COMPLIANCE

TISAXÂź / VDA ISA

WAS IST TISAX?

Unternehmen, die fĂŒr Automobil-Auftraggeber (OEMs) tĂ€tig sind, mĂŒssen immer öfter eine TISAX-Zertifizierung vorweisen, um AuftrĂ€ge zu bekommen.

Genau genommen: Eine gĂŒltige TISAX-Freigabe mit entsprechenden Labels. Der im Jahr 2004 etablierte Arbeitskreis „Informationssicherheit“ des VDA hat einen Fragebogen zur Informationssicherheit (ISA – Information Security Assessment) entwickelt, der sich auf wesentliche Aspekte der internationalen Norm fĂŒr Informationssicherheit ISO 27001 stĂŒtzt. Betreiber des TISAX ist die ENX Association, die vom VDA als neutrale Instanz mit der DurchfĂŒhrung betraut wurde.


WAS BEDEUTET DASFÜR UNTERNEHMEN?

Kleine und mittelstÀndische Unternehmen sind in der Strukturierung und Absicherung ihrer Prozesse oft einfach noch nicht so weit. Wenn dann die Aufforderung zum Audit kommt, ist es essenziell, die richtigen Schritte zu unternehmen. Das kann auch bedeuten:

Nicht ĂŒberreagieren!Und sich den richtigen,spezialisierten Partner suchen.


WAS SIND UNSERETISAX REFERENZEN?

Auch wenn das „Trusted Information Security Assessment Exchange“ erst seit 2017 besteht, können wir fĂŒr unsere Kunden erfolgreiche Zertifizierungen im dreistelligen Bereich vorweisen. Das gilt fĂŒr Assessment Level 2 und 3, fĂŒr Zusatzmodule fĂŒr Prototypenschutz, Anbindung Dritter sowie Datenschutz. Auch in der Zeit vor 2017 haben wir Unternhemen dabei unterstĂŒtzt, eine PrĂŒfung nach VDA ISA zu meistern. Seit Mitte 2018 haben wir im Durchschnitt zwei TISAX-PrĂŒfungen im Monat. Unsere Erfolgsquote: 100%.

WAS GENAUMACHT NEXTWORK HIERBEI?

01AuditfÀhigkeit feststellenGap-Analyse

02PrĂŒfungsmanagementinkl. Registrierung

03Umsetzung bzw. Anpassung ISMSnach VDA ISA (TISAX)

04Schulungen und Workshops

05Herstellung der AuditfÀhigkeit inkl.VDA-ISA Selbstauskunft

WAS IST DER ERSTE SCHRITT?

Durch eine Gap-Analyse nach VDA ISA verschaffen wir uns einen Überblick ĂŒber die Ausgangssituation im Unternehmen.

Dies betrifft alle AblĂ€ufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Das Ergebnis beschreibt den Optimierungsbedarf zwischen Ist-Zustand und AuditfĂ€higkeit. Dies erlĂ€utern wir am Ende der Phase der GeschĂ€ftsfĂŒhrung und dem Projektteam. Auf dieser Basis wird der Maßnahmenkatalog fĂŒr die Phase 2, Entwicklung ISMS, festgelegt.

mehr zu Gap-Analyse

WELCHE TISAX-FREIGABEN BZW.TISAX-LABELS GIBT ES?

Mittlerweile gibt es zehn verschiedene TISAX-Freigabe-Label. Das kleinstmögliche PrĂŒfziel „Informationen mit hohem Schutzbedarf“ ergibt das Label „Info High“. ZusĂ€tzliche PrĂŒfziele sind optional und abhĂ€ngig von den Informationen, die verarbeitet werden:

Podcast anhören

Information
(GrundprĂŒfung)

Info High

Info Very High

PROTOTYPES
(Zusatzmodul)

Proto Parts

Proto Vehicles

Test Vehicles

Events + Shootings

DATAPROTECTION
(Zusatzmodul)

Data

Special Data

CONNECTION
(Zusatzmodul bis VDA ISA 4.1.1)

Con High

Con Very High


ASSESSMENT-LEVEL 2/3 (AL2, AL3)

TISAX unterscheidet in zwei „Assessment-Level“ (AL2 oder AL3). Ein höherer Assessment-Level fĂŒhrt zu einer höheren PrĂŒfintensitĂ€t und dem Einsatz weitergehender PrĂŒfmethoden.

