TISAX Assessment

TISAX® - für Informationssicherheit in der Automobilindustrie

TISAX®-Assessments sind entscheidend für Unternehmen in der Automobilindustrie, die nicht nur den Schutz ihrer Daten, sondern auch ihre Zukunft sichern wollen. In einer Branche, in der Präzision, Vertrauen und Sicherheit an erster Stelle stehen, zeigt TISAX®, dass ein Unternehmen bereit ist, den höchsten Standards gerecht zu werden – vom Herstellungsprozess bis hin zum Fahrzeugbetrieb.

Dabei basiert TISAX® auf einem Informationssicherheits-Managementsystem (ISMS) nach dem internationalen Standard ISO 27001. Der Verband der Automobilindustrie (VDA) hat speziell für diese Branche den ISA-Anforderungskatalog entwickelt, der die Grundlage für die Audits bildet.

Nur durch strenge Assessments (TISAX®-Prüfungen) nach dem VDA-ISA können Unternehmen die Zuverlässigkeit ihres ISMS nachweisen. Nach bestandener Prüfung, z. B. durch TÜV NORD, vergibt ENX*, der Administrator des TISAX®-Programms, das begehrte TISAX®-Label. Dieses Label öffnet die Türen zu den größten Automobilherstellern wie Audi, Volkswagen oder BMW - ein sichtbares Zeichen, dass man die hohen Erwartungen der Branche erfüllt.

Wie können Sie am TISAX®-Verfahren teilnehmen?

Für die Teilnahme am TISAX®-Verfahren ist die Registrierung im TISAX®-Online-Portal obligatorisch. Dieses bietet Unternehmen die Möglichkeit, ihren Informationssicherheitsstatus effizient mit ihren Partnern zu teilen. Neben dem Austausch von Assessment-Daten können Unternehmen über das Portal auch direkt mit Prüfdienstleistern und anderen Teilnehmenden in Kontakt treten. Das Austauschmodell ist flexibel gestaltet, so dass Unternehmen je nach Bedarf eine der beiden Rollen übernehmen und die Zusammenarbeit reibungslos gestalten können.

Passive Teilnehmer, wie z.B. Fahrzeughersteller, verlangen von anderen Unternehmen, wie z.B. ihren Zulieferern, den Nachweis bestimmter TISAX®-Labels. Diese Labels belegen, dass ein Assessment mit den entsprechenden Prüfzielen durchgeführt wurde. Darüber hinaus verlangen sie Zugang zu den Ergebnissen dieser Audits, um sicherzustellen, dass die geforderten Sicherheitsstandards eingehalten werden.

Aktive Teilnehmer bzw. Auditoren, wie z.B. Lieferanten, lassen sich entweder im Auftrag eines Unternehmens, z.B. eines Automobilherstellers (OEM), nach dem TISAX®-Kriterienkatalog auditieren oder initiieren das Audit selbst. Nach Abschluss des Assessments entscheidet der aktive Teilnehmer, wer innerhalb des TISAX® -Netzwerkes Zugang zu den Auditergebnissen erhält.

Die Vorteile von TISAX®

Die Prüfkriterien sind speziell auf die Anforderungen der Automobilbranche zugeschnitten
Die TISAX®-Assessments sind von gleichbleibend hoher Qualität, und die Ergebnisse sind einheitlich
Standardisierte Prüf- und Berichtsverfahren gewährleisten Konsistenz
Die Ergebnisse sind aussagekräftig und gut vergleichbar
Doppel- und Mehrfachprüfungen werden vermieden, was den Aufwand reduziert
Ein effektives Risikomanagement wird implementiert, um Risiken gezielt zu minimieren
TISAX® genießt breite Anerkennung in der Automobilindustrie
Der gesamte Prozess ist konsequent auf die Bedürfnisse der Kunden ausgerichtet

In sieben Schritten zu TISAX®

1

Schritt 1

Online-Registrierung ENX-Plattform

2

Schritt 2

Auswahl und Beauftragung Prüfdienstleister (TÜV NORD)

3

Schritt 3

Vereinbarung der Termine mit Auditor:innen & Bereitstellung der Dokumentation

4

Schritt 4

Audit Stufe 1 - Schwerpunkt Dokumentationsprüfung

5

Schritt 5

Audit Stufe 2 - Schwerpunkt Prozesse & Interviews mit Beteiligten

6

Schritt 6

Management von Abweichungen

7

Schritt 7

Bereitstellung des Labels auf der ENX-Plattform

Wie verläuft ein TISAX®-Assessment?

Die ENX Association, Betreiber des TISAX®-Programms, hat die verschiedenen Level und den Umfang der Assessments klar definiert. TISAX® unterscheidet drei Schutzklassen und Assessment-Levels, nach denen Unternehmen geprüft werden können. Die jeweiligen Prüfziele richten sich nach dem Schutzbedarf der Informationen.

