ISMS nach VDA ISA / TISAX®

Was ist TISAX?

Immer öfter müssen Unternehmen, die für Automobil-Auftraggeber (OEMs) tätig sind, eine TISAX-Zertifizierung vorweisen, um Aufträge zu bekommen. Genau genommen: Eine gültige TISAX-Freigabe mit entsprechenden Label(s). Der Im Jahr 2004 etablierte Arbeitskreis „Informationssicherheit“ des VDA  hat einen Fragebogen zur Informationssicherheit (ISA – Information Security Assessment) entwickelt, der sich auf wesentliche Aspekte der internationalen Norm für Informationssicherheit ISO 27001 stützt. Betreiber des TISAX ist die ENX Association, die vom VDA als neutrale Instanz mit der Durchführung betraut wurde.

Was bedeutet das?

Kleine und mittelständische Unternehmen sind in der Strukturierung und Absicherung ihrer Prozesse oft einfach noch nicht so weit. Wenn dann die Aufforderung zum Audit kommt, ist es essenziell, die richtigen Schritte zu unternehmen. Das kann auch bedeuten: Nicht überreagieren! Und sich den richtigen, spezialisierten Partner suchen.

Unverbindliche Erstberatung

In einem ca. 20-minütigen Gespräch können Sie mit mir Ihre Ausgangssituation besprechen und erste Fragen klären. Dieses erste Gespräch ist unverbindlich und mit keinen Kosten verbunden. Wählen Sie einfach einen freien Termin in meinem Kalender.


Wie hoch ist der Aufwand für die Einführung?

Maßnahmen zu realisieren, die Gesetzgeber oder auch Kunden fordern, ist im Normalfall kein Hexenwerk. Insbesondere, wenn man die Umsetzung pragmatisch und unternehmensbezogen angeht. Im Zuge der Umsetzung wird das ganze Unternehmen unter die Lupe genommen – wobei oft auch Potentiale zur Optimierung und Kostenersparnis entdeckt werden.

Beispiel 1

Unternehmensgröße: 10 bis 100 Mitarbeiter
Anzahl Standorte: ein Standort

Informationssicherheitsbeauftragter (ISB)* 40 PT
Personal (HR) 5 PT
IT-Abteilung (IT) 35 PT
Datenschutzbeauftragter* (DSB) 15 PT

PT = Personentage

Beispiel 2

Unternehmensgröße: 250 bis 1 000 Mitarbeiter
Anzahl Standorte: drei Standorte

Informationssicherheitsbeauftragter (ISB)* 80 PT
Personal (HR) 20 PT
IT-Abteilung (IT) 75 PT
Datenschutzbeauftragter (DSB)* 25 PT

PT = Personentage


Was genau macht nextwork hierbei?

1. Auditfähigkeit feststellen (Gap-Analyse)
2. Prüfungsmanagement inkl. Registrierung
3. Umsetzung bzw. Anpassung ISMS nach VDA ISA (TISAX)
4. Vorträge, Workshops und Mitarbeiterschulungen
5. Herstellung der Auditfähigkeit inkl. VDA-ISA Selbstauskunft
Optional: Stellung eines zertifizierten Informationssicherheitsbeauftragten

Externer ISB


Externe Bestellung eines zertifizierten Informationssicherheitsbeauftragten
Ab 730 €/Monat.


Mehr Infos


Externer DSB


Externe Bestellung eines zertifizierten Datenschutzbeauftragten
Ab 730 €/Monat


Mehr Infos


Schulungen


Schulungen, Workshops und Ausbildungen zu Datenschutz (DSGVO) und Informationssicherheit (TISAX)


Mehr Infos


TISAX Referenzen?

Seit Mitte 2018 haben wir im Durchschnitt zwei TISAX-Prüfungen im Monat.
Unsere Erfolgsquote: 100%.

Auch wenn das »Trusted Information Security Assessment Exchange“ erst seit 2017 besteht, können wir für unsere Kunden erfolgreiche Zertifizierungen im zweistelligen Bereich vorweisen. Das gilt für Assessment Level 2 und 3, für Zusatzmodule für Prototypenschutz, Anbindung Dritter sowie Datenschutz. Auch in der Zeit vor 2017, haben wir Unternhemen dabei unterstützt eine Prüfung nach VDA ISA zu meistern.

