Wissenswertes
zum TISAX® Fragenkatalog

 

Wer sich mit dem Thema TISAX beschäftigt, kommt um den TISAX Fragenkatalog nicht herum. Im Folgenden berichten wir, was es mit dem TISAX Fragenkatalog auf sich hat, wie er aufgebaut ist und was es mit den Reifegraden auf sich hat.

 

 

Icon good to know

 

 

Was ist der TISAX Fragenkatalog?


TISAX ist ein Standard für den Schutz von Informationen und Daten innerhalb der Automobilindustrie. Entwickelt wurde TISAX vom Verband der Automobilindustrie VDA. Für die Überprüfung in den Unternehmen, die eine TISAX Zertifizierung anstreben, wurde der TISAX Fragenkatalog entwickelt. Häufig wird er auch als VDA ISA Fragenkatalog bezeichnet – VDA für den Verband der Automobilindustrie und ISA für Information Security Assessment.


Der VDA ISA Katalog dient als Basis für:

  • ein Self-Assessment der Informationssicherheit
  • Audits durch interne Fachabteilungen
  • die Prüfung nach TISAX
  • den TISAX Fragenkatalog


Das Information Security Assessment (ISA) besteht aus mehreren Tabellenblättern. Die eigentlichen Anforderungen finden sich in den Tabellenblättern Informationssicherheit, Datenschutz und Prototypenschutz.

 

 

 

Der TISAX Fragenkatalog in der Version 5.0

 

Der VDA ISA Fragenkatalog steht aktuell in der Version 5.1 zur Verfügung. Er wurde Mitte 2020 komplett überarbeitet. Mit der Version 5.1 wurden neben sprachlichen Korrekturen die Schutzziele bezüglich Anforderungen für hohen und sehr hohen Schutzbedarf im Tabellenblatt „Informationssicherheit“ ergänzt.

 

  • Anforderungen sind nicht mehr in Zeilen, sondern in Spalten aufgeführt.
  • Es wurde eine neue Kapitel- und Control-Nummerierung eingeführt.
  • Themen wurden zusammengeführt.


Über eine separate Spalte ist die ISA 4 Nummerierung erhalten geblieben und ermöglicht dadurch ein Mapping zur ISO 27001. Einen Vergleich von TISAX und ISO 27001 findest du hier.

 

 

 

Die Fragenmodule

 

Der TISAX Fragenkatalog ist in drei Bereiche gegliedert:

 

Informationssicherheit

Das Modul Informationssicherheit und seine Kontrollfragen orientieren sich an der ISO 27001. Zu finden sind hier die jeweiligen Ziele jeder Frage, aber auch die damit verbundenen Anforderungen. Das Modul ist in einzelne Bereiche unterteilt und fragt unter anderem nach:

 

  • Organisation der Informationssicherheit
  • Lieferantenbeziehungen
  • Risikomanagement
  • Informationssicherheit von Mitarbeitenden
  • IT und Cybersecurity

 

Prototypenschutz

Der Prototypenschutz bezieht sich auf den Schutz aller noch nicht für die Allgemeinheit veröffentlichter Fahrzeuge und Fahrzeugbestandteile. Der auftraggebende OEM nimmt in den meisten Fällen auch eine Klassifizierung der Schutzbedürftigkeit vor. Liegt eine hohe oder sehr hohe Klassifizierung vor, müssen die Mindestanforderungen nach VDA ISA angewendet werden. Dabei kommen diese Kategorien zum Tragen:

 

  • Physische und umgebungsbezogene Sicherheit
  • Organisatorische Anforderungen
  • Umgang mit Fahrzeugen, Komponenten und Bauteilen
  • Anforderungen für Erprobungsfahrzeuge
  • Anforderungen für Veranstaltungen und Shootings

 

Datenschutz

Im letzten Modul des TISAX Fragenkatalogs geht es um Datenschutz auf Basis der Europäischen Datenschutz Grundverordnung DSGVO. Hier werden folgende Bereiche abgefragt:

 

  • Umsetzung des Datenschutzes
  • Organisatorische Maßnahmen
  • Datenschutz bei internen Prozessen
  • Dokumentation

 

 

 

Die Reifegrade

 

Der VDA ISA Fragenkatalog kommt mit einem Bewertungsschema: Die Reifegrade. Sie beschreiben, wie gut die Anforderungen in die bestehenden Prozesse integriert wurden. Der Auditor bewertet auf einer Skala von 0-5 alle Controls und berechnet den Reifegrad.

Solltest du Hilfe bei der Berechnung und Bewertung des Reifegrades für dein Unternehmen haben, melde dich gern jederzeit bei unseren Beratern.

Kostenlose Erstberatung

 

So sind die Reifegrade des VDA ISA Katalogs definiert:

 

0 – unvollständig
Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen.

1 – durchgeführt
Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt („informeller Prozess“) und es existieren Indizien, dass er sein Ziel erreicht.

2 – gesteuert
Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden.

3 – etabliert
Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.

4 – vorhersagbar
Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen (Key Performance Indicators) kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss.

5 – optimierend
Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben.

 

 

Hier kannst du den ganzen TISAX Fragenkatalog herunterladen

 

Zurück zur Übersicht