Nach Abschluss der Assessments werden die Ergebnisse und ggf. erforderliche Korrekturmaßnahmen in einem vorläufigen Bericht zusammengefasst. Um das TISAX® -Zertifikat zu erhalten, sind anschließend zwei weitere Prüfschritte erforderlich:

Der Auditee entwickelt einen Korrekturmaßnahmenplan, der vom akkreditierten Auditdienstleister, dem TISAX® Audit Provider (TISAX® AP), bewertet wird.
Der Auditee setzt die Korrekturmaßnahmen um und der TISAX® AP verifiziert die Wirksamkeit dieser Maßnahmen.

Für Unternehmen mit normalen Schutzanforderungen. In diesem Fall kann der Auditee das Assessment selbst als Selbstbewertung durchführen.

Richtet sich an Lieferanten und Dienstleister mit höheren Schutzanforderungen. Nach Abschluss einer umfassenden Selbstbewertung erfolgt die Auditierung durch einen Audit-Dienstleister, der die folgenden Schritte durchführt:

Eröffnungsgespräch (Kick-off)
Prüfung der Vollständigkeit und Plausibilität der Selbstauskunft und der zugehörigen Nachweise
Telefoninterview mit den Verantwortlichen für das Informationssicherheits-Managementsystem (ISMS) bzw. Vor-Ort-Audit bei Drittanbindungen oder Prototypenschutz.

Setzt sehr hohe Schutzanforderungen voraus. Auch hier wird nach einer vollständigen Selbsteinschätzung ein Audit-Provider (TISAX® AP) eingeschaltet. Die Prüfungsschritte sind ähnlich wie bei Level 2, beinhalten jedoch zusätzlich ein umfassendes Vor-Ort-Audit, das wesentliche Aspekte der Informationssicherheit berücksichtigt:

Eröffnungsgespräch
Prüfung der Vollständigkeit und Plausibilität der Selbstbewertung und der zugehörigen Nachweise
Bewertung der Wirksamkeit und Reife des ISMS durch Vor-Ort-Audits, Experteninterviews und Begehung relevanter Bereiche und Einrichtungen.

Weitere Fragen zu TISAX ®

TISAX® steht für Trusted Information Security Assessment Exchange und beschreibt ein Verfahren zur Bewertung und zum Austausch von Informationen zur Informationssicherheit in der Automobilindustrie.

TISAX® wurde vom Verband der Automobilindustrie e.V. (VDA) entwickelt und wird von der ENX Association verwaltet, die für die Überwachung der Qualität der Assessments, der Durchführung und der Ergebnisse verantwortlich ist.

Lieferanten und Dienstleister, die sensible Informationen von Automobilherstellern und deren Zulieferern verarbeiten, sollten am TISAX®-Prozess teilnehmen. Dies stellt sicher, dass sie die Anforderungen ihrer Kunden erfüllen und sich nicht wiederholt ähnlichen Prüfungen unterziehen müssen. Viele Auftraggeber verlangen von ihren Lieferanten regelmäßig den Nachweis der Einhaltung von Informationssicherheitsstandards.

Der Zugang zum TISAX®-Portal, über das die Assessment-Daten ausgetauscht werden, erfolgt durch eine Teilnehmer-Registrierung. Diese Registrierung ist erforderlich, um einen zugelassenen Prüfdienstleister (TISAX® Audit Provider) wie TÜV NORD AUSTRIA, mit dem Assessment zu beauftragen.

Nur von ENX zugelassene Prüfdienstleister dürfen TISAX®-Assessments durchführen. TÜV NORD CERT ist einer der Vertragspartner der ENX und bietet diese Prüfungen an.

Umfang und Dauer des TISAX®-Audits richten sich nach den vereinbarten Auditzielen, dem Reifegrad und der Komplexität des ISMS sowie der Anzahl der zu auditierenden Standorte. Vom Closing Meeting bis zum Abschluss des gesamten Verfahrens - einschließlich der Überprüfung der Umsetzung etwaiger Korrekturmaßnahmen - stehen den Unternehmen neun Monate zur Verfügung. Wird diese Frist überschritten, muss der Prozess neu gestartet werden. Das TISAX® -Label ist drei Jahre gültig, danach muss das Verfahren erneut durchlaufen werden.

Um ein Angebot für einen TISAX®-Test zu erhalten, müssen sich Interessenten zunächst auf dem ENX-Portal registrieren und die erforderlichen Informationen hinterlegen. Gerne unterstützen wir Sie bei der Angebotsanfrage - kontaktieren Sie uns einfach.

Weitere ausführliche Informationen zu TISAX® finden Sie im Teilnehmerhandbuch der ENX, das auf ihrer Webseite zur Verfügung steht.