Datenschutz Pöllinger GmbH
Dresdner Straße 38
92318 Neumarkt
Fragen / Support
Telefon: 09181/2705770
E-Mail: kontakt@datenschutz-poellinger.de
Die TISAX®-Zertifizierung hat mehrere Vorteile für das Unternehmen, einschließlich des Aufbaus von Vertrauen und der Verbesserung der Reputation innerhalb der Automobilindustrie. Darüber hinaus trägt sie dazu bei, die Informationssicherheit zu erhöhen und das Risiko von Sicherheitsverletzungen und Datenlecks zu minimieren, was letztendlich die gesamte Lieferkette der Automobilbranche stärkt.
Unser Ziel ist es, Ihr Unternehmen bei der Einführung von TISAX® zu unterstützen und sicherzustellen, dass alle Anforderungen nach VDA ISA*, welches eine unternehmensübergreifende Anerkennung von Informationssicherheit beinhaltet, erfüllt sind, um die Zertifizierung zu erhalten. Dazu gehören die Bewertung und Verbesserung Ihrer Informationssicherheitsprozesse, die Identifizierung von Sicherheitslücken und die Implementierung erforderlicher Maßnahmen, um Ihre Daten und Systeme zu schützen.
Wir informieren uns über das Unternehmen und deren Organisation sowie Abteilungen und sammeln Informationen über das Unternehmen. Wir beraten mit Ihnen was Bestandteil der Prüfung sein soll. Wir ermitteln mit Ihnen die Prüfziele, das Assessment Level und den Prüf-Scope.
Für die Prüfziele gibt es grob drei Kategorien:
Je Kategorie gibt es verschiedene konkrete Prüfziele. Die Prüfziele werden in drei verschiedene Schutzbedarfskategorien gegliedert:
Das Prüfziel bestimmt die Anforderungen, die das Informationssicherheitsmanagementsytem (ISMS) erfüllen muss. Es hängt ausschließlich davon ab, welche Arten von Informationen verarbeitet werden. Wem die Daten gehören ist dabei irrelevant. Ausschlaggebend ist, dass sich die Daten in Ihrem Besitz befinden.
Beispiel: Der Kunde verlangt das Label „Informationen mit hohem Schutzbedarf“ - dann ist es sinnvoll als Prüfziel für Ihre TISAX®-Prüfung „Informationen mit hohem Schutzbedarf“ (AL3) festzulegen.
Das TISAX®-Label ist die formelle Bestätigung, dass ein Prüfziel bestanden wird.
Der TISAX®-Prüf-Scope definiert den Umfang der Prüfung. Die Prüfung umfasst alle Prozesse, Verfahren und beteiligte Ressourcen, die unter der Verantwortung der zu prüfenden Organisation stehen und die für die Sicherheit der in den genannten Prüfzielen definierten Schutzobjekte und deren Schutzziele an den aufgeführten Standorten relevant sind.
Das Assessment Level ist das Bewertungsniveau, welches für die Tisax®-Prüfziele und für die Tisax®-Prüfung in Betracht gezogen wird. Die Assessment Level für die Prüfziele lassen sich wie folgt untergliedern:
Die Prüfung wird mindestens im höchsten Assessment Level durchgeführt, das in einem der oben aufgeführten Prüfziele gefordert ist. Alle in den aufgelisteten Prüfzielen geforderten Kriterien sind Gegenstand der Prüfung.
Über eine GAP-Analyse mit einem Soll-/Ist-Vergleich verschaffen wir uns ein Bild von der Ausgangssituation im Unternehmen.
Die ENX Association ist ein Zusammenschluss von Automobilherstellern, Zulieferern und vier nationalen Automobilverbänden. Sie wurde vom Verband der Autobobilindustrie als neutrale Instanz beauftragt. TISAX® wurde von der ENX Association ins Leben gerufen und ermöglicht eine gemeinsame Anerkennung von Prüfergebnissen zwischen den Teilnehmern. Um eine TISAX®-Zertifizierung zu erhalten, müssen folgende Schritte durchgeführt werden:
Registrierung des TISAX®-Teilnehmers und mindestens eines TISAX® Assessment Scopes. Die ENX Association stellt für TISAX ein ausführliches Teilnehmerhandbuch zur Verfügung.
Nachdem Sie sich erfolgreich registriert haben, können Sie einen TISAX®-Prüfungsanbieter für die Durchführung Ihres TISAX®-Assessments auswählen. Die Wartezeit auf einen Prüftermin beträgt häufig 6 Monate.
Um das Assessment zu erhalten, müssen die Anforderungen nach dem VDA ISA Katalog erfüllt werden. Hierfür muss für die vorgegebenen Bereiche ein Zielreifegrad erfüllt werden. Für folgende Bereiche wird dieser Reifegrad ermittelt:
Sie können den VDA ISA Katalog im Download-Bereich der ENX Association herunterladen.
Der von Ihnen gewählte Prüfdienstleister führt eine TISAX® Prüfung nach dem von Ihnen registrierten Scope bzw. Assessment Level durch. Gerne begleiten wir Sie bei der TISAX® Prüfung.
Sie können Ihre Testergebnisse über das ENX-Portal mit bestehenden und möglichen zukünftigen Partnern austauschen. Jeder Teilnehmer kann selbst entscheiden, wem und wie detailliert er seine Ergebnisse offenlegen möchte. Gleichzeitig kann das teilnehmende Unternehmen die ihm offen gelegten Ergebnisse für sein eigenes Risikomanagement nutzen.