Gap-Analyse

Durch eine Gap-Analyse nach VDA ISA verschaffen wir uns einen Überblick über die Ausgangssituation im Unternehmen. Dies betrifft alle Abläufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Das Ergebnis beschreibt den Optimierungsbedarf zwischen Ist-Zustand und Auditfähigkeit. Dies erläutern wir am Ende der Phase der Geschäftsführung und dem Projektteam. Auf dieser Basis wird der Maßnahmenkatalog für die Phase 2, Entwicklung ISMS, festgelegt.

Mehr Infos

Welche TISAX-Freigaben bzw. TISAX-Labels gibt es?

Mittlerweile gibt es zehn verschiedene TISAX-Freigabe-Label. Das kleinstmögliche Prüfziel „Informationen mit hohem Schutzbedarf“ ergibt das Label „Info High“. Zusätzliche Prüfziele sind optional und abhängig von den Informationen, die verarbeitet werden:

Information

(Grundprüfung)


„Info High“

(*AL2)


„Info Very High“

(*AL3)

Prototypes

(Zusatzmodul)


„Proto Parts“

(*AL3)


„Proto Vehicles“

(*AL3)


„Test Vehicles“

(*AL3)


„Events + Shootings“

(*AL3)

Connection

(Zusatzmodul)


„Con High“

(*AL2)


„Con Very High“

(*AL3)

Data protection

(Zusatzmodul)


„Data“

(*AL2)


„Special Data“

(*AL3)

Assessment-Level 2/3 (AL2, AL3)

TISAX unterscheidet in zwei „Assessment-Level“ (AL2 oder AL3). Ein höherer Assessment-Level führt zu einer höheren Prüfintensität und dem Einsatz weitergehender Prüfmethoden. Das Assessment-Level trifft keine Aussage zur Klassifizierung oder Freigabe-Label.

Prüfung vor Ort oder nach Aktenlage?

Eine Prüfung nach Aktenlage ist nur bei den Prüfzielen „Informationen mit hohem Schutzbedarf“ (Info High), „Anbindung Dritter“ (Con High) und/oder „Datenschutz“ (Data) möglich. Bei allen anderen Prüfzielen findet zwingend eine Prüfung vor Ort statt. 

Nach dem Audit: Wie geht es weiter und wie nehme ich meine Leute mit?

Ok, geschafft. Audit bestanden. ABER: Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern nachweisbar verbessert werden – und das wird regelmäßig geprüft.

Die interne, feste Taskforce kümmert sich, ab sofort gemeinsam mit dem Informationssicherheitsbeauftragten (ISB) und dem Datenschutzbeauftragten (DSB), dauerhaft um das Thema – nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Das Thema betrifft aber nicht nur die Taskforce: Damit Datenschutz und Informationssicherheit wirklich in der Unternehmenskultur verankert werden, müssen sie auch von allen Mitarbeitenden gelebt werden. Zuvor muss aber in 99% aller Fälle aber überhaupt erstmal ein Bewusstsein für das Thema geschaffen werden. Das baut man am besten durch Schulungen auf.

Etwa alle drei Jahre folgt die viel härtere Re-Zertifizierung. Dann muss man Prüfprotokolle, Auditberichte und Dokumentation nachweisen. Ansonsten fällt man durch und verliert die Zertifizierung!


don’t panic and get certified
Quick Guide DSGVO und TISAX.

Erfahrungen aus 50 Projekten mit 100% Erfolgsquote.

Veröffentlicht: 12.11.2018
Verlag: BoD, Norderstedt
ISBN: 9783748181934
www.marcopeters.de/dontpanic



Datenschutzmanagement nach der EU-DSGVO

Bisher lief das Bundesdatenschutzgesetz (BDSG) in der Praxis als Anhängsel in Verträgen nebenher, man unterschrieb es, ohne sich groß Gedanken darüber zu machen.Read more


Kontinuierliche Betreuung Ihrer IT-Infrastruktur

IT-Betreuung kann man im permanenten Feuerlöscher-Modus betreiben. Unsere Rolle war schon immer eine andere, nämlich die des internen IT-Chefs: Nicht der, den man anruft, wenn der GAU eingetreten ist.
Read more


Zukunftsorientierte IT-Beratung

Die letzten zehn Jahre hatte die IT vor allem die Aufgabe, das Wachstum und die zunehmende Komplexität der Unternehmen in sinnvollen IT-Strukturen abzubilden: Read more