Erfahren, welche Fragen bei TISAX® eine Rolle spielen.

In der heutigen Zeit geht nahezu nichts mehr ohne die digitale Verarbeitung von Daten. Besonders im Bereich der Automobilherstellung werden sehr sensible Datensätze bereitgestellt und ausgetauscht. Deshalb ist es umso wichtiger, dass alle Beteiligten ein hohes Sicherheitsniveau in ihrem Informationssicherheits-Management nachweisen können.

Mit Hilfe von TISAX® wurde ein Standard geschaffen, welcher genau dies ermöglicht. Auf dieser Seite erfahren Sie, welche Fragen Sie bei einer Zertifizierung nach TISAX® erwarten.

Über TISAX®

TISAX® ist seit 2017 der aktuelle Standard der Automobilindustrie. In diesem Regelwerk sind Anforderungen an das verwendete Informationssicherheits-Managementsystem und dessen Prozesse hinterlegt, die vom jeweiligen Zulieferer zu erfüllen sind.

Mit dem TISAX®-Zertifikat wird die StandardisierungQualitätssicherung und gemeinsame Anerkennung von Prüfergebnissen innerhalb des Automotive-Sektors ermöglicht und der notwendige Prüfaufwand reduziert.

Vorteile der Zertifizierung

Neben der Reduzierung von KostenZeitaufwand und Komplexität bei Überprüfungsprozessen bringt das TISAX®-Zertifikat auch weitere Vorteile mit sich.

Sie erhalten in Ihrem Unternehmen eine erhöhte Sicherheit im Daten- sowie Prozessmanagement und Ihre Leistungen sind leichter vergleichbar mit denen der Konkurrenz.

Dabei ist ein vorliegendes TISAX®-Zertifikat ein klarer Wettbewerbsvorteil.

Ferner sorgt das Siegel für eine verbesserte Transparenz und Ihr Unternehmen wird weltweit bei allen OEMs anerkannt.

Der VDA ISA Fragenkatalog Version 5

Der von der VDA bereitgestellte VDA ISA Katalog ist die Grundlage für die Zertifizierung nach TISAX®.

Die neueste Auflage ist die Version 5 und ist seit dem 01.10.2020 für neu gestartete TISAX® Assessments gültig.

Der Fragenkatalog wurde 2020 von Grund auf überarbeitet und inhaltlich sowie strukturell optimiert. Damit wurde die Bearbeitung der Fragestellungen einfacher und effizienter gemacht und der nötige Prüfaufwand für alle Beteiligten weiter reduziert. Dies gelang dadurch, dass die Anforderungen im Bereich Informationssicherheit an den Stand der Technik angepasst, sowie unnötige Redundanzen entfernt wurden.

Ferner wurden die Teilmodule Prototypenschutz und Datenschutz an die neue Katalogstruktur angeglichen, ebenso wie das Bewertungsschema der Reifegrade leicht verändert wurde.

Fragenkatalog

Reifegrade der Prozesse als Bewertungsschema

Innerhalb des VDS ISA Katalogs gibt es ein vorgegebenes Bewertungsschema, die Reifegrade.

Der Zielreifegrad für alle Kontrollfragen des Katalogs ist mindestens 2 – gesteuert.

Sollten Sie Schwierigkeiten haben, Ihre Prozesse eigenständig zu bewerten, helfen Ihnen unsere IT-Sicherheitsbeauftragten gerne weiter.

Reifegrad

Kurzdefinition

0 – unvollständig

Es existiert kein Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht zur Zielerreichung geeignet.

1 – durchgeführt

Es wird einem Prozess gefolgt, welcher nicht oder nur unvollständig dokumentiert ist. Aber es ist anzunehmen, dass das Ziel durch den Prozess erreicht wird.

2 – gesteuert

Es wird einem im Gesamtprozess integrierten Standardprozess Folge geleistet. Ferner sind alle Prozessabhängigkeiten dokumentiert und sinnvolle Schnittstellen implementiert. Außerdem existieren Nachweise, dass der Prozess längerfristignachhaltig und aktiv angewandt wurde.

3 – etabliert

Es wird einem sein Ziel erreichenden Prozess gefolgt und alle notwendigen Dokumentationen sowie Durchführungsnachweise sind vorhanden.

