Seit 2017 müssen Unternehmen, die für Automobilkonzerne tätig sind, eine TISAX-Zertifizierung vorweisen, um Aufträge zu bekommen. Der vor mehr als 10 Jahren etablierte Arbeitskreis „Informationssicherheit“ des VDA  hat einen Fragebogen zur Informationssicherheit (ISA – Information Security Assessment) entwickelt, der sich auf wesentliche Aspekte der internationalen Norm ISO 27001 stützt. Der VDA Arbeitskreis Informationssicherheit etabliert nun für das ISA einen gemeinsamen Prüf- und Austauschmechanismus in der Automobilindustrie und darüber hinaus, um Mehrfachprüfungen zu vermeiden. Der Betreiber des TISAX ist die ENX Association, die vom VDA als neutrale Instanz mit der Durchführung betraut wurde.

Was bedeutet das?

Kleine und mittelständische Unternehmen sind in der Strukturierung und Absicherung ihrer Prozesse oft einfach noch nicht so weit. Wenn dann die Aufforderung zum Audit kommt, ist es essenziell, die richtigen Schritte zu unternehmen. Das kann auch bedeuten: Nicht überreagieren! Und sich den richtigen, spezialisierten Partner suchen.

Was genau macht nextwork hierbei?

1. Auditfähigkeit feststellen (GAP-Analyse)
2. Prüfungsmanagement inkl. Registrierung
3. Umsetzung bzw. Anpassung ISMS nach VDA
4. Vorträge, Workshops und Mitarbeiterschulungen
5. Herstellung der Auditfähigkeit inkl. VDA-ISA Fragebogen
6. Unterstützung des ISB bei der Umsetzung
7. Fortlaufende Unterstützung beim ISMS als externer ISB
Optional: Stellung eines zertifizierten Informationssicherheitsbeauftragten

Wie hoch ist der Aufwand für die Einführung?

10 – 30 externe Beratertage
20 – 60 interne Personentage (ISB, IT, HR)
3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

1 – 2 Personentage pro Monat für den ISB
2 – 4 Personentage pro Monat für das DST

TISAX Referenzen?

Auch wenn das »Trusted Information Security Assessment Exchange“ erst seit 2017 besteht, können wir für unsere Kunden erfolgreiche Zertifizierungen im zweistelligen Bereich vorweisen. Das gilt für Assessment Level 2 und 3, für Zusatzmodule für Prototypenschutz, Anbindung Dritter sowie Projektbüros. Auch in der Zeit vor 2017, haben wir Unternhemen dabei unterstützt eine Prüfung nach VDA ISA zu meistern.


don’t panic and get certified
Quick Guide DSGVO und TISAX.

Erfahrungen aus 50 Projekten mit 100% Erfolgsquote.

Veröffentlicht: 12.11.2018
Verlag: BoD, Norderstedt
ISBN: 9783748181934
www.marcopeters.de/dontpanic


Wie ist die genaue Vorgehensweise?

In drei Phasen zum zertifizierten Informationssicherheits-Managementsystem:

Phase 1: GAP-Analyse  »Status Quo«


In dieser Phase verschaffen wir uns einen Überblick über die Ausgangssituation im Unternehmen auf Basis der Anforderungen. Dies betrifft alle Abläufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Das Ergebnis dieser Phase, die GAP-Analyse, beschreibt den Optimierungsbedarf zwischen Ist-Zustand und Auditfähigkeit. Dies erläutern wir am Ende der Phase der Geschäftsführung und dem Projektteam. Auf dieser Basis wird der Maßnahmenkatalog für die Phase 2, Entwicklung ISMS, festgelegt.

– Durchführung internes Audit vor Ort (Interviews und Begehung)
– Erstellung GAP-Analyse und Auditbericht
– Erstellung Maßnahmenkatalog 1
– Dokumentation GAP-Analyse
– Management Review (Präsentation GAP-Analyse)

 

Phase 2: Entwicklung ISMS »Auditfähigkeit«

In dieser Phase entwickeln wir zusammen mit dem Informationssicherheitsbeauftragten (ISB) das Informationssicherheitsmanagementsystem (ISMS) auf Basis des VDA-Maßnahmenkatalogs aus Phase 1. Dies umfasst folgende Bereiche: Übergreifende Beratung, wie die Prozesse im Unternehmen auditfähig werden; wir erstellen einen ISMS-Dokumentenplan, aus dem ersichtlich wird, welche Dokumente im Unternehmen vorhanden sind, aktualisiert werden müssen und welche fehlen. Wir erstellen Vorschläge zu Prozessbeschreibungen und Richtlinien und prüfen deren Umsetzung; ebenso beraten wir die IT zu konkreten Maßnahmen.

– Projektleitung des gesamten ISMS-Projekts
– Beratung Umsetzung ISMS nach VDA
– Übergreifende Beratung zu relevanten Prozessen im Unternehmen
– Erstellung ISMS-Dokumentenplan
– Beratung zu Prozessbeschreibungen und Richtlinien
– Dokumentenprüfung (Review und Beratung nach Bearbeitung)
– Beratung zu IT-Maßnahmen

 

Phase 3: Langfristige Betreuung »PDCA, plan-do-check-act«

Damit das ISMS auch nach dem Audittermin fortgeführt wird, bieten wir auch eine langfristige Betreuung an. Entweder als Unterstützung des lokalen ISBs oder als externer ISB:

– Bestellung als Datenschutzbeauftragter
Bestellung als Informationssicherheitsbeauftragter

Ansprechpartner für Neukunden:

TISAX und DSGVO

Marco Peters
Inhaber & Geschäftsführer
m.peters@nextwork.de

IT-Betreuung

André Willich
Geschäftsführer
a.willich@nextwork.de

IT-Infrastruktur

Finn Nickelsen
Geschäftsführer
f.nickelsen@nextwork.de