Das Assessment-Level trifft keine Aussage zur Klassifizierung oder Freigabe-Label.

PRÜFUNG VOR ORT ODER NACH AKTENLAGE?

Eine PrĂŒfung nach Aktenlage ist nur bei den PrĂŒfzielen „Informationen mit hohem Schutzbedarf“ (Info High) und „Datenschutz“ (Data) möglich.

Bei allen anderen PrĂŒfzielen findet zwingend eine PrĂŒfung vor Ort statt.

NACH DEM AUDIT: WIE GEHT ES WEITER?

Ok, geschafft. Audit bestanden. ABER: Anders als beim FĂŒhrerschein, mit dem man ein Leben lang fĂ€hrt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern nachweisbar verbessert werden – und das wird regelmĂ€ĂŸig geprĂŒft. Die interne, feste Taskforce kĂŒmmert sich ab sofort gemeinsam mit dem Informationssicherheitsbeauftragten (ISB) und dem Datenschutzbeauftragten (DSB), dauerhaft um das Thema – nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Das Thema betrifft aber nicht nur die Taskforce: Damit Datenschutz und Informationssicherheit wirklich in der Unternehmenskultur verankert werden, mĂŒssen sie auch von allen Mitarbeitenden gelebt werden.

Zuvor muss aber in 99% aller FĂ€lle aber ĂŒberhaupt erstmal ein Bewusstsein fĂŒr das Thema geschaffen werden. Das baut man am besten durch Schulungen auf. Etwa alle drei Jahre folgt die viel hĂ€rtere Re-Zertifizierung. Dann muss man PrĂŒfprotokolle, Auditberichte und Dokumentation nachweisen. Ansonsten fĂ€llt man durch und verliert die Zertifizierung!

Mehr zu Schulungen

Don't Panic and Get Certified / Quick Guide DSGVO und TISAX.

„Don’t panic – and get certified“ ist ein kompakter Ratgeber. In einem Rundumschlag beantwortet er die wichtigsten Fragen, die sich jedem stellen, der eine Aufforderung zum Audit auf den Tisch bekommt oder Datenschutz im Unternehmen umsetzen möchte:

mehr erfahren

WIE HOCH IST DER AUFWANDFÜR DIE EINFÜHRUNG?

Maßnahmen zu realisieren, die Gesetzgeber oder auch Kunden fordern, ist im Normalfall kein Hexenwerk. Insbesondere, wenn man die Umsetzung pragmatisch und unternehmensbezogen angeht. Im Zuge der Umsetzung wird das ganze Unternehmen unter die Lupe genommen – wobei oft auch Potentiale zur Optimierung und Kostenersparnis entdeckt werden.


Beispiel 1
UnternehmensgrĂ¶ĂŸe: ca. 50 Mitarbeitende
Anzahl Standorte: ein Standort

Compliance (50 PT)
Personalabteilung (10 PT)
IT-Abteilung (35 PT)
Datenschutzbeauftragte (15 PT)
Externe Beratung (55 PT)

PT = Personentage

Beispiel 2
UnternehmensgrĂ¶ĂŸe: ca. 500 Mitarbeitende
Anzahl Standorte: drei Standorte

Compliance (90 PT)
Personalabteilung (20 PT)
IT-Abteilung (80 PT)
Datenschutzbeauftragte (20 PT)
Externe Beratung (85 PT)

Beispiel 3
UnternehmensgrĂ¶ĂŸe: ca. 5.000 Mitarbeitende
Anzahl Standorte: fĂŒnf Standorte

Compliance (100 PT)
Personalabteilung (20 PT)
IT-Abteilung (100 PT)
Datenschutzbeauftragte (20 PT)
Externe Beratung (100 PT)