TISAX®-Assessments sind entscheidend für Unternehmen in der Automobilindustrie, die nicht nur den Schutz ihrer Daten, sondern auch ihre Zukunft sichern wollen. In einer Branche, in der Präzision, Vertrauen und Sicherheit an erster Stelle stehen, zeigt TISAX®, dass ein Unternehmen bereit ist, den höchsten Standards gerecht zu werden – vom Herstellungsprozess bis hin zum Fahrzeugbetrieb.
Dabei basiert TISAX® auf einem Informationssicherheits-Managementsystem (ISMS) nach dem internationalen Standard ISO 27001. Der Verband der Automobilindustrie (VDA) hat speziell für diese Branche den ISA-Anforderungskatalog entwickelt, der die Grundlage für die Audits bildet.
Nur durch strenge Assessments (TISAX®-Prüfungen) nach dem VDA-ISA können Unternehmen die Zuverlässigkeit ihres ISMS nachweisen. Nach bestandener Prüfung, z. B. durch TÜV NORD, vergibt ENX*, der Administrator des TISAX®-Programms, das begehrte TISAX®-Label. Dieses Label öffnet die Türen zu den größten Automobilherstellern wie Audi, Volkswagen oder BMW - ein sichtbares Zeichen, dass man die hohen Erwartungen der Branche erfüllt.
Für die Teilnahme am TISAX®-Verfahren ist die Registrierung im TISAX®-Online-Portal obligatorisch. Dieses bietet Unternehmen die Möglichkeit, ihren Informationssicherheitsstatus effizient mit ihren Partnern zu teilen. Neben dem Austausch von Assessment-Daten können Unternehmen über das Portal auch direkt mit Prüfdienstleistern und anderen Teilnehmenden in Kontakt treten. Das Austauschmodell ist flexibel gestaltet, so dass Unternehmen je nach Bedarf eine der beiden Rollen übernehmen und die Zusammenarbeit reibungslos gestalten können.
Passive Teilnehmer, wie z.B. Fahrzeughersteller, verlangen von anderen Unternehmen, wie z.B. ihren Zulieferern, den Nachweis bestimmter TISAX®-Labels. Diese Labels belegen, dass ein Assessment mit den entsprechenden Prüfzielen durchgeführt wurde. Darüber hinaus verlangen sie Zugang zu den Ergebnissen dieser Audits, um sicherzustellen, dass die geforderten Sicherheitsstandards eingehalten werden.
Aktive Teilnehmer bzw. Auditoren, wie z.B. Lieferanten, lassen sich entweder im Auftrag eines Unternehmens, z.B. eines Automobilherstellers (OEM), nach dem TISAX®-Kriterienkatalog auditieren oder initiieren das Audit selbst. Nach Abschluss des Assessments entscheidet der aktive Teilnehmer, wer innerhalb des TISAX® -Netzwerkes Zugang zu den Auditergebnissen erhält.
Die ENX Association, Betreiber des TISAX®-Programms, hat die verschiedenen Level und den Umfang der Assessments klar definiert. TISAX® unterscheidet drei Schutzklassen und Assessment-Levels, nach denen Unternehmen geprüft werden können. Die jeweiligen Prüfziele richten sich nach dem Schutzbedarf der Informationen.
Nach Abschluss der Assessments werden die Ergebnisse und ggf. erforderliche Korrekturmaßnahmen in einem vorläufigen Bericht zusammengefasst. Um das TISAX® -Zertifikat zu erhalten, sind anschließend zwei weitere Prüfschritte erforderlich:
Für Unternehmen mit normalen Schutzanforderungen. In diesem Fall kann der Auditee das Assessment selbst als Selbstbewertung durchführen.
