COMPLIANCE

Informations-sicherheitVDA / TISAX®

WAS IST TISAX?

Unternehmen, die für Automobil-Auftraggeber (OEMs) tätig sind, müssen immer öfter eine TISAX-Zertifizierung vorweisen, um Aufträge zu bekommen.

Genau genommen: Eine gültige TISAX-Freigabe mit entsprechenden Labels. Der im Jahr 2004 etablierte Arbeitskreis „Informationssicherheit“ des VDA hat einen Fragebogen zur Informationssicherheit (ISA – Information Security Assessment) entwickelt, der sich auf wesentliche Aspekte der internationalen Norm für Informationssicherheit ISO 27001 stützt. Betreiber des TISAX ist die ENX Association, die vom VDA als neutrale Instanz mit der Durchführung betraut wurde.


WAS BEDEUTET DASFÜR UNTERNEHMEN?

Kleine und mittelständische Unternehmen sind in der Strukturierung und Absicherung ihrer Prozesse oft einfach noch nicht so weit. Wenn dann die Aufforderung zum Audit kommt, ist es essenziell, die richtigen Schritte zu unternehmen. Das kann auch bedeuten:

Nicht überreagieren!Und sich den richtigen,spezialisierten Partner suchen.


WAS SIND UNSERETISAX REFERENZEN?

Auch wenn das „Trusted Information Security Assessment Exchange“ erst seit 2017 besteht, können wir für unsere Kunden erfolgreiche Zertifizierungen im dreistelligen Bereich vorweisen. Das gilt für Assessment Level 2 und 3, für Zusatzmodule für Prototypenschutz, Anbindung Dritter sowie Datenschutz. Auch in der Zeit vor 2017 haben wir Unternhemen dabei unterstützt, eine Prüfung nach VDA ISA zu meistern. Seit Mitte 2018 haben wir im Durchschnitt zwei TISAX-Prüfungen im Monat. Unsere Erfolgsquote: 100%.

WAS GENAUMACHT NEXTWORK HIERBEI?

01Auditfähigkeit feststellenGap-Analyse

02Prüfungsmanagementinkl. Registrierung

03Umsetzung bzw. Anpassung ISMSnach VDA ISA (TISAX)

04Schulungen und Workshops

05Herstellung der Auditfähigkeit inkl.VDA-ISA Selbstauskunft

WAS IST DER ERSTE SCHRITT?

Durch eine Gap-Analyse nach VDA ISA verschaffen wir uns einen Überblick über die Ausgangssituation im Unternehmen.

Dies betrifft alle Abläufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Das Ergebnis beschreibt den Optimierungsbedarf zwischen Ist-Zustand und Auditfähigkeit. Dies erläutern wir am Ende der Phase der Geschäftsführung und dem Projektteam. Auf dieser Basis wird der Maßnahmenkatalog für die Phase 2, Entwicklung ISMS, festgelegt.

mehr zu Gap-Analyse

WELCHE TISAX-FREIGABEN BZW.TISAX-LABELS GIBT ES?

Mittlerweile gibt es zehn verschiedene TISAX-Freigabe-Label. Das kleinstmögliche Prüfziel „Informationen mit hohem Schutzbedarf“ ergibt das Label „Info High“. Zusätzliche Prüfziele sind optional und abhängig von den Informationen, die verarbeitet werden:

Podcast anhören

Information
(Grundprüfung)

Info High

Info Very High

PROTOTYPES
(Zusatzmodul)

Proto Parts

Proto Vehicles

Test Vehicles

Events + Shootings

DATAPROTECTION
(Zusatzmodul)

Data

Special Data

CONNECTION
(Zusatzmodul bis VDA ISA 4.1.1)

Con High

Con Very High


ASSESSMENT-LEVEL 2/3 (AL2, AL3)

TISAX unterscheidet in zwei „Assessment-Level“ (AL2 oder AL3). Ein höherer Assessment-Level führt zu einer höheren Prüfintensität und dem Einsatz weitergehender Prüfmethoden.

Das Assessment-Level trifft keine Aussage zur Klassifizierung oder Freigabe-Label.

PRÜFUNG VOR ORT ODER NACH AKTENLAGE?

Eine Prüfung nach Aktenlage ist nur bei den Prüfzielen „Informationen mit hohem Schutzbedarf“ (Info High) und „Datenschutz“ (Data) möglich.

Bei allen anderen Prüfzielen findet zwingend eine Prüfung vor Ort statt.

NACH DEM AUDIT: WIE GEHT ES WEITER?

Ok, geschafft. Audit bestanden. ABER: Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern nachweisbar verbessert werden – und das wird regelmäßig geprüft. Die interne, feste Taskforce kümmert sich ab sofort gemeinsam mit dem Informationssicherheitsbeauftragten (ISB) und dem Datenschutzbeauftragten (DSB), dauerhaft um das Thema – nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Das Thema betrifft aber nicht nur die Taskforce: Damit Datenschutz und Informationssicherheit wirklich in der Unternehmenskultur verankert werden, müssen sie auch von allen Mitarbeitenden gelebt werden.

Zuvor muss aber in 99% aller Fälle aber überhaupt erstmal ein Bewusstsein für das Thema geschaffen werden. Das baut man am besten durch Schulungen auf. Etwa alle drei Jahre folgt die viel härtere Re-Zertifizierung. Dann muss man Prüfprotokolle, Auditberichte und Dokumentation nachweisen. Ansonsten fällt man durch und verliert die Zertifizierung!

Mehr zu Schulungen

Don't Panic and Get Certified / Quick Guide DSGVO und TISAX.

„Don’t panic – and get certified“ ist ein kompakter Ratgeber. In einem Rundumschlag beantwortet er die wichtigsten Fragen, die sich jedem stellen, der eine Aufforderung zum Audit auf den Tisch bekommt oder Datenschutz im Unternehmen umsetzen möchte:

mehr erfahren

WIE HOCH IST DER AUFWANDFÜR DIE EINFÜHRUNG?

Maßnahmen zu realisieren, die Gesetzgeber oder auch Kunden fordern, ist im Normalfall kein Hexenwerk. Insbesondere, wenn man die Umsetzung pragmatisch und unternehmensbezogen angeht. Im Zuge der Umsetzung wird das ganze Unternehmen unter die Lupe genommen – wobei oft auch Potentiale zur Optimierung und Kostenersparnis entdeckt werden.


Beispiel 1
Unternehmensgröße: ca. 50 Mitarbeiter
Anzahl Standorte: ein Standort

Compliance (50 PT)
Personalabteilung (10 PT)
IT-Abteilung (35 PT)
Datenschutzbeauftragte (15 PT)
Externe Beratung (55 PT)

PT = Personentage

Beispiel 2
Unternehmensgröße: ca. 500 Mitarbeiter
Anzahl Standorte: drei Standorte

Compliance (90 PT)
Personalabteilung (20 PT)
IT-Abteilung (80 PT)
Datenschutzbeauftragte (20 PT)
Externe Beratung (85 PT)

Beispiel 3
Unternehmensgröße: ca. 5.000 Mitarbeiter
Anzahl Standorte: fünf Standorte

Compliance (100 PT)
Personalabteilung (20 PT)
IT-Abteilung (100 PT)
Datenschutzbeauftragte (20 PT)
Externe Beratung (100 PT)