Ablauf TISAX®-Zertifizierung

Ablaufplan zur TISAX®-Zertifizierung:

Die TISAX®-Zertifizierung hat mehrere Vorteile für das Unternehmen, einschließlich des Aufbaus von Vertrauen und der Verbesserung der Reputation innerhalb der Automobilindustrie. Darüber hinaus trägt sie dazu bei, die Informationssicherheit zu erhöhen und das Risiko von Sicherheitsverletzungen und Datenlecks zu minimieren, was letztendlich die gesamte Lieferkette der Automobilbranche stärkt.

Datenschutz Pöllinger GmbH bereitet Ihr Unternehmen professionell auf die TISAX®-Zertifizierung vor und unterstützt Sie beim Zertifizierungsaudit!

Unser Ziel ist es, Ihr Unternehmen bei der Einführung von TISAX® zu unterstützen und sicherzustellen, dass alle Anforderungen nach VDA ISA*, welches eine unternehmensübergreifende Anerkennung von Informationssicherheit beinhaltet, erfüllt sind, um die Zertifizierung zu erhalten. Dazu gehören die Bewertung und Verbesserung Ihrer Informationssicherheitsprozesse, die Identifizierung von Sicherheitslücken und die Implementierung erforderlicher Maßnahmen, um Ihre Daten und Systeme zu schützen.

Nachfolgend erhalten Sie einen ersten Überblick über den Ablauf einer Tisax®-Zertifizierung.

Zunächst nehmen wir eine Voranalyse zu Ihrem Unternehmen vor:

Wir informieren uns über das Unternehmen und deren Organisation sowie Abteilungen und sammeln Informationen über das Unternehmen. Wir beraten mit Ihnen was Bestandteil der Prüfung sein soll. Wir ermitteln mit Ihnen die Prüfziele, das Assessment Level und den Prüf-Scope.

Welche Prüfziele gibt es für Tisax®?

Für die Prüfziele gibt es grob drei Kategorien:

  • Informationssicherheit
    Diese Kategorie ist immer Bestandteil der Prüfung.
  • Prototypenschutz
    Diese Kategorie trifft dann zu, sofern Daten zu Prototypen verarbeitet werden.
  • Datenschutz
    Diese Kategorie trifft dann zu, sofern eine Auftragsverarbeitung vorliegt.

Prüfziele für TISAX® im jeweiligen Bereich konkret:

Je Kategorie gibt es verschiedene konkrete Prüfziele. Die Prüfziele werden in drei verschiedene Schutzbedarfskategorien gegliedert:

  • hoch: Der potenzielle Schaden für die Organisation kann beträchtlich sein.
  • sehr hoch: Der potenzielle Schaden kann ein für die Organisation existenziell bedrohliches oder katastrophales Ausmaß erreichen.
  • normal: Der potenzielle Schaden für die Organisation ist begrenzt und überschaubar.

Anforderung an das Prüfziel

Das Prüfziel bestimmt die Anforderungen, die das Informationssicherheitsmanagementsytem (ISMS) erfüllen muss. Es hängt ausschließlich davon ab, welche Arten von Informationen verarbeitet werden. Wem die Daten gehören ist dabei irrelevant. Ausschlaggebend ist, dass sich die Daten in Ihrem Besitz befinden.

Beispiel: Der Kunde verlangt das Label „Informationen mit hohem Schutzbedarf“ - dann ist es sinnvoll als Prüfziel für Ihre TISAX®-Prüfung „Informationen mit hohem Schutzbedarf“ (AL3) festzulegen.

Das TISAX®-Label ist die formelle Bestätigung, dass ein Prüfziel bestanden wird.

Der TISAX®-Prüf-SCOPE

Der TISAX®-Prüf-Scope definiert den Umfang der Prüfung. Die Prüfung umfasst alle Prozesse, Verfahren und beteiligte Ressourcen, die unter der Verantwortung der zu prüfenden Organisation stehen und die für die Sicherheit der in den genannten Prüfzielen definierten Schutzobjekte und deren Schutzziele an den aufgeführten Standorten relevant sind.

