Wissenswerteszum TISAX® Fragenkatalog
Wer sich mit dem Thema TISAX beschäftigt, kommt um den TISAX Fragenkatalog nicht herum. Im Folgenden berichten wir, was es mit dem TISAX Fragenkatalog auf sich hat, wie er aufgebaut ist und was es mit den Reifegraden auf sich hat.
Was ist der TISAX Fragenkatalog?
TISAX ist ein Standard für den Schutz von Informationen und Daten innerhalb der Automobilindustrie. Entwickelt wurde TISAX vom Verband der Automobilindustrie VDA.
Heute ist die ENX Association für die Verwaltung des TISAX-Netzwerks und die Weiterentwicklung der Anforderungskataloge zuständig. Für die Überprüfung in den Unternehmen, die eine TISAX Zertifizierung anstreben, wurde der TISAX Fragenkatalog entwickelt. In der Vergangenheit wurde er häufig auch als VDA ISA Fragenkatalog bezeichnet – VDA für den Verband der Automobilindustrie und ISA für Information Security Assessment. Seitdem die Version 6 gültig ist, wird der Katalog als ISA 6 bezeichnet. Der VDA ist weiterhin involviert, der Zusatz wird jedoch weggelassen. Dies berücksichtigt die internationale Verbreitung von TISAX.
Der ISA Katalog dient als Basis für:
- ein Self-Assessment der Informationssicherheit
- Audits durch interne Fachabteilungen
- die Prüfung nach TISAX
- den TISAX Fragenkatalog
Das Information Security Assessment (ISA) besteht aus mehreren Tabellenblättern. Die eigentlichen Anforderungen finden sich in den Tabellenblättern Informationssicherheit, Datenschutz und Prototypenschutz.
Der TISAX Fragenkatalog in der Version 6
Der VDA ISA Fragenkatalog steht aktuell in der Version 6 zur Verfügung und enthält wesentliche Neuerungen. Ihr Fokus liegt auf der Verfügbarkeit von Systemen und Informationen als Antwort auf das zunehmende Risiko durch Krisensituationen wie Pandemien oder Naturkatastrophen und Ransomware-Angriffe. Ziel ist es, die Ausfallsicherheit und somit die Widerstandsfähigkeit der Lieferketten in der Automobilindustrie zu verbessern. Als Grundlage für den internationalen Einsatz ist Englisch als Hauptsprache festgelegt worden, unterstützt durch verfügbare Übersetzungen, um die Zugänglichkeit weltweit zu gewährleisten.
Detailliertere Formulierung der Controls
Im Vergleich zur vorherigen Version 5.1 des Katalogs sind die Controls noch detaillierter formuliert und die Anforderungen strikter gefasst, sodass die Sicherheitsmaßnahmen noch besser und effektiver implementiert werden können.
Folgende fünf Controls wurden neu eingeführt zw. haben sich bestehende Controls in diese aufgeteilt:
- 3.4 Genehmigung von Software
- 6.1 Meldung von Sicherheitsvorfällen
- 6.2 Bearbeitung von Sicherheitsvorfällen
- 6.3 Krisenmanagement
- 2.8 Kontinuität von IT-Systemen
- 2.9 Backup- sowie Wiederherstellungsprozesse
Neustrukturierung der Sicherheitslabels
Neu aufgeteilt und dadurch besser differenziert sind die Labels im ISA Katalog Version 6 für Informationssicherheit:
Die bisherigen Labels „Info high“ und „Info very high“ wurden aufgesplittet in „Confidentiality high“ und „Availability High“ sowie in „Strict Confidentiality“ und „Availability Very High“. Die Überarbeitung behält die bestehenden Assurance Levels 2 bzw. 3 bei, sorgt jedoch für eine klarere Zuordnung und Berücksichtigung spezifischer Sicherheitsbedürfnisse.
