TiSAXÂź BERATUNG

Nextwork unterstĂŒtzt seit 2016 Unternehmen dabei die gewĂŒnschten TiSAX-Freigabe-Labels zu erhalten. Das sind mehr als 250 TiSAX-Audits. Erfolgsquote: 100%

Wenn die Aufforderung zum TiSAX-Audit kommt, ist es essenziell, die richtigen Schritte zu unternehmen. Das kann auch bedeuten: Nicht ĂŒberreagieren! Und sich den richtigen, spezialisierten Partner suchen.

Kostenlose Erstberatung (Termin)

NEXTWORK IST TISAX ZERTIFIZIERT
/ PROOF OF CONCEPT

Nextwork GmbH
Participant-ID: P51MCF

Anderen erzĂ€hlen wie sie’s machen sollen, es aber selbst nicht machen? Das kommt bei Nextwork nicht in Frage.

Wir machen’s genau anders herum: Alle Compliance-Zertifizierungen, die wir unseren Kunden anbieten, haben wir als allererstes selbst durchlaufen.


WAS IST TISAX ÜBERAUPT?

Der im Jahr 2004 etablierte Arbeitskreis „Informationssicherheit“ des VDA hat einen Fragebogen zur Informationssicherheit (ISA – Information Security Assessment) entwickelt, der sich auf wesentliche Aspekte der internationalen Norm fĂŒr Informationssicherheit ISO 27001 stĂŒtzt. Betreiber:in des TiSAX ist die ENX Association, die vom VDA als neutrale Instanz mit der DurchfĂŒhrung betraut wurde.

Download VDA ISA 5.1 aktuelle Version (ENX)Download TiSAX-Teilnehmerhandbuch (ENX)

NEXTWORK TISAX REFERENZEN

Auch wenn das „Trusted Information Security Assessment Exchange“ erst seit 2017 besteht, können wir fĂŒr unsere Kunden erfolgreiche Zertifizierungen im dreistelligen Bereich vorweisen.

Das gilt fĂŒr Assessment Level 2 und 3, fĂŒr Zusatzmodule fĂŒr Prototypenschutz, Anbindung Dritter sowie Datenschutz. Auch in der Zeit vor 2017 haben wir Unternhemen dabei unterstĂŒtzt, eine PrĂŒfung nach VDA ISA zu meistern. Seit Mitte 2018 haben wir im Durchschnitt zwei TiSAX-PrĂŒfungen im Monat. Unsere Erfolgsquote: 100%.

WAS GENAU MACHT NEXTWORK HIERBEI?

01

Anhand einer Gap-Analyse die AuditfÀhigkeit feststellen

Mehr zu Gap Analyse

02

PrĂŒfungsmanagement inkl. Registrierung

03

Umsetzung bzw. Anpassung ISMS nach VDA ISA (TISAX)

04

Schulungen und Workshops

05

Herstellung der AuditfÀhigkeit inkl. VDA-ISA Selbstauskunft

06

Optional: Nextwork als externe Beauftragte (ISB/DSB) bestellen

Bestellung als externe ISB nach TiSAXBestellung als externe DSB nach der DSGVO

WAS IST DER ERSTE SCHRITT?

Kleine und mittelstÀndische Unternehmen sind in der Strukturierung und Absicherung ihrer Prozesse oft einfach noch nicht so weit.

Durch eine Gap-Analyse nach VDA ISA verschaffen wir uns einen Überblick ĂŒber die Ausgangssituation im Unternehmen.

Betroffen sind AblÀufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Das Ergebnis beschreibt den Optimierungsbedarf zwischen Ist-Zustand und AuditfÀhigkeit.

Dies erlĂ€utern wir am Ende der Phase der GeschĂ€ftsfĂŒhrung und dem Projektteam. Auf dieser Basis wird der Maßnahmenkatalog fĂŒr die Phase 2, Entwicklung ISMS, festgelegt.

Mehr zu Gap Analyse

WELCHE TISAX-FREIGABEN BZW. TISAX-LABELS GIBT ES?