Das Tisax-Zertifikat hat eine Gültigkeitsdauer von 3 Jahren. Nach 3 Jahren muss es erneuert werden. Zu diesem Zweck müssen sich die Unternehmen erneut einem TISAX® Assessment (Rezertifizierung) unterziehen. Während der dreijährigen Gültigkeitsdauer finden keine externen TISAX® Audits statt. Die teilnehmenden Unternehmen sind jedoch verpflichtet, regelmäßig sogenannte TISAX® Self-Assessments durchzuführen und dies zu dokumentieren. Fehlen am Ende der dreijährigen Gültigkeitsdauer eines Labels entsprechende Nachweise, wird dies beim nächsten Assessment durch den Auditor bemängelt.
Das TISAX®-Audit ist ein wichtiger Bestandteil des TISAX®-Zertifizierungsprozesses. Es handelt sich um eine umfassende Prüfung der Informationssicherheitsmaßnahmen eines Unternehmens in der Automobilindustrie. Das Ziel des Audits besteht darin, das Unternehmen zu einer erfolgreichen TISAX®-Zertifizierung zu führen und somit den Nachweis über bestimmte Informationssicherheitsstandards zu erfüllen.
Während des TISAX®-Audits wird das Unternehmen von einem autorisierten Prüfer oder einer Prüfungsgesellschaft auf Einhaltung der TISAX®-Anforderungen überprüft. Der Prüfer bewertet die acht verschiedenen Aspekte der Informationssicherheit des Unternehmens, darunter:
Für die oben aufgeführten Bereiche wird ein Reifegrad ermittelt. Dieser Reifegrad ist auch Bestandteil der TISAX®-Prüfung. Der Reifegrad darf den Zielreifegrad nicht unterschreiten, da sonst das TISAX®-Zertifikat nicht erteilt wird. Nachfolgend erhalten Sie eine kurze Beschreibung des Reifegrads.
Selbsteinschätzung: Der TISAX® Auditor wird nicht aktiv; Sie erhalten kein Prüflabel.
Sogenannte Standardlieferanten füllen einen ISA-Fragebogen aus und veröffentlichen die Selbstbewertung auf der TISAX®-Plattform. Dieses Assessment Level ist somit rein theoretischer Natur und nicht praxisrelevant.
Selbsteinschätzung mit Plausibilitätsprüfung remote nach VDA ISA Fragebogen. Wir unterstützen Sie bei der Bereitstellung der geforderten Dokumentation. Auf dieser Basis führt der Prüfdienstleister eine Plausibilitätsprüfung durch (AL2).
Selbsteinschätzung mit Plausibilitätsprüfung und Vor-Ort-Prüfung nach VDA ISA Fragebogen.
Der Auditor wird sich vor Ort im Unternehmen persönlich und durch Live-Interviews davon überzeugen, dass die im ISMS definierten Vorgaben und Maßnahmen auch tatsächlich und wirksam umgesetzt werden. Wir unterstützen Sie beim Vor-Ort-Assessment, bei dem die Prüfung aller relevanten Prüfpunkte gemäß den TISAX® Anforderungen in den Räumlichkeiten bzw. auf dem Gelände des Unternehmens stattfindet. Im Vorfeld wird die erforderliche Dokumentation auf Aktenbasis zur Verfügung gestellt. Die Vor-Ort-Begehung und die Live-Interviews werden nicht nur in der Firmenzentrale, sondern potenziell an jedem Standort eines Unternehmens durchgeführt, welcher für die Zertifizierung relevant ist (SCOPE).
Wir lassen Sie mit dem Audit nicht allein. Als externe Informationssicherheitsbeauftragte (ISB) sind wir in der Lage, gemeinsam mit der Prüforganisation das Audit federführend zu begleiten. Dies gilt für beide „Assessment Levels“ (AL2 oder AL3) und auch für die Freigabe-Labels: „Informationen mit hohem Schutzbedarf“ (Info High) und „Datenschutz“ (Data).
Nach Abschluss des Audits erstellt der Prüfer einen detaillierten Bericht, der die Stärken und Schwächen des Informationssicherheitsmanagements des Unternehmens aufzeigt. Erfüllt das Unternehmen alle TISAX®-Anforderungen, wird ihm die begehrte TISAX®-Zertifizierung verliehen.
Die Zertifizierung ist bestanden! Jetzt muss der erreichte TISAX®-Standard nicht nur gehalten, sondern nachweislich verbessert werden. Hierfür müssen Prozesse, Informationssicherheitsmanagement, Sensibilisierung der Mitarbeiter etc. regelmäßig überprüft und ggf. angepasst werden.
Nach drei Jahren folgt die wesentlich strengere Rezertifizierung. Hier müssen Prüfprotokolle, Auditberichte und Dokumentationen vorgelegt werden - anderfalls könnte man seine Zertifizierung verlieren!
Hierbei unterstützen wir Sie gerne weiter!
Haben Sie noch Fragen? Rufen Sie uns gerne unter 09181/270 577 0 an oder schreiben uns eine E-Mail. Gerne unterbreiten wir Ihnen ein individuelles Angebot für die Begleitung zur TISAX®-Zertifizierung.
Kostenfreies unverbindliches Erstgespräch oder Angebot anfordern!