In der vorigen Version 5.1. wurden neben sprachlichen Korrekturen die Schutzziele bezüglich Anforderungen für hohen und sehr hohen Schutzbedarf im Tabellenblatt „Informationssicherheit“ ergänzt.
- Anforderungen sind nicht mehr in Zeilen, sondern in Spalten aufgeführt.
- Es wurde eine neue Kapitel- und Control-Nummerierung eingeführt.
- Themen wurden zusammengeführt.
Über eine separate Spalte ist die ISA 4 Nummerierung erhalten geblieben und ermöglicht dadurch ein Mapping zur ISO 27001. Einen Vergleich von TISAX und ISO 27001 findest du hier.
Die Fragenmodule
Der TISAX Fragenkatalog ist in drei Bereiche gegliedert:
Informationssicherheit
Das Modul Informationssicherheit und seine Kontrollfragen orientieren sich an der ISO 27001. Im Vergleich zur ISO 27001 müssen bei TISAX grundsätzlich alle Anforderungen von den Teilnehmern umgesetzt werden – es kann nichts ausgeschlossen werden. Nur die Zusatzanforderungen variieren je nach Label. Zu finden sind hier die jeweiligen Ziele jeder Frage, aber auch die damit verbundenen Anforderungen. Das Modul ist in einzelne Bereiche unterteilt und fragt unter anderem nach:
- Organisation der Informationssicherheit
- Lieferantenbeziehungen
- Risikomanagement
- Informationssicherheit von Mitarbeitenden
- IT und Cybersecurity
Prototypenschutz
Der Prototypenschutz bezieht sich auf den Schutz aller noch nicht für die Allgemeinheit veröffentlichter Fahrzeuge und Fahrzeugbestandteile. Der auftraggebende OEM nimmt in den meisten Fällen auch eine Klassifizierung der Schutzbedürftigkeit vor. Liegt eine hohe oder sehr hohe Klassifizierung vor, müssen die Mindestanforderungen nach VDA ISA angewendet werden. Dabei kommen diese Kategorien zum Tragen:
- Physische und umgebungsbezogene Sicherheit
- Organisatorische Anforderungen
- Umgang mit Fahrzeugen, Komponenten und Bauteilen
- Anforderungen für Erprobungsfahrzeuge
- Anforderungen für Veranstaltungen und Shootings
Datenschutz
Im letzten Modul des TISAX Fragenkatalogs geht es um Datenschutz auf Basis der Europäischen Datenschutz Grundverordnung DSGVO. Hier werden folgende Bereiche abgefragt:
- Umsetzung des Datenschutzes
- Organisatorische Maßnahmen
- Datenschutz bei internen Prozessen
- Dokumentation
Checkliste für den TISAX-Audit
Du möchtest wissen, wie gut dein Unternehmen auf ein TISAX-Audit vorbereitet ist? Wir haben für dich eine übersichtliche Checkliste erstellt, die die wichtigsten Maßnahmen aus den 45 Controls in 7 Kapiteln des ISA Katalogs enthält und dir bei der Vorbereitung auf deine TISAX-Zertifizierung hilft. Fülle jetzt unsere Checkliste aus und finde heraus, wo dein Unternehmen steht.
Die Reifegrade
Der ISA Fragenkatalog kommt mit einem Bewertungsschema:
Die Reifegrade. Sie beschreiben, wie gut die Anforderungen in die bestehenden Prozesse integriert wurden. Der Auditor bewertet auf einer Skala von 0-5 alle Controls und berechnet den Reifegrad.
Solltest du Hilfe bei der Berechnung und Bewertung des Reifegrades für dein Unternehmen haben, melde dich gern jederzeit bei unseren Beratern.
So sind die Reifegrade des ISA Katalogs definiert:
0 – unvollständig
Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen.
1 – durchgeführt
Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt („informeller Prozess“) und es existieren Indizien, dass er sein Ziel erreicht.
2 – gesteuert
Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden.
3 – etabliert
Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.
4 – vorhersagbar
Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen (Key Performance Indicators) kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss.
5 – optimierend
Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben.