INFORMATIONSSICHERHEIT
& DATENSCHUTZ

TiSAX®-Beratung

Kleine und mittelständische Unternehmen sind in der Strukturierung und Absicherung ihrer Prozesse oft einfach noch nicht so weit. Wenn dann die Aufforderung zum Audit kommt, ist es essenziell, die richtigen Schritte zu unternehmen. Das kann auch bedeuten: Nicht überreagieren! Und sich den richtigen, spezialisierten Partner suchen.

WIR SIND TISAX ZERTIFIZIERT
ODER
PROOF OF CONCEPT

Anderen erzählen wie sie’s machen sollen, es aber selbst nicht machen?

Das kommt bei Nextwork nicht in Frage. Wir machen’s genau anders herum: Alle Compliance-Zertifizierungen, die wir unseren Kunden anbieten, haben wir als allererstes selbst durchlaufen:

WAS IST TISAX ÜBERAUPT?

Unternehmen, die für Automobil-Auftraggeber (OEMs) tätig sind, müssen immer öfter eine TISAX-Zertifizierung vorweisen, um Aufträge zu bekommen. Genau genommen: Eine gültige TISAX-Freigabe mit entsprechenden Labels. Der im Jahr 2004 etablierte Arbeitskreis „Informationssicherheit“ des VDA hat einen Fragebogen zur Informationssicherheit (ISA – Information Security Assessment) entwickelt, der sich auf wesentliche Aspekte der internationalen Norm für Informationssicherheit ISO 27001 stützt. Betreiber des TISAX ist die ENX Association, die vom VDA als neutrale Instanz mit der Durchführung betraut wurde.

Download VDA ISA 5.1 aktuelle Version (ENX)Download TISAX-Teilnehmerhandbuch (ENX)

WAS SIND UNSERE
TISAX REFERENZEN?

Auch wenn das „Trusted Information Security Assessment Exchange“ erst seit 2017 besteht, können wir für unsere Kunden erfolgreiche Zertifizierungen im dreistelligen Bereich vorweisen. Das gilt für Assessment Level 2 und 3, für Zusatzmodule für Prototypenschutz, Anbindung Dritter sowie Datenschutz. Auch in der Zeit vor 2017 haben wir Unternhemen dabei unterstützt, eine Prüfung nach VDA ISA zu meistern. Seit Mitte 2018 haben wir im Durchschnitt zwei TISAX-Prüfungen im Monat. Unsere Erfolgsquote: 100%.

WAS GENAU
MACHT NEXTWORK HIERBEI?

01
Anhand einer Gap-Analyse
die Auditfähigkeit feststellen

Mehr zu Gap Analyse

02
Prüfungsmanagement
inkl. Registrierung

03
Umsetzung bzw. Anpassung ISMS
nach VDA ISA (TISAX)

04
Schulungen und Workshops

05
Herstellung der Auditfähigkeit inkl.
VDA-ISA Selbstauskunft

OPTIONAL
Nextwork als externe Beauftragte (ISB/DSB) bestellen

Bestellung als externe ISB nach TiSAXBestellung als externe DSB nach der DSGVO

WAS IST DER ERSTE SCHRITT?

Durch eine Gap-Analyse nach VDA ISA verschaffen wir uns einen Überblick über die Ausgangssituation im Unternehmen.

Dies betrifft alle Abläufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Das Ergebnis beschreibt den Optimierungsbedarf zwischen Ist-Zustand und Auditfähigkeit. Dies erläutern wir am Ende der Phase der Geschäftsführung und dem Projektteam. Auf dieser Basis wird der Maßnahmenkatalog für die Phase 2, Entwicklung ISMS, festgelegt.

Mehr zu Gap Analyse

WELCHE TISAX-FREIGABEN BZW.
TISAX-LABELS GIBT ES?

