TiSAX® BERATUNG

Nextwork unterstützt seit 2016 Unternehmen dabei die gewünschten TiSAX-Freigabe-Labels zu erhalten. Das sind mehr als 250 TiSAX-Audits. Erfolgsquote: 100%

Wenn die Aufforderung zum TiSAX-Audit kommt, ist es essenziell, die richtigen Schritte zu unternehmen. Das kann auch bedeuten: Nicht überreagieren! Und sich den richtigen, spezialisierten Partner suchen.

Kostenlose Erstberatung (Termin online buchen)

NEXTWORK IST TISAX ZERTIFIZIERT
/ PROOF OF CONCEPT

Nextwork GmbH
Participant-ID: P51MCF

Anderen erzählen wie sie’s machen sollen, es aber selbst nicht machen? Das kommt bei Nextwork nicht in Frage.

Wir machen’s genau anders herum: Alle Compliance-Zertifizierungen, die wir unseren Kunden anbieten, haben wir als allererstes selbst durchlaufen.


WAS IST TISAX ÜBERAUPT?

Der im Jahr 2004 etablierte Arbeitskreis „Informationssicherheit“ des VDA hat einen Fragebogen zur Informationssicherheit (ISA – Information Security Assessment) entwickelt, der sich auf wesentliche Aspekte der internationalen Norm für Informationssicherheit ISO 27001 stützt. Betreiber:in des TiSAX ist die ENX Association, die vom VDA als neutrale Instanz mit der Durchführung betraut wurde.

Download VDA ISA 5.1 aktuelle Version (ENX)Download TiSAX-Teilnehmerhandbuch (ENX)

NEXTWORK TISAX REFERENZEN

Auch wenn das „Trusted Information Security Assessment Exchange“ erst seit 2017 besteht, können wir für unsere Kunden erfolgreiche Zertifizierungen im dreistelligen Bereich vorweisen.

Das gilt für Assessment Level 2 und 3, für Zusatzmodule für Prototypenschutz, Anbindung Dritter sowie Datenschutz. Auch in der Zeit vor 2017 haben wir Unternhemen dabei unterstützt, eine Prüfung nach VDA ISA zu meistern. Seit Mitte 2018 haben wir im Durchschnitt zwei TiSAX-Prüfungen im Monat. Unsere Erfolgsquote: 100%.

WAS GENAU MACHT NEXTWORK HIERBEI?

01

Anhand einer Gap-Analyse die Auditfähigkeit feststellen

Mehr zu Gap Analyse

02

Prüfungsmanagement inkl. Registrierung

03

Umsetzung bzw. Anpassung ISMS nach VDA ISA (TISAX)

04

Schulungen und Workshops

05

Herstellung der Auditfähigkeit inkl. VDA-ISA Selbstauskunft

06

Optional: Nextwork als externe Beauftragte (ISB/DSB) bestellen

Bestellung als externe ISB nach TiSAXBestellung als externe DSB nach der DSGVO

WAS IST DER ERSTE SCHRITT?

Kleine und mittelständische Unternehmen sind in der Strukturierung und Absicherung ihrer Prozesse oft einfach noch nicht so weit.

Durch eine Gap-Analyse nach VDA ISA verschaffen wir uns einen Überblick über die Ausgangssituation im Unternehmen.

Betroffen sind Abläufe, Kommunikationsformen und Ablagesysteme in allen Abteilungen (GF, ISB, DSB, HR, IT, PL, OM). Das Ergebnis beschreibt den Optimierungsbedarf zwischen Ist-Zustand und Auditfähigkeit.

Dies erläutern wir am Ende der Phase der Geschäftsführung und dem Projektteam. Auf dieser Basis wird der Maßnahmenkatalog für die Phase 2, Entwicklung ISMS, festgelegt.

Mehr zu Gap Analyse

WELCHE TISAX-FREIGABEN BZW. TISAX-LABELS GIBT ES?