4 – vorhersagbar

Es wird einem etablierten Prozess gefolgt und die Prozesswirksamkeit wird durch Kennzahlen durchgehend überprüft. Zusätzlich wurden Grenzwerte vorgegeben, bei denen der Prozess als unzureichend wirksam gilt und angepasst wird. (Key Performance Indicators)

5 – optimierend

Es wird einem Prozess gefolgt, der vorhersehbar ist und die kontinuierliche Verbesserung wird angestrebt. Die Prozessweiterentwicklung wird von vorgegebenen Ressourcen aktiv vorangetrieben.

Die Fragemodule

Grundsätzlich ist der Fragenkatalog in verschiedene Bereiche gegliedert. Im Folgenden gehen wir auf die drei verschiedenen Module ein.

A. Informationssicherheit

Im Themenbereich „Informationssicherheit“ sind Kontrollfragen basierend auf der Norm DIN EN ISO / IEC 27001 aufgeführt. Das Ziel jeder Frage sowie die zu erfüllenden Anforderungen zur Zielerreichung sind in den weiteren Spalten hinterlegt.

Alle Kontrollfragen müssen mit dem Reifegrad der Zielerreichung bewertet werden. Die Bewertung des Reifegrades jedes Aspekts wird in der Spalte E dokumentiert und anschließend automatisch in das Tabellenblatt „Ergebnisse“ übertragen. In weiteren Spalten sind Beispiele als Hilfestellung für eine mögliche Umsetzung zu finden.

Die Fragengruppierungen zur Informationssicherheit sehen im Katalog Version 5 nun so aus:

  1. Informationssicherheit: Maßnahmen und Organisation
    1.1 Informationssicherheitsmaßnahmen
    1.2 Organisation der Informationssicherheit
    1.3 Asset – Management
    1.4 Informationssicherheitsrisiko – Management
    1.5 Assessments
    1.6 Vorfallmanagement
  2. Humankapital
  3. Physische Sicherheit und Aufrechterhaltung des Geschäftsbetriebs
  4. Identität – und Zugangsmanagement
    4.1 Identitätsmanagement
    4.2 Zugangsmanagement
  5. IT – bzw. Cybersicherheit
    5.1 Kryptografie
    5.2 Arbeitsprozesssicherheit
    5.3 Systemakquisitionen, Anforderungsmanagement und -entwicklung
  6. Lieferantenbeziehungen
  7. Compliance

B. Prototypenschutz

Im Prototypenschutz sind alle als schutzbedürftig kategorisierten FahrzeugeKomponenten und Bauteile inbegriffen, die bisher noch nicht von den OEMS für die Allgemeinheit veröffentlicht wurden.

Der auftragserstellende OEM-Fachbereich nimmt hierbei immer die Klassifizierung der Schutzbedürftigkeit vor.

Für die Schutzklassen hoch und sehr hoch sind die Mindestanforderungen des Prototypenschutzes nach ISA anzuwenden.

Im VDA-Katalog in der Version 5 sind die Fragen zum Prototypenschutz in diese Kategorien unterteilt:

  1. Prototypenschutz
    8.1 Physische und umgebungsbezogene Sicherheit
    8.2 Organisatorische Anforderungen
    8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen
    8.4 Anforderungen für Erprobungsfahrzeuge
    8.5 Anforderungen für Veranstaltungen und Shootings

C. Datenschutz

Die Fragen zum Datenschutz sind bei einer Auftragsverarbeitung im Sinne des Art. 28 der Europäischen Datenschutz-Grundverordnung mit den Worten Ja/Nein zu beantworten.

Fazit

Beim Beantworten des VDA Fragebogens gibt es vieles zu beachten und nicht immer sind alle Punkte für Laien klar formuliert.

Lassen Sie sich deshalb kompetent und ehrlich von den TÜV-zertifizierten Experten der Immerce Consulting GmbH beratenOptimieren Sie mit unserer Hilfe Ihr Informationssicherheits-Managementsystem, so dass Ihrem TISAX®-Gütesiegel nichts mehr im Wege steht.

Wir freuen uns auf Ihren Auftrag.

Beratungsgespräch vereinbaren!

TISAX® ist eine eingetragene Marke der ENX Association. Die Immerce Consulting GmbH steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.