Zuordnung der TISAX®-Prüfziele zu den Assessment Level (AL)

Das Assessment Level ist das Bewertungsniveau, welches für die Tisax®-Prüfziele und für die Tisax®-Prüfung in Betracht gezogen wird. Die Assessment Level für die Prüfziele lassen sich wie folgt untergliedern:

Das Assessment Level (AL2) beinhaltet folgende Prüfziele:

  • Umgang mit Informationen mit hohem Schutzbedarf
  • Datenschutz gemäß Art. 28 DSGVO (Auftragsverarbeiter)

Das Assessment Level (AL3) beinhaltet folgende Prüfziele:

  • Umgang mit Informationen mit sehr hohem Schutzbedarf
  • Schutz von Prototypenbauteilen und Prototypenkomponenten
  • Schutz von Prototypenfahrzeugen
  • Umgang mit Erprobungsfahrzeugen 
  • Schutz von Prototypen während Veranstaltungen, Film- und Fotoshootings
  • Datenschutz mit besonderen Kategorien personenbezogener Daten. Gemäß Art. 28 DSGVO ("Auftragsverarbeiter) mit besonderen Kategorien personenbezogener Daten wie in Artikel 9 der DSGVO angegeben

Die Prüfung wird mindestens im höchsten Assessment Level durchgeführt, das in einem der oben aufgeführten Prüfziele gefordert ist. Alle in den aufgelisteten Prüfzielen geforderten Kriterien sind Gegenstand der Prüfung.

GAP-Analyse nach VDA ISA mit Soll/Ist-Vergleich

Über eine GAP-Analyse mit einem Soll-/Ist-Vergleich verschaffen wir uns ein Bild von der Ausgangssituation im Unternehmen.

  • Bewertung Ihrer aktuellen Prozesse bzw. Abläufe, Kommunikationsformen, Informationssicherheitsmanagements etc.
  • Identifizierung von Abweichungen zu den TISAX®-Anforderungen
  • Handlungs- bzw. Maßnahmenempfehlung

ENX Association

Die ENX Association ist ein Zusammenschluss von Automobilherstellern, Zulieferern und vier nationalen Automobilverbänden. Sie wurde vom Verband der Autobobilindustrie als neutrale Instanz beauftragt. TISAX® wurde von der ENX Association ins Leben gerufen und ermöglicht eine gemeinsame Anerkennung von Prüfergebnissen zwischen den Teilnehmern. Um eine TISAX®-Zertifizierung zu erhalten, müssen folgende Schritte durchgeführt werden:

Registrierung bei der ENX

Registrierung des TISAX®-Teilnehmers und mindestens eines TISAX® Assessment Scopes. Die ENX Association stellt für TISAX ein ausführliches Teilnehmerhandbuch zur Verfügung.

Prüfdienstleister auswählen

Nachdem Sie sich erfolgreich registriert haben, können Sie einen TISAX®-Prüfungsanbieter für die Durchführung Ihres TISAX®-Assessments auswählen. Die Wartezeit auf einen Prüftermin beträgt häufig 6 Monate.

Erlangung des Assessments - TISAX® Zertifikat

Um das Assessment zu erhalten, müssen die Anforderungen nach dem VDA ISA Katalog erfüllt werden. Hierfür muss für die vorgegebenen Bereiche ein Zielreifegrad erfüllt werden. Für folgende Bereiche wird dieser Reifegrad ermittelt:

  • Sicherheitspolitik und -strategie
  • Organisation der Informationssicherheit
  • Management von Informationssicherheitsrisiken
  • Informationssicherheitsmaßnahmen
  • Awareness und Schulungen
  • Incident Management und Business Continuity
  • Supplier Relationship
  • Prototypenschutz

Sie können den VDA ISA Katalog im Download-Bereich der ENX Association herunterladen.

Assessment - TISAX® Prüfung

Der von Ihnen gewählte Prüfdienstleister führt eine TISAX® Prüfung nach dem von Ihnen registrierten Scope bzw. Assessment Level durch. Gerne begleiten wir Sie bei der TISAX® Prüfung.

Exchange - Austausch

Sie können Ihre Testergebnisse über das ENX-Portal mit bestehenden und möglichen zukünftigen Partnern austauschen. Jeder Teilnehmer kann selbst entscheiden, wem und wie detailliert er seine Ergebnisse offenlegen möchte. Gleichzeitig kann das teilnehmende Unternehmen die ihm offen gelegten Ergebnisse für sein eigenes Risikomanagement nutzen.

Gültigkeit des Tisax® Zertifikats

Das Tisax-Zertifikat hat eine Gültigkeitsdauer von 3 Jahren. Nach 3 Jahren muss es erneuert werden. Zu diesem Zweck müssen sich die Unternehmen erneut einem TISAX® Assessment (Rezertifizierung) unterziehen. Während der dreijährigen Gültigkeitsdauer finden keine externen TISAX® Audits statt. Die teilnehmenden Unternehmen sind jedoch verpflichtet, regelmäßig sogenannte TISAX® Self-Assessments durchzuführen und dies zu dokumentieren. Fehlen am Ende der dreijährigen Gültigkeitsdauer eines Labels entsprechende Nachweise, wird dies beim nächsten Assessment durch den Auditor bemängelt.

Umsetzungsplan für die TISAX®-Zertifizierung

  • Anmeldung bei der ENX Association
  • Unterstützung bei der Auswahl des Prüfunternehmen für die TISAX®-Zertifizierung
  • Entwicklung eines detaillierten Plans zur Implementierung der erforderlichen Maßnahmen
  • Priorisierung der Handlungsempfehlungen basierend auf Risikoanalyse und Relevanz für Ihr Unternehmen
  • Unterstützung bei der Ressourcenplanung und der Festlegung von Verantwortlichkeiten

Umsetzung der Maßnahmen

  • Unterstützung und Erarbeitung einer Unternehmensleitlinie
  • Unterstützung und Erarbeitung einer Informationssicherheitsrichtlinie
  • Unterstützung bei der Umsetzung der empfohlenen Sicherheitsmaßnahmen
  • Unterstützung bei der Erstellung der erforderlichen Dokumentation für TISAX®
  • Schulung und Sensibilisierung Ihrer Mitarbeiter für Informationssicherheit und Datenschutz
  • Implementierung von Sicherheitskontrollen und -verfahren

 

Vorbereitung auf das TISAX®-Audit

  • Begleitung und Unterstützung während des Vorbereitungsprozesses auf das Audit
  • Durchführung interner Audits und Überprüfung der Umsetzung der Sicherheitsmaßnahmen
  • Unterstützung bei der Erstellung der erforderlichen Dokumentation und Berichte für das Audit

TISAX®-Audit einer offiziellen Prüfstelle – Prüfer zur TISAX®-Zertifizierung

Das TISAX®-Audit ist ein wichtiger Bestandteil des TISAX®-Zertifizierungsprozesses. Es handelt sich um eine umfassende Prüfung der Informationssicherheitsmaßnahmen eines Unternehmens in der Automobilindustrie. Das Ziel des Audits besteht darin, das Unternehmen zu einer erfolgreichen TISAX®-Zertifizierung zu führen und somit den Nachweis über bestimmte Informationssicherheitsstandards zu erfüllen.

Während des TISAX®-Audits wird das Unternehmen von einem autorisierten Prüfer oder einer Prüfungsgesellschaft auf Einhaltung der TISAX®-Anforderungen überprüft. Der Prüfer bewertet die acht verschiedenen Aspekte der Informationssicherheit des Unternehmens, darunter:

  • Sicherheitspolitik und Sicherheitsstrategie: Bewertung der formalen Sicherheitsrichtlinien und Sicherheitsziele des Unternehmens.
  • Organisation der Informationssicherheit: Überprüfung der Struktur und Zuständigkeiten für die Informationssicherheit im Unternehmen.
  • Management von Informationssicherheitsrisiken: Analyse, wie das Unternehmen Risiken identifiziert, bewertet und angemessene Maßnahmen zur Risikominderung ergreift.
  • Informationssicherheitsmaßnahmen: Prüfung der technischen und organisatorischen Maßnahmen, die zum Schutz von Informationen und Daten implementiert wurden.
  • Awareness und Schulungen: Beurteilung, ob die Mitarbeiter des Unternehmens angemessen geschult und für Sicherheitsfragen sensibilisiert sind.
  • Incident Management und Business Continuity: Bewertung der Reaktionsfähigkeit des Unternehmens auf Sicherheitsvorfälle und Notfälle.
  • Supplier Relationship: Analyse und Bewertung der Steuerung der Beziehungen des Unternehmens zu seinen Lieferanten bzw. Dienstleistern.
  • Prototypenschutz: Umsetzung der physischen Sicherheit.

Reifegrad und Zielreifegrad

Für die oben aufgeführten Bereiche wird ein Reifegrad ermittelt. Dieser Reifegrad ist auch Bestandteil der TISAX®-Prüfung. Der Reifegrad darf den Zielreifegrad nicht unterschreiten, da sonst das TISAX®-Zertifikat nicht erteilt wird. Nachfolgend erhalten Sie eine kurze Beschreibung des Reifegrads.

  • Reifegrad 0: Unvollständig
    Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, das Ziel zu erreichen.
  • Reifegrad 1: Durchgeführt
    Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt und es existieren Indizien dafür, dass er sein Ziel erreicht.
  • Reifegrad 2: Gesteuert
    Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden. 
  • Reifegrad 3: Etabliert / Zielreifegrad
    Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.
  • Reifegrad 4: Vorhersagbar
    Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss.
  • Reifegrad 5: Optimierend
    Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben.

Tisax Reifegrad

TISAX®-Prüfung: In welchem Assessment Level kann die Prüfung durchgeführt werden?

Assessment Level 1 (AL1)

Selbsteinschätzung: Der TISAX® Auditor wird nicht aktiv; Sie erhalten kein Prüflabel.
Sogenannte Standardlieferanten füllen einen ISA-Fragebogen aus und veröffentlichen die Selbstbewertung auf der TISAX®-Plattform. Dieses Assessment Level ist somit rein theoretischer Natur und nicht praxisrelevant.

Assessment Level 2 (AL2)

Selbsteinschätzung mit Plausibilitätsprüfung remote nach VDA ISA Fragebogen. Wir unterstützen Sie bei der Bereitstellung der geforderten Dokumentation. Auf dieser Basis führt der Prüfdienstleister eine Plausibilitätsprüfung durch (AL2).

Assessment Level 3 (AL3)

Selbsteinschätzung mit Plausibilitätsprüfung und Vor-Ort-Prüfung nach VDA ISA Fragebogen.
Der Auditor wird sich vor Ort im Unternehmen persönlich und durch Live-Interviews davon überzeugen, dass die im ISMS definierten Vorgaben und Maßnahmen auch tatsächlich und wirksam umgesetzt werden. Wir unterstützen Sie beim Vor-Ort-Assessment, bei dem die Prüfung aller relevanten Prüfpunkte gemäß den TISAX® Anforderungen in den Räumlichkeiten bzw. auf dem Gelände des Unternehmens stattfindet. Im Vorfeld wird die erforderliche Dokumentation auf Aktenbasis zur Verfügung gestellt. Die Vor-Ort-Begehung und die Live-Interviews werden nicht nur in der Firmenzentrale, sondern potenziell an jedem Standort eines Unternehmens durchgeführt, welcher für die Zertifizierung relevant ist (SCOPE). 

Unterstützung bei der Prüfung

Wir lassen Sie mit dem Audit nicht allein. Als externe Informationssicherheitsbeauftragte (ISB) sind wir in der Lage, gemeinsam mit der Prüforganisation das Audit federführend zu begleiten. Dies gilt für beide „Assessment Levels“ (AL2 oder AL3) und auch für die Freigabe-Labels: „Informationen mit hohem Schutzbedarf“ (Info High) und „Datenschutz“ (Data). 

Abschluss und Zertifikat:

Nach Abschluss des Audits erstellt der Prüfer einen detaillierten Bericht, der die Stärken und Schwächen des Informationssicherheitsmanagements des Unternehmens aufzeigt. Erfüllt das Unternehmen alle TISAX®-Anforderungen, wird ihm die begehrte TISAX®-Zertifizierung verliehen.

Nach der Prüfung

Die Zertifizierung ist bestanden! Jetzt muss der erreichte TISAX®-Standard nicht nur gehalten, sondern nachweislich verbessert werden. Hierfür müssen Prozesse, Informationssicherheitsmanagement, Sensibilisierung der Mitarbeiter etc. regelmäßig überprüft und ggf. angepasst werden.

Nach drei Jahren folgt die wesentlich strengere Rezertifizierung. Hier müssen Prüfprotokolle, Auditberichte und Dokumentationen vorgelegt werden - anderfalls könnte man seine Zertifizierung verlieren!

Hierbei unterstützen wir Sie gerne weiter!

Fragen zur Tisax?

Haben Sie noch Fragen? Rufen Sie uns gerne unter 09181/270 577 0 an oder schreiben uns eine E-Mail. Gerne unterbreiten wir Ihnen ein individuelles Angebot für die Begleitung zur TISAX®-Zertifizierung.

Kostenfreies unverbindliches Erstgespräch oder Angebot anfordern!