Richtet sich an Lieferanten und Dienstleister mit höheren Schutzanforderungen. Nach Abschluss einer umfassenden Selbstbewertung erfolgt die Auditierung durch einen Audit-Dienstleister, der die folgenden Schritte durchführt:
Setzt sehr hohe Schutzanforderungen voraus. Auch hier wird nach einer vollständigen Selbsteinschätzung ein Audit-Provider (TISAX® AP) eingeschaltet. Die Prüfungsschritte sind ähnlich wie bei Level 2, beinhalten jedoch zusätzlich ein umfassendes Vor-Ort-Audit, das wesentliche Aspekte der Informationssicherheit berücksichtigt:
TISAX® steht für Trusted Information Security Assessment Exchange und beschreibt ein Verfahren zur Bewertung und zum Austausch von Informationen zur Informationssicherheit in der Automobilindustrie.
TISAX® wurde vom Verband der Automobilindustrie e.V. (VDA) entwickelt und wird von der ENX Association verwaltet, die für die Überwachung der Qualität der Assessments, der Durchführung und der Ergebnisse verantwortlich ist.
Lieferanten und Dienstleister, die sensible Informationen von Automobilherstellern und deren Zulieferern verarbeiten, sollten am TISAX®-Prozess teilnehmen. Dies stellt sicher, dass sie die Anforderungen ihrer Kunden erfüllen und sich nicht wiederholt ähnlichen Prüfungen unterziehen müssen. Viele Auftraggeber verlangen von ihren Lieferanten regelmäßig den Nachweis der Einhaltung von Informationssicherheitsstandards.
Der Zugang zum TISAX®-Portal, über das die Assessment-Daten ausgetauscht werden, erfolgt durch eine Teilnehmer-Registrierung. Diese Registrierung ist erforderlich, um einen zugelassenen Prüfdienstleister (TISAX® Audit Provider) wie TÜV NORD AUSTRIA, mit dem Assessment zu beauftragen.
Nur von ENX zugelassene Prüfdienstleister dürfen TISAX®-Assessments durchführen. TÜV NORD CERT ist einer der Vertragspartner der ENX und bietet diese Prüfungen an.
Umfang und Dauer des TISAX®-Audits richten sich nach den vereinbarten Auditzielen, dem Reifegrad und der Komplexität des ISMS sowie der Anzahl der zu auditierenden Standorte. Vom Closing Meeting bis zum Abschluss des gesamten Verfahrens - einschließlich der Überprüfung der Umsetzung etwaiger Korrekturmaßnahmen - stehen den Unternehmen neun Monate zur Verfügung. Wird diese Frist überschritten, muss der Prozess neu gestartet werden. Das TISAX® -Label ist drei Jahre gültig, danach muss das Verfahren erneut durchlaufen werden.
Um ein Angebot für einen TISAX®-Test zu erhalten, müssen sich Interessenten zunächst auf dem ENX-Portal registrieren und die erforderlichen Informationen hinterlegen. Gerne unterstützen wir Sie bei der Angebotsanfrage - kontaktieren Sie uns einfach.
Weitere ausführliche Informationen zu TISAX® finden Sie im Teilnehmerhandbuch der ENX, das auf ihrer Webseite zur Verfügung steht.
TÜV NORD AUSTRIA ist Ihr zuverlässiger Partner, wenn es um die Qualität Ihres Informationssicherheits-Managementsystems (ISMS) geht. Aufgrund unserer langjährigen Erfahrung sind wir von der Deutschen Akkreditierungsstelle (DAkkS) für die Auditierung und Zertifizierung von ISMS-Systemen akkreditiert. Speziell für den Automotive-Bereich ist TÜV NORD AUSTRIA von der ENX Association als TISAX® Audit Provider (TISAX® AP) anerkannt und berechtigt, weltweit Assessments durchzuführen.
Hinweis: TÜV NORD Austria ist über die TÜV NORD CERT GmbH von der ENX autorisiert, TISAX®-Prüfungen anzubieten. Alle Marken und geistigen Eigentumsrechte im Zusammenhang mit dem TISAX®-Programm gehören der ENX.