Mittlerweile gibt es zehn verschiedene TISAX-Freigabe-Label. Das kleinstmögliche PrĂŒfziel „Informationen mit hohem Schutzbedarf“ ergibt das Label „Info High“. ZusĂ€tzliche PrĂŒfziele sind optional und abhĂ€ngig von den Informationen, die verarbeitet werden:

INFORMATION
(GrundprĂŒfung)

Info High

Info Very High

PROTOTYPES
(Zusatzmodul)

Proto Parts

Proto Vehicles

Test Vehicles

Events + Shootings

DATAPROTECTION
(Zusatzmodul)

Data

Special Data


ASSESSMENT-LEVEL AL2 / AL3
TiSAX unterscheidet in zwei „Assessment-Level“ (AL2 oder AL3). Ein höheres Assessment-Level fĂŒhrt zu einer höheren PrĂŒfintensitĂ€t und dem Einsatz weitergehender PrĂŒfmethoden. Achtung: Das Assessment-Level trifft keine Aussage zur Klassifizierung oder Freigabe-Label.
Richtig, das Assessment Level 1 (AL1) gibt es in TiSAX nicht.
PRÜFUNG VOR ORT ODER NACH AKTENLAGE?
Eine PrĂŒfung nach Aktenlage ist nur bei den PrĂŒfzielen „Informationen mit hohem Schutzbedarf“ (Info High) und „Datenschutz“ (Data) möglich.
Bei allen anderen PrĂŒfzielen findet zwingend eine PrĂŒfung vor Ort statt.
NACH DEM AUDIT: WIE GEHT ES WEITER?
Ok, geschafft. Audit bestanden. ABER: Anders als beim FĂŒhrerschein, mit dem man ein Leben lang fĂ€hrt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern nachweisbar verbessert werden – und das wird regelmĂ€ĂŸig geprĂŒft.
Die interne, feste Taskforce kĂŒmmert sich ab sofort gemeinsam mit dem Informationssicherheitsbeauftragten (ISB) und dem Datenschutzbeauftragten (DSB), dauerhaft um das Thema – nicht, um es zu verwalten, sondern es weiter zu entwickeln.

TiSAX betrifft aber nicht nur die Taskforce: Damit Datenschutz und Informationssicherheit wirklich in der Unternehmenskultur verankert werden, mĂŒssen sie auch von allen Mitarbeitenden gelebt werden.

Zuvor muss aber in 99% aller FĂ€lle ĂŒberhaupt erstmal ein Bewusstsein fĂŒr das Thema geschaffen werden. Das baut man am besten durch Schulungen auf. Etwa alle drei Jahre folgt die viel hĂ€rtere Re-Zertifizierung. Dann muss man PrĂŒfprotokolle, Auditberichte und Dokumentation nachweisen. Ansonsten fĂ€llt man durch und verliert die Zertifizierung!


AUFWAND & KOSTEN FÜR TiSAX?

Beispiel 1
UnternehmensgrĂ¶ĂŸe: ca. 50 Mitarbeitende
Anzahl Standorte: ein Standort
Compliance (50 PT)
Personalabteilung (10 PT)
IT-Abteilung (35 PT)
Datenschutzbeauftragte (15 PT)
Externe Beratung (55 PT)
PT = Personentage
Beispiel 2
UnternehmensgrĂ¶ĂŸe: ca. 500 Mitarbeitende
Anzahl Standorte: drei Standorte
Compliance (90 PT)
Personalabteilung (20 PT)
IT-Abteilung (80 PT)
Datenschutzbeauftragte (20 PT)
Externe Beratung (85 PT)
Beispiel 3
UnternehmensgrĂ¶ĂŸe: ca. 5.000 Mitarbeitende
Anzahl Standorte: fĂŒnf Standorte
Compliance (100 PT)
Personalabteilung (20 PT)
IT-Abteilung (100 PT)
Datenschutzbeauftragte (20 PT)
Externe Beratung (100 PT)

Maßnahmen zu realisieren, die Gesetzgebung oder auch Kunden und Kundinnen fordern, ist im Normalfall kein Hexenwerk. Insbesondere, wenn man die Umsetzung pragmatisch und unternehmensbezogen angeht.

Im Zuge der Umsetzung wird das ganze Unternehmen unter die Lupe genommen – wobei oft auch Potentiale zur Optimierung und Kostenersparnis entdeckt werden.