Zertifizierung nach TISAX®

In Kooperationen mit Automobilherstellern werden häufig sehr sensible Daten verarbeitet.

Deshalb muss das Sicherheitsniveau der IT-Systeme von allen Beteiligten sehr hoch sein.

Ein Nachweis für ein starkes und gut durchdachtes Informationssicherheitssystem ist ein TISAX®-Zertifikat.

Mit diesem Siegel wird die Standardisierung, Qualitätssicherung und gemeinsame Anerkennung von Prüfergebnissen ermöglicht.

Die Abkürzung TISAX® steht ausgeschrieben für Trusted Information Security Assessment Exchange und ist ein Standard für die Informationssicherheit der Automobilindustrie.

Seit dem Jahre 2017 verlangt eine große Anzahl der Automobilhersteller und Zulieferer in Deutschland von ihren Geschäftspartnern eine Zertifizierung nach TISAX®.

Der Prüfkatalog der TISAX®-Zertifizierung ist aus der DIN EN ISO/IEC 27001 abgeleitet worden und verwendet die dort festgelegten Prüf- und Bewertungskriterien.

In einer Anleitung sind Handlungshinweise hinterlegt, wie die nötigen Anforderungen erreicht werden können, wie Prozesse gesichert und welche Tools dafür verwendet werden sollen.

Der Hauptunterschied zwischen den beiden Zertifizierungen ist der, dass die Erreichung des TISAX®-Siegels erst bei einem höheren Sicherheitsniveau erfolgt.

Früher wurden Unternehmen von der ENX Association und dem VDA nach dem Anforderungskatalog der ISA kontrolliert.

Da aber jeder Hersteller seine Lieferanten selbst nach dem ISA-Katalog prüfte, kam es dazu, dass sich viele Unternehmen mehrmals (für jeden einzelnen Auftraggeber) überprüfen lassen mussten.

Daraus entstand ein unnötiger Mehraufwand, welcher nun mit den Prüf- und Austauschmethoden nach TISAX® behoben wurde.

Mit Hilfe einer speziellen Onlineplattform ist es nun möglich, die Prüfergebnisse zum Thema ‚Informationssicherheit im Automobilsektor‘ unternehmensübergreifend zu kommunizieren.

Als registrierter TISAX®-Nutzer bieten sich Ihnen einige nützliche Vorteile.

Beispielsweise können Sie die akkreditierten Dienstleister für die Durchführung einer TISAX®-Prüfung einsehen.

Ferner können Sie Ihre Ergebnisse von durchgeführten Tests anderen Teilnehmern zur Verfügung stellen und bequem teilen, ebenso wie Sie aber auch einen Einblick in die Ergebnisse von anderen Nutzern erhalten, wenn diese Ihre Daten mit Ihnen teilen.

Zusätzlich unterstützt die TISAX®-Plattform auch den Austausch von anderen Informationen zwischen den registrierten Unternehmen.

Somit müssen Sie sich keine Sorgen machen, dass diese sensiblen Daten in die falschen Hände gelangen.

Lieferanten können sich je nach Empfindlichkeit der zu verarbeitenden Daten unterschiedlichen Prüfungen unterziehen.

Bei der TISAX®-Zertifizierung gibt es drei verschiedene Assessment-Level, die sich im angewandten Prüfverfahren und der Intensität unterscheiden.

Das Assessment-Level ist hierbei mit dem Begriff Schutzanforderungen zu übersetzen.

Level 1 – normal: Ausfüllen des ISA-Fragebogens und Veröffentlichung der Selbstbewertung auf der TISAX®-Plattform

Level 2 – hoch: Plausibilitätsüberprüfung der ISA-Dokumentation mit anschließenden Telefoninterviews

Level 3 – sehr hoch: Vor-Ort-Prüfung von Informationssicherheits- und Managementprozessen

Im Folgenden stellen wir Ihnen noch die sechs notwendigen Schritte bis zum TISAX®-Zertifikat vor:

1. Anforderungsermittlung
   Die Zulieferer entscheiden, welche TISAX®-Anforderungen von Ihrem Unternehmen zu erfüllen sind. Daraus leitet sich der Assessment-Level der Zertifizierung ab.
2. Registrierung
   Sie melden Ihr Unternehmen bei der TISAX®-Plattform an und erhalten damit Ihre eindeutige Scope-ID.
3. Überprüfung
   Je nach Prüfanforderung testen die Auditoren Ihre Informationssicherheitssysteme und die damit verbundenen Dokumentationen und Prozesse.
4. Prüfbericht
   Sie erhalten einen ausführlichen Prüfbericht mit Informationen darüber, welche Aspekte von Ihrem Informationssicherheitssystem erfüllt wurden und welche Punkte noch zu verbessern sind.
5. Schwachstellenbehebung
   Sie nehmen die angemerkten Verbesserungen in Ihren Prozessen und Dokumentationen vor. Währenddessen können Sie auch ein temporäres Ergebnis auf der TISAX®-Plattform veröffentlichen.
6. Ergebnis
   Das Endergebnis Ihrer Überprüfung wird auf dem Onlineportal veröffentlicht. Sie alleine als Unternehmen entscheiden im Anschluss darüber, welche registrierten Zulieferer Zugriff auf Ihre Unternehmensbewertung erhalten.
   Die Zertifizierung behält für drei Jahre ihre Gültigkeit.

Wir von der Immerce Consulting GmbH sind allzeit bereit, Sie zu Ihren Anliegen in Bezug auf Informationssicherheit und Datenschutz zu beraten.

Unsere Auditoren sind TÜV-zertifiziert und können Ihnen deshalb aktuelle Best-Practices und zusätzliche Tipps und Tricks an die Hand geben.

Auf unserer Homepage finden Sie weitere Informationen zu den von uns angebotenen Zertifizierungsdienstleistungen.

TISAX^® ist eine eingetragene Marke der ENX Association. Die Immerce Consulting GmbH steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX^® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.