Wonach suchen Sie?

Skip to main content

Informationssicherheit für Zulieferer der Automobilindustrie

Die Zertifizierung der Informationssicherheit nach TISAX® („Trusted Information Security Assessment Exchange“).

Was ist TISAX®? 

Seit 2017 hat der Verband der deutschen Automobilhersteller VDA den Prüfungsstandard TISAX® etabliert. Dieser basiert weitestgehend auf den Anforderungen der ISO/IEC 27001 (Informationssicherheit und ISMS) und der ISO/IEC 27017 für die Anforderungen an die Cloud-Sicherheit.

Die erfolgreiche Zertifizierung nach TISAX® ermöglicht es den Dienstleistern und Zulieferern der deutschen Automobilhersteller, einen unternehmensübergreifenden Nachweis eines funktionierenden Informationssicherheits-Managementsystems (ISMS) und die Einhaltung der Informationssicherheitsanforderungen auf einem hohen Level vorzuhalten.  

TISAX ® wird von der rechtlich selbständigen Instanz ENX Association mit Sitz in Frankreich betrieben. Der TISAX®-Katalog besteht dabei aus dem Kapitel Informationssicherheit mit Controls zu allgemeinen Informationssicherheitsfragen mit Schwerpunkt auf ISO/IEC 27001 und 27019, sowie den Zusatzmodulen

  • Datenschutz,
  • Anbindung Dritter und 
  • Prototypenschutz.  

Über die Notwendigkeit der Nachweise aus den Zusatzmodulen entscheidet üblicherweise der Automobilhersteller, bzw. Zulieferer. Das heißt, es ist möglich, dass zusätzlich zum Kapitel Informationssicherheit alle Zusatzmodule geprüft werden müssen oder keines.

Warum benötigt Ihr Unternehmen eine Zertifizierung nach TISAX®? 

Seit 2017 kann jedes Unternehmen, das als Dienstleister oder Zulieferer in der Automobilbranche tätig ist, von den deutschen Automobilherstellern und vielen Zulieferern aufgefordert werden eine Freigabe nach VDA-ISA vorzulegen. Diese Freigabe ist für 3 Jahre gültig. In vielen Fällen ist es auch bereits so, dass Dienstleister und Zulieferer nur noch an Ausschreibungen teilnehmen dürfen, wenn eine TISAX®-Freigabe vorliegt. Die Anforderungen an eine erfolgreiche Zertifizierung sind dabei um einiges höher als bei einer Zertifizierung nach ISO/IEC 27001, da diese im TISAX®-Katalog deutlich genauer formuliert sind und weniger Interpretationsspielraum lassen. Dies hat aber auch den Vorteil, dass mit der TISAX®-Zertifizierungsreife automatisch die Zertifizierungsreife nach ISO/IEC 27001 erreicht ist.  

Da in den meisten Fällen eine längere Vorlaufzeit zur Einführung eines ISMS und die Erfüllung der TISAX®-Anforderungen einzuplanen ist, empfiehlt es sich so früh wie möglich mit den Vorbereitungen zu beginnen. Wenn die Aufforderung zur Vorlage einer VDA-ISA Freigabe eintrifft, ist es meistens schon (zu) spät um ein ordentliches Ergebnis zu erreichen und das Assessment zu bestehen.

Welche Vorteile hat Ihr Unternehmen durch eine TISAX®-Freigabe? 

Die TISAX®-Freigabe ist für alle deutschen Automobilhersteller gültig und wird von diesen als Nachweis akzeptiert. Damit wird mit einer einmalig durchgeführten Überprüfung der Nachweis erbracht und muss nicht für jeden Automobilhersteller oder