Seit 2017 müssen Unternehmen, die für Automobilkonzerne tätig sind, eine TISAX-Zertifizierung vorweisen, um Aufträge zu bekommen. Der vor mehr als 10 Jahren etablierte Arbeitskreis „Informationssicherheit“ des VDA  hat einen Fragebogen zur Informationssicherheit (ISA – Information Security Assessment) entwickelt, der sich auf wesentliche Aspekte der internationalen Norm ISO 27001 stützt. Der VDA Arbeitskreis Informationssicherheit etabliert nun für das ISA einen gemeinsamen Prüf- und Austauschmechanismus in der Automobilindustrie und darüber hinaus, um Mehrfachprüfungen zu vermeiden. Der Betreiber des TISAX ist die ENX Association, die vom VDA als neutrale Instanz mit der Durchführung betraut wurde.

Was bedeutet das?

Kleine und mittelständische Unternehmen sind in der Strukturierung und Absicherung ihrer Prozesse oft einfach noch nicht so weit. Wenn dann die Aufforderung zum Audit kommt, ist es essenziell, die richtigen Schritte zu unternehmen. Das kann auch bedeuten: Nicht überreagieren! Und sich den richtigen, spezialisierten Partner suchen.

Welche TISAX-Freigaben bzw. TISAX-Labels gibt es?

Ihr Auftraggeber könnte von „TISAX-Labels“ sprechen. „Prüfziele“ und „TISAX-Labels“ sind nahezu identisch. Der
Unterschied besteht darin, dass Sie mit den „Prüfzielen“ in den Prüfprozess einsteigen und beim Bestehen der Prüfung
die entsprechenden „TISAX-Labels“ erhalten. Das Prüfziel „Informationen mit hohem Schutzbedarf“ ergibt das Label „Info High“ und ist das Minimum für eine TISAX-Prüfung. Zusätzliche Prüfziele sind optional. Abhängig von den Informationen, die Sie verarbeiten, müssen Sie ggf. weitere Prüfziele hinzufügen.

Grundprüfung


Information


„Info high“ (AL2)


„Info very high“ (AL3)

Zusatzmodul


Prototypes


„Proto Parts“


„Proto Vehicles“


„Test Vehicles“


„Events + Shootings

Zusatzmodul


Connection


„Con high“


„Con very high“

Zusatzmodul


Data protection


„Data“


„Special data

Was genau macht nextwork hierbei?

1. Auditfähigkeit feststellen (GAP-Analyse)
2. Prüfungsmanagement inkl. Registrierung
3. Umsetzung bzw. Anpassung ISMS nach VDA
4. Vorträge, Workshops und Mitarbeiterschulungen
5. Herstellung der Auditfähigkeit inkl. VDA-ISA Fragebogen
6. Unterstützung des ISB bei der Umsetzung
7. Fortlaufende Unterstützung beim ISMS als externer ISB
Optional: Stellung eines zertifizierten Informationssicherheitsbeauftragten

Externer ISB


nextwork bietet auch die externe Bestellung eines zertifizierten Informationssicherheitsbeauftragten an. Ab 490 €/Monat.


Mehr Infos


Externer DSB


nextwork bietet auch die externe Bestellung eines zertifizierten Datenschutzbeauftragten an. Ab 490 €/Monat.


Mehr Infos


TISAX-Schulungen


nextwork bietet Schulungen, Workshops und Ausbildungen für interne TISAX-Beauftragte und Informationssicherheitsbeauftragte an.


Mehr Infos


Wie hoch ist der Aufwand für die Einführung?

(Exemplarisch bei einem Unternehmen mit 100 Mitarbeitern und einem Standort)
10 – 30 externe Beratertage

20 – 60 interne Personentage (ISB, IT, HR)
3 – 8 Monate Umsetzungszeit

Wie hoch ist der Aufwand für den Betrieb?

(Exemplarisch bei einem Unternehmen mit 100 Mitarbeitern und einem Standort)
1 – 2 Personentage pro Monat für den ISB

2 – 4 Personentage pro Monat für das DST

TISAX Referenzen?

Auch wenn das »Trusted Information Security Assessment Exchange“ erst seit 2017 besteht, können wir für unsere Kunden erfolgreiche Zertifizierungen im zweistelligen Bereich vorweisen. Das gilt für Assessment Level 2 und 3, für Zusatzmodule für Prototypenschutz, Anbindung Dritter sowie Projektbüros. Auch in der Zeit vor 2017, haben wir Unternhemen dabei unterstützt eine Prüfung nach VDA ISA zu meistern.

Wie ist die genaue Vorgehensweise?

In drei Phasen zum zertifizierten Informationssicherheits-Managementsystem:

Phase 1: GAP-Analyse  »Status Quo«

Mehr Infos zur Vorgehensweise


don’t panic and get certified
Quick Guide DSGVO und TISAX.

Erfahrungen aus 50 Projekten mit 100% Erfolgsquote.

Veröffentlicht: 12.11.2018
Verlag: BoD, Norderstedt
ISBN: 9783748181934
www.marcopeters.de/dontpanic


Nach dem Audit: Wie geht es weiter und wie nehme ich meine Leute mit?

Ok, geschafft. Audit bestanden. ABER: Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern nachweisbar verbessert werden – und das wird regelmäßig geprüft.

Die interne, feste Taskforce kümmert sich, ab sofort gemeinsam mit dem Informationssicherheitsbeauftragten (ISB) und dem Datenschutzbeauftragten (DSB), dauerhaft um das Thema – nicht, um es zu verwalten, sondern es weiter zu entwickeln.

Das Thema betrifft aber nicht nur die Taskforce: Damit Datenschutz und Informationssicherheit wirklich in der Unternehmenskultur verankert werden, müssen sie auch von allen Mitarbeitenden gelebt werden. Zuvor muss aber in 99% aller Fälle aber überhaupt erstmal ein Bewusstsein für das Thema geschaffen werden. Das baut man am besten durch Schulungen auf.

Etwa alle drei Jahre folgt die viel härtere Re-Zertifizierung. Dann muss man Prüfprotokolle, Auditberichte und Dokumentation nachweisen. Ansonsten fällt man durch und verliert die Zertifizierung!

Ansprechpartner für Neukunden:

TISAX und DSGVO

Marco Peters
Inhaber & Geschäftsführer
m.peters@nextwork.de

IT-Betreuung

André Willich
Geschäftsführer
a.willich@nextwork.de

IT-Infrastruktur

Finn Nickelsen
Geschäftsführer
f.nickelsen@nextwork.de