Mittlerweile gibt es zehn verschiedene TISAX-Freigabe-Label. Das kleinstmögliche Prüfziel „Informationen mit hohem Schutzbedarf“ ergibt das Label „Info High“. Zusätzliche Prüfziele sind optional und abhängig von den Informationen, die verarbeitet werden:

INFORMATION
(Grundprüfung)

Info High

Info Very High

PROTOTYPES
(Zusatzmodul)

Proto Parts

Proto Vehicles

Test Vehicles

Events + Shootings

DATAPROTECTION
(Zusatzmodul)

Data

Special Data


ASSESSMENT-LEVEL AL2 / AL3
TiSAX unterscheidet in zwei „Assessment-Level“ (AL2 oder AL3). Ein höheres Assessment-Level führt zu einer höheren Prüfintensität und dem Einsatz weitergehender Prüfmethoden. Achtung: Das Assessment-Level trifft keine Aussage zur Klassifizierung oder Freigabe-Label.
Richtig, das Assessment Level 1 (AL1) gibt es in TiSAX nicht.
PRÜFUNG VOR ORT ODER NACH AKTENLAGE?
Eine Prüfung nach Aktenlage ist nur bei den Prüfzielen „Informationen mit hohem Schutzbedarf“ (Info High) und „Datenschutz“ (Data) möglich.
Bei allen anderen Prüfzielen findet zwingend eine Prüfung vor Ort statt.
NACH DEM AUDIT: WIE GEHT ES WEITER?
Ok, geschafft. Audit bestanden. ABER: Anders als beim Führerschein, mit dem man ein Leben lang fährt, muss der erlangte TISAX-Standard nicht nur erhalten, sondern nachweisbar verbessert werden – und das wird regelmäßig geprüft.
Die interne, feste Taskforce kümmert sich ab sofort gemeinsam mit dem Informationssicherheitsbeauftragten (ISB) und dem Datenschutzbeauftragten (DSB), dauerhaft um das Thema – nicht, um es zu verwalten, sondern es weiter zu entwickeln.

TiSAX betrifft aber nicht nur die Taskforce: Damit Datenschutz und Informationssicherheit wirklich in der Unternehmenskultur verankert werden, müssen sie auch von allen Mitarbeitenden gelebt werden.

Zuvor muss aber in 99% aller Fälle überhaupt erstmal ein Bewusstsein für das Thema geschaffen werden. Das baut man am besten durch Schulungen auf. Etwa alle drei Jahre folgt die viel härtere Re-Zertifizierung. Dann muss man Prüfprotokolle, Auditberichte und Dokumentation nachweisen. Ansonsten fällt man durch und verliert die Zertifizierung!


AUFWAND & KOSTEN FÜR TiSAX?

Beispiel 1
Unternehmensgröße: ca. 50 Mitarbeitende
Anzahl Standorte: ein Standort
Compliance (50 PT)
Personalabteilung (10 PT)
IT-Abteilung (35 PT)
Datenschutzbeauftragte (15 PT)
Externe Beratung (55 PT)
PT = Personentage
Beispiel 2
Unternehmensgröße: ca. 500 Mitarbeitende
Anzahl Standorte: drei Standorte
Compliance (90 PT)
Personalabteilung (20 PT)
IT-Abteilung (80 PT)
Datenschutzbeauftragte (20 PT)
Externe Beratung (85 PT)
Beispiel 3
Unternehmensgröße: ca. 5.000 Mitarbeitende
Anzahl Standorte: fünf Standorte
Compliance (100 PT)
Personalabteilung (20 PT)
IT-Abteilung (100 PT)
Datenschutzbeauftragte (20 PT)
Externe Beratung (100 PT)

Maßnahmen zu realisieren, die Gesetzgebung oder auch Kunden und Kundinnen fordern, ist im Normalfall kein Hexenwerk. Insbesondere, wenn man die Umsetzung pragmatisch und unternehmensbezogen angeht.

Im Zuge der Umsetzung wird das ganze Unternehmen unter die Lupe genommen – wobei oft auch Potentiale zur Optimierung und Kostenersparnis entdeckt werden.