Mittlerweile gibt es zehn verschiedene TISAX-Freigabe-Label. Das kleinstmögliche Prüfziel „Informationen mit hohem Schutzbedarf“ ergibt das Label „Info High“. Zusätzliche Prüfziele sind optional und abhängig von den Informationen, die verarbeitet werden:


Information
(Grundprüfung)

Info High

Info Very High

PROTOTYPES
(Zusatzmodul)

Proto Parts

Proto Vehicles

Test Vehicles

Events + Shootings

DATAPROTECTION
(Zusatzmodul)

Data

Special Data

Podcast anhören

ASSESSMENT-LEVEL AL2 / AL3

TiSAX unterscheidet in zwei „Assessment-Level“ (AL2 oder AL3). Ein höherer Assessment-Level führt zu einer höheren Prüfintensität und dem Einsatz weitergehender Prüfmethoden. Achtung: Das Assessment-Level trifft keine Aussage zur Klassifizierung oder Freigabe-Label.

Richtig, das Assessment Level 1 (AL1) gibt es in TiSAX nicht.

PRÜFUNG VOR ORT ODER NACH AKTENLAGE?

Eine Prüfung nach Aktenlage ist nur bei den Prüfzielen „Informationen mit hohem Schutzbedarf“ (Info High) und „Datenschutz“ (Data) möglich.

Bei allen anderen Prüfzielen findet zwingend eine Prüfung vor Ort statt.

NACH DEM AUDIT: WIE GEHT ES WEITER?

Ok, geschafft. Audit bestanden. ABER: Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern nachweisbar verbessert werden – und das wird regelmäßig geprüft. Die interne, feste Taskforce kümmert sich ab sofort gemeinsam mit dem Informationssicherheitsbeauftragten (ISB) und dem Datenschutzbeauftragten (DSB), dauerhaft um das Thema – nicht, um es zu verwalten, sondern es weiter zu entwickeln.

TiSAX betrifft aber nicht nur die Taskforce: Damit Datenschutz und Informationssicherheit wirklich in der Unternehmenskultur verankert werden, müssen sie auch von allen Mitarbeitenden gelebt werden.

Zuvor muss aber in 99% aller Fälle aber überhaupt erstmal ein Bewusstsein für das Thema geschaffen werden. Das baut man am besten durch Schulungen auf. Etwa alle drei Jahre folgt die viel härtere Re-Zertifizierung. Dann muss man Prüfprotokolle, Auditberichte und Dokumentation nachweisen. Ansonsten fällt man durch und verliert die Zertifizierung!

Mehr zu Schulungen

AUFWAND & KOSTEN FÜR TiSAX?

Maßnahmen zu realisieren, die Gesetzgeber oder auch Kunden fordern, ist im Normalfall kein Hexenwerk. Insbesondere, wenn man die Umsetzung pragmatisch und unternehmensbezogen angeht. Im Zuge der Umsetzung wird das ganze Unternehmen unter die Lupe genommen – wobei oft auch Potentiale zur Optimierung und Kostenersparnis entdeckt werden.


Beispiel 1
Unternehmensgröße: ca. 50 Mitarbeitende
Anzahl Standorte: ein Standort

Compliance (50 PT)
Personalabteilung (10 PT)
IT-Abteilung (35 PT)
Datenschutzbeauftragte (15 PT)
Externe Beratung (55 PT)

PT = Personentage

Beispiel 2
Unternehmensgröße: ca. 500 Mitarbeitende
Anzahl Standorte: drei Standorte

Compliance (90 PT)
Personalabteilung (20 PT)
IT-Abteilung (80 PT)
Datenschutzbeauftragte (20 PT)
Externe Beratung (85 PT)

Beispiel 3
Unternehmensgröße: ca. 5.000 Mitarbeitende
Anzahl Standorte: fünf Standorte

Compliance (100 PT)
Personalabteilung (20 PT)
IT-Abteilung (100 PT)
Datenschutzbeauftragte (20 PT)
Externe Beratung (100 PT)