TISAX® Assessment Level
Eine TISAX® Zertifizierung kommt mit sehr vielen Fachbegriffen einher – recht schnell verliert man den Überblick bei TISAX Leveln, Label, Reifegraden und Prüfzielen. Doch keine Sorge, wir bringen Licht ins Dunkle und erklären in diesem Beitrag genau, warum es TISAX Level gibt und welche du anstreben kannst.
Was sind TISAX Level und wie unterscheiden sie sichvon TISAX Label bzw. Prüfzielen und Reifegraden?
TISAX steht als Abkürzung für Trusted Information Security Assessment Exchange. Ziel ist es, in der Automobilindustrie Standards für die Informationssicherheit, den Datenschutz und den Prototypenschutz zu schaffen.
Diese Standards sind verbindlich für die Industrie und alle Zulieferer – die Anforderungen an die Zusammenarbeit sind aber nicht immer vergleichbar. Intensität und Prüfziele können sich unterscheiden. Die Prüfziele werden als TISAX Label beschrieben. Die Reifegrade drücken aus, wie gut die Anforderungen an die Prozesse schon umgesetzt wurden. TISAX Level ist eine Beschreibung für die Art der Prüfung. Insgesamt gibt es 3 Level, in der Realität sind allerdings nur Level 2 und 3 relevant.
TISAX Assessment Level 1
Das Assessment-Level 1 ist eine reine Selbsteinschätzung (»Self-Assessment«) und hat somit eine niedrige Vertrauensstufe. AL1 wird daher in TISAX in der Praxis nicht verwendet. Es ist natürlich möglich, dass Ihr Geschäftspartner eine solche Selbsteinschätzung außerhalb von TISAX anfordert.
Wichtig: Das Level trifft nur bedingt eine Aussage zum Label
TISAX Assessment Level 2
Bei einer Prüfung im Assessment-Level 2 führen Prüfdienstleister eine Plausibilitätsprüfung auf Aktenbasis der eingereichten Dokumentation durch. In der Regel wird anschließend ein Interview als Webkonferenz durchgeführt.
Folgendes ist in der Prüfung nach AL2 enthalten:
- Prüfung von Nachweisen auf Aktenbasis
- Interview mit den Fachabteilungen sowie
dem Beauftragten für Informationssicherheit
TISAX Assessment Level 3
Bei einer Prüfung im Assessment-Level 3 überprüfen die Prüfdienstleister umfassend, ob die geltenden Anforderungen eingehalten werden, z. B. lassen sie sich das Offboarding des zuletzt ausgeschiedenen Mitarbeitenden zeigen und überprüfen so, ob die Prozesse wie dokumentiert angewendet werden. Die Auditoren verwenden die Selbsteinschätzung des zu prüfenden Unternehmens und die eingereichten Unterlagen, um die Prüfung vorzubereiten. Im Gegensatz zum Assessment-Level 2 findet die Prüfung selber im AL3 vor Ort statt und es wird alles überprüft. Das heißt:
- Dokumente und Nachweise prüfen
- geplante Interviews mit den Prozessverantwortlichen führen
- Systeme live überprüfen
- die örtlichen Gegebenheiten betrachten
- die Durchführung von Prozessen beobachten
- ungeplante Interviews mit Prozessbeteiligten führen
| TISAX PRÜFZIEL | TISAX LABEL | TISAX LABEL alt |
| (Assessment obiective) | (bis 2022) | |
| Alle Basisanforderungen und alle Zusatzanforderungen für hohen Schutzbedarf, die mit „C" gekennzeichnet sind. | Confidential | Info high |
| Alle Basisanforderungen und alle Zusatzanforderungen für hohen Schutzbedarf, die mit „A" gekennzeichnet sind. | High Availability | |
| Alle Basisanforderungen und alle Zusatzanforderungen für hohen und sehr hohen Schutzbedarf, die mit „C" gekennzeichnet sind. | Strictly Confidential | Info very high |
| Alle Basisanforderungen und alle Zusatzanforderungen für hohen und sehr hohen Schutzbedarf, die mit „A" gekennzeichnet sind. | Very High Availability | |
| Schutz von Prototypenbauteilen und -Komponenten | Proto parts | |
| Schutz von Prototypenfahrzeugen | Proto vehicles | |
| Umgang mit Erprobungsfahrzeugen | Test vehicles | |
| Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings | Proto events | |
| Datenschutz gemäß Artikel 28 („Auftragsverarbeiter") der Datenschutz-Grundverordnung Datenschutz gemäß Artikel 28 („Auftragsverarbeiter") der Datenschutz-Grundverordnung (DSGVO) | Data | |
| Datenschutz mit besonderen Kategorien personenbezogener Daten Gemäß Artikel 28 („Auftragsverarbeiter") wie in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) angegeben | Special data |
Checkliste für den TISAX-Audit
Du möchtest wissen, wie gut dein Unternehmen auf ein TISAX-Audit vorbereitet ist? Wir haben für dich eine übersichtliche Checkliste erstellt, die die wichtigsten Maßnahmen aus den 45 Controls in 7 Kapiteln des ISA Katalogs enthält und dir bei der Vorbereitung auf deine TISAX-Zertifizierung hilft. Fülle jetzt unsere Checkliste aus und finde heraus, wo dein Unternehmen steht.
Welche TISAX Level sind für mich relevant?
TISAX ist für viele Marktteilnehmer eine Voraussetzung, um überhaupt mit OEMs ins Geschäft zu kommen. In der Regel geben auch die Hersteller vor, welche Label und Level für eine Zusammenarbeit erfüllt werden müssen.