TISAX® Assessment

TISAX® - für Informationssicherheit in der Automobilindustrie

TISAX®-Assessments sind entscheidend für Unternehmen in der Automobilindustrie, die nicht nur den Schutz ihrer Daten, sondern auch ihre Zukunft sichern wollen. In einer Branche, in der Präzision, Vertrauen und Sicherheit an erster Stelle stehen, zeigt TISAX®, dass ein Unternehmen bereit ist, den höchsten Standards gerecht zu werden – vom Herstellungsprozess bis hin zum Fahrzeugbetrieb.

Dabei basiert TISAX® auf einem Informationssicherheits-Managementsystem (ISMS) nach dem internationalen Standard ISO 27001. Der Verband der Automobilindustrie (VDA) hat speziell für diese Branche den ISA-Anforderungskatalog entwickelt, der die Grundlage für die Audits bildet.

Nur durch strenge Assessments (TISAX®-Prüfungen) nach dem VDA-ISA können Unternehmen die Zuverlässigkeit ihres ISMS nachweisen. Nach bestandener Prüfung, z. B. durch TÜV NORD, vergibt ENX*, der Administrator des TISAX®-Programms, das begehrte TISAX®-Label. Dieses Label öffnet die Türen zu den größten Automobilherstellern wie Audi, Volkswagen oder BMW - ein sichtbares Zeichen, dass man die hohen Erwartungen der Branche erfüllt.

Wie können Sie am TISAX®-Verfahren teilnehmen?

Für die Teilnahme am TISAX®-Verfahren ist die Registrierung im TISAX®-Online-Portal obligatorisch. Dieses bietet Unternehmen die Möglichkeit, ihren Informationssicherheitsstatus effizient mit ihren Partnern zu teilen. Neben dem Austausch von Assessment-Daten können Unternehmen über das Portal auch direkt mit Prüfdienstleistern und anderen Teilnehmenden in Kontakt treten. Das Austauschmodell ist flexibel gestaltet, so dass Unternehmen je nach Bedarf eine der beiden Rollen übernehmen und die Zusammenarbeit reibungslos gestalten können.

 

Passive Teilnehmende

Passive Teilnehmer, wie z.B. Fahrzeughersteller, verlangen von anderen Unternehmen, wie z.B. ihren Zulieferern, den Nachweis bestimmter TISAX®-Labels. Diese Labels belegen, dass ein Assessment mit den entsprechenden Prüfzielen durchgeführt wurde. Darüber hinaus verlangen sie Zugang zu den Ergebnissen dieser Audits, um sicherzustellen, dass die geforderten Sicherheitsstandards eingehalten werden.

Aktive Teilnehmende

Aktive Teilnehmer bzw. Auditoren, wie z.B. Lieferanten, lassen sich entweder im Auftrag eines Unternehmens, z.B. eines Automobilherstellers (OEM), nach dem TISAX®-Kriterienkatalog auditieren oder initiieren das Audit selbst. Nach Abschluss des Assessments entscheidet der aktive Teilnehmer, wer innerhalb des TISAX® -Netzwerkes Zugang zu den Auditergebnissen erhält.

Die Vorteile von TISAX®

  • Die Prüfkriterien sind speziell auf die Anforderungen der Automobilbranche zugeschnitten
  • Die TISAX®-Assessments sind von gleichbleibend hoher Qualität, und die Ergebnisse sind einheitlich
  • Standardisierte Prüf- und Berichtsverfahren gewährleisten Konsistenz
  • Die Ergebnisse sind aussagekräftig und gut vergleichbar
  • Doppel- und Mehrfachprüfungen werden vermieden, was den Aufwand reduziert
  • Ein effektives Risikomanagement wird implementiert, um Risiken gezielt zu minimieren
  • TISAX® genießt breite Anerkennung in der Automobilindustrie
  • Der gesamte Prozess ist konsequent auf die Bedürfnisse der Kunden ausgerichtet

In sieben Schritten zu TISAX®

Wie verläuft ein TISAX®-Assessment?

Die ENX Association, Betreiber des TISAX®-Programms, hat die verschiedenen Level und den Umfang der Assessments klar definiert. TISAX® unterscheidet drei Schutzklassen und Assessment-Levels, nach denen Unternehmen geprüft werden können. Die jeweiligen Prüfziele richten sich nach dem Schutzbedarf der Informationen.

TISAX®-Assessment nach Level 1

Für Unternehmen mit normalen Schutzanforderungen. In diesem Fall kann der Auditee das Assessment selbst als Selbstbewertung durchführen.

 

TISAX®-Assessment nach Level 2

Richtet sich an Lieferanten und Dienstleister mit höheren Schutzanforderungen. Nach Abschluss einer umfassenden Selbstbewertung erfolgt die Auditierung durch einen Audit-Dienstleister, der die folgenden Schritte durchführt:

  • Eröffnungsgespräch (Kick-off)
  • Prüfung der Vollständigkeit und Plausibilität der Selbstauskunft und der zugehörigen Nachweise
  • Telefoninterview mit den Verantwortlichen für das Informationssicherheits-Managementsystem (ISMS) bzw. Vor-Ort-Audit bei Drittanbindungen oder Prototypenschutz.

 

TISAX®-Assessment nach Level 3

Setzt sehr hohe Schutzanforderungen voraus. Auch hier wird nach einer vollständigen Selbsteinschätzung ein Audit-Provider (TISAX® AP) eingeschaltet. Die Prüfungsschritte sind ähnlich wie bei Level 2, beinhalten jedoch zusätzlich ein umfassendes Vor-Ort-Audit, das wesentliche Aspekte der Informationssicherheit berücksichtigt:

  • Eröffnungsgespräch
  • Prüfung der Vollständigkeit und Plausibilität der Selbstbewertung und der zugehörigen Nachweise
  • Bewertung der Wirksamkeit und Reife des ISMS durch Vor-Ort-Audits, Experteninterviews und Begehung relevanter Bereiche und Einrichtungen.

Nach Abschluss der Assessments werden die Ergebnisse und ggf. erforderliche Korrekturmaßnahmen in einem vorläufigen Bericht zusammengefasst. Um das TISAX® -Zertifikat zu erhalten, sind anschließend zwei weitere Prüfschritte erforderlich:

  • Der Auditee entwickelt einen Korrekturmaßnahmenplan, der vom akkreditierten Auditdienstleister, dem TISAX® Audit Provider (TISAX® AP), bewertet wird.
  • Der Auditee setzt die Korrekturmaßnahmen um und der TISAX® AP verifiziert die Wirksamkeit dieser Maßnahmen.

Weitere Fragen zu TISAX ®

Wofür steht TISAX®?

TISAX® steht für Trusted Information Security Assessment Exchange und beschreibt ein Verfahren zur Bewertung und zum Austausch von Informationen zur Informationssicherheit in der Automobilindustrie.

Wer steht hinter TISAX®?

TISAX® wurde vom Verband der Automobilindustrie e.V. (VDA) entwickelt und wird von der ENX Association verwaltet, die für die Überwachung der Qualität der Assessments, der Durchführung und der Ergebnisse verantwortlich ist.

Warum sollte mein Unternehmen an TISAX® teilnehmen?

Lieferanten und Dienstleister, die sensible Informationen von Automobilherstellern und deren Zulieferern verarbeiten, sollten am TISAX®-Prozess teilnehmen. Dies stellt sicher, dass sie die Anforderungen ihrer Kunden erfüllen und sich nicht wiederholt ähnlichen Prüfungen unterziehen müssen. Viele Auftraggeber verlangen von ihren Lieferanten regelmäßig den Nachweis der Einhaltung von Informationssicherheitsstandards.

Was muss ich tun, um an TISAX® teilzunehmen?

Der Zugang zum TISAX®-Portal, über das die Assessment-Daten ausgetauscht werden, erfolgt durch eine Teilnehmer-Registrierung. Diese Registrierung ist erforderlich, um einen  zugelassenen Prüfdienstleister (TISAX® Audit Provider) wie TÜV NORD AUSTRIA,  mit dem Assessment zu beauftragen.

 

Wer darf nach TISAX® prüfen?

Nur von ENX zugelassene Prüfdienstleister dürfen TISAX®-Assessments durchführen. TÜV NORD CERT ist einer der Vertragspartner der ENX und bietet diese Prüfungen an.

Welche Fristen gibt es?

Umfang und Dauer des TISAX®-Audits richten sich nach den vereinbarten Auditzielen, dem Reifegrad und der Komplexität des ISMS sowie der Anzahl der zu auditierenden Standorte. Vom Closing Meeting bis zum Abschluss des gesamten Verfahrens - einschließlich der Überprüfung der Umsetzung etwaiger Korrekturmaßnahmen - stehen den Unternehmen neun Monate zur Verfügung. Wird diese Frist überschritten, muss der Prozess neu gestartet werden. Das TISAX® -Label ist drei Jahre gültig, danach muss das Verfahren erneut durchlaufen werden

Ich möchte ein Angebot. Worauf muss ich achten?

Um ein Angebot für einen TISAX®-Test zu erhalten, müssen sich Interessenten zunächst auf dem ENX-Portal registrieren und die erforderlichen Informationen hinterlegen. Gerne unterstützen wir Sie bei der Angebotsanfrage - kontaktieren Sie uns einfach.

Wo finde ich weiterführende Informationen zu TISAX®?

Weitere ausführliche Informationen zu TISAX® finden Sie im Teilnehmerhandbuch der ENX, das auf ihrer Webseite Webseite zur Verfügung steht.

 

TISAX®-Assessments mit TÜV NORD AUSTRIA

TÜV NORD AUSTRIA ist Ihr zuverlässiger Partner, wenn es um die Qualität Ihres Informationssicherheits-Managementsystems (ISMS) geht. Aufgrund unserer langjährigen Erfahrung sind wir von der Deutschen Akkreditierungsstelle (DAkkS) für die Auditierung und Zertifizierung von ISMS-Systemen akkreditiert. Speziell für den Automotive-Bereich ist TÜV NORD AUSTRIA von der ENX Association als TISAX® Audit Provider (TISAX® AP) anerkannt und berechtigt, weltweit Assessments durchzuführen.

 

Hinweis: TÜV NORD Austria ist über die TÜV NORD CERT GmbH von der ENX autorisiert, TISAX®-Prüfungen anzubieten. Alle Marken und geistigen Eigentumsrechte im Zusammenhang mit dem TISAX®-Programm gehören der ENX.

Wir freuen uns auf Ihre Anfrage

TÜV NORD AustriaTÜV NORD Austria GmbH
Diefenbachgasse 35
1150 Wien

Tel.: +43 1 893 20 15-0
Fax: +43 1 893 2015-110
info.tnaustria@tuv-nord.com