation in die ENX Association Datenbank. In dieser Datenbank sind alle geprüften Organisationen gelistet. Alle TISAX-Teilnehmer haben Zugriff auf diese Datenbank, Zulieferer oder Dienstleistern werden aus dieser Datenbank ausgewählt oder deren Label vor Vertragsabschluss überprüft.

ISMS Audit zur Vorbereitung auf das TISAX® Assessment

In Vorbereitung auf das Assessment wird der aktuelle Reifegrad Ihres ISMS auf die Normkonformität gemäß der aktuell geltenden Version des TISAX-Standards überprüft. Während des Audits werden ggf. offene Maßnahmen dokumentiert und am Ende des Audits priorisiert.

Wichtige Anforderungen und Kriterien der TISAX®-Zertifizierung

Die Kriterien und Anforderungen der TISAX-Zertifizierung basieren auf dem VDA-ISA-Standard. Die wichtigsten Anforderungen und Kriterien der TISAX Zertifizierung sind:

Informationssicherheitsmanagementsystem (ISMS)
Organisationen müssen ein ISMS implementieren und betreiben, das den Anforderungen des VDA-ISA-Standards entspricht. Das ISMS muss die folgenden Bereiche abdecken und Bestandteile beinhalten:

  • Richtlinie zum und Organisation des Informationssicherheitsmanagements, inklusive regelmäßige Wirksamkeitsüberprüfung
  • Erfassen, Klassifikation in Schutzbedarfe und Management von Assets
  • Implementiertes Risikomanagements
  • Schulung und Sensibilisierung von Mitarbeitern
  • Implementiertes Business Continuity Management
  • Implementiertes Zugangs- und Zugriffskonzepte
  • Einsatz von kryptografischen Verfahren
  • Durchgängige Implementierung von Informationssicherheit auch im Fall von organisatorischen Änderungen
  • Berücksichtigung der Informationssicherheit in IT-Systemen
  • Implementierung von Informationssicherheit in der Zusammenarbeit mit Auftragnehmern und Kooperationspartnern
  • Einhaltung von Compliance-Vorschriften

Prototypenschutz
Der Prototypenschutz umfasst als schutzbedürftig klassifizierte Fahrzeuge, Komponenten und Bauteile, welche noch nicht seitens des OEMs der Öffentlichkeit vorgestellt und/oder in geeigneter Form veröffentlicht wurden.
Der auftraggebende Fachbereich des OEMs ist für die Klassifizierung der Schutzbedürftigkeit von Fahrzeugen, Komponenten und Bauteilen verantwortlich. Die Mindestanforderungen zum Prototypenschutz sind für die Schutzklassen hoch und sehr hoch nach VDA ISA anzuwenden.

Datenschutz

Organisationen müssen die folgenden Datenschutzanforderungen erfüllen:

  • Organisation des Datenschutzes: Bestellung eines Datenschutzbeauftragten, sofern gesetzlich erforderlich, sonst durch die Bestimmung eines Datenschutzverantwortlichen
  • Treffen von technisch organisatorischen Maßnahmen in Bezug auf die gesetzkonforme Verarbeitung personenbezogener Daten
  • Implementierung eines Datenschutz-Management-Systems und regelmäßige Aktualisierung und Qualitätsprüfung.
  • Dokumentation wesentlicher Tätigkeiten in Bezug auf die gesetzlichen Anforderungen im Bereich Datenschutz.

Tipps für eine erfolgreiche TISAX®-Zertifizierung

Die TISAX-Zertifizierung ist ein komplexer Prozess, der eine gründliche Vorbereitung erfordert. Hier sind einige Tipps, die Ihnen dabei helfen können, erfolgreich zu sein:

  • Beginnen Sie frühzeitig mit der Vorbereitung. Die TISAX-Zertifizierung ist ein fortlaufender Prozess, der Zeit und Ressourcen erfordert. Beginnen Sie daher frühzeitig mit der Vorbereitung, um genügend Zeit für die Umsetzung der erforderlichen Maßnahmen zu haben.
  • Holen Sie sich die Unterstützung der Geschäftsführung. Die Unterstützung der Geschäftsführung ist für eine erfolgreiche TISAX-Zertifizierung unerlässlich. Stellen Sie sicher, dass die Geschäftsführung die Bedeutung der Informationssicherheit versteht und sich für die Umsetzung der erforderlichen Maßnahmen engagiert.
  • Erstellen Sie ein klares Verständnis der Anforderungen. Die TISAX-Anforderungen sind komplex und umfangreich. Stellen Sie sicher, dass Sie ein klares Verständnis der Anforderungen haben, bevor Sie mit der Umsetzung beginnen.
  • Setzen Sie realistische Ziele. Die TISAX-Zertifizierung ist ein anspruchsvolles Ziel. Setzen Sie sich realistische Ziele, um Frustration und Enttäuschung zu vermeiden.
  • Nutzen Sie externe Unterstützung. Die Unterstützung eines erfahrenen Beratungsunternehmens kann Ihnen helfen, die TISAX-Anforderungen zu verstehen und umzusetzen.

Hier sind einige weitere konkrete Tipps, die Ihnen bei der Vorbereitung auf das TISAX-Assessment helfen können:

  • Führen Sie eine Bestandsaufnahme Ihrer aktuellen Informationssicherheits-Landschaft durch. Diese Bestandsaufnahme sollte die folgenden Aspekte umfassen:

    • Die wichtigsten Informations assets Ihres Unternehmens
    • Die bestehenden Informationssicherheits-Prozesse und -Kontrollen
    • Die Risiken für Ihre Informationssicherheit
  • Identifizieren Sie die Bereiche, in denen Ihr Unternehmen die Anforderungen von TISAX nicht erfüllt. Erstellen Sie einen Plan für die Umsetzung der erforderlichen Maßnahmen.

  • Schulen Sie Ihre Mitarbeiter in den Bereichen Informationssicherheit und TISAX. Die Mitarbeiter sind die wichtigste Säule Ihrer Informationssicherheit. Stellen Sie sicher, dass sie über die erforderlichen Kenntnisse und Fähigkeiten verfügen, um die Anforderungen von TISAX zu erfüllen.

Vorbereitung auf die TISAX-Zertifizierung mit einer Software

Die TISAX-Zertifizierung hat sich als branchenübergreifender Sicherheitsstandard in der Automobilindustrie etabliert und gewinnt zunehmend an Bedeutung. Um diesen Standard effizient zu erfüllen, ist eine sorgfältige Vorbereitung unerlässlich. Hierbei kann der Einsatz spezialisierter Softwarelösungen von unschätzbarem Wert sein.

Zunächst gilt es, die eigenen Sicherheitsprozesse und -standards genau zu analysieren und zu dokumentieren. Die TISAX-Anforderungen sind umfangreich und verlangen eine umfassende Dokumentation aller relevanten Prozesse, von der Datenverarbeitung über den Zugriffsschutz bis hin zur Krisenmanagement-Strategie. Eine dedizierte Software ermöglicht es Unternehmen, diese Anforderungen strukturiert abzuarbeiten und nachvollziehbar zu dokumentieren. Integrierte Anforderungslisten unterstützen dabei, keine der essenziellen Anforderungen zu übersehen.

Des Weiteren bietet eine Softwarelösung Funktionen zur Identifizierung und Behebung von Sicherheitslücken. Durch regelmäßige Risikoanalysen und Audits können potenzielle Schwachstellen frühzeitig erkannt und behoben werden. Dies stellt nicht nur die Einhaltung der TISAX-Normen sicher, sondern erhöht auch die allgemeine Sicherheit der Organisation.

Zusammenfassend bietet der Einsatz einer spezialisierten Softwarelösung eine effiziente und strukturierte Herangehensweise an die TISAX-Zertifizierung. Sie unterstützt Unternehmen dabei, die erforderlichen Standards zu erfüllen, Sicherheitslücken zu schließen und das Bewusstsein für Informationssicherheit kontinuierlich zu schärfen.

TISAX®-Anforderungen strukturiert mit ComplianceOS® abarbeiten und gleichzeitig dokumentieren

Der Einsatz von Robin Data ComplianceOS® unterstützt Organisationen dabei, Schritt für Schritt alle relevanten TISAX®-Anforderungen abzuarbeiten und sicherzustellen, dass keine Anforderung übersehen wird. Parallel dazu werden in der Robin Data ComplianceOS® alle durchgeführten Maßnahmen und Ergebnisse dokumentiert.

Fazit

Die TISAX Zertifizierung ist ein wichtiger Schritt für Unternehmen, die mit Automobilherstellern und deren Zulieferern zusammenarbeiten möchten. Die Zertifizierung zeigt, dass das Unternehmen die Anforderungen an die Informationssicherheit erfüllt und somit ein vertrauenswürdiger Partner ist.

Die TISAX Zertifizierung ist ein komplexer Prozess, der eine gründliche Vorbereitung erfordert. Unternehmen, die sich nach TISAX zertifizieren lassen möchten, sollten daher frühzeitig mit der Vorbereitung beginnen.

Die Vorteile einer TISAX Zertifizierung sind vielfältig:

  • Verbesserte Informationssicherheit: Die Zertifizierung hilft Unternehmen, ihre Informationssicherheit zu verbessern und die Risiken für den Verlust von sensiblen Daten zu reduzieren.
  • Verbesserte Zusammenarbeit: Die Zertifizierung erleichtert die Zusammenarbeit mit Automobilherstellern und deren Zulieferern.
  • Mehr Geschäftsmöglichkeiten: Die Zertifizierung kann zu neuen Geschäftsmöglichkeiten führen, da Unternehmen mit TISAX-Zertifizierung als vertrauenswürdige Partner angesehen werden.

Unternehmen, die in der Automobilindustrie tätig sind oder mit der Automobilindustrie zusammenarbeiten möchten, sollten daher die TISAX Zertifizierung in Erwägung ziehen.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Der Tätigkeitsbericht nach DSGVO

Vorlagen, Whitepaper und Umsetzung des Tätigkeitsbericht nach DSGVO. In wenigen Schritten automatisiert den Tätigkeitsbericht erstellen.

Löschkonzept nach DSGVO

Muster, Vorlagen und Beispiele für Ihr DSGVO Löschkonzept gemäß DIN 66398. Automatisiert das Löschkonzept erstellen.

Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeit nach Art. 30 DSGVO. Schritt für Schritt erklärt mit umfangreichen Informationen. Datenschutz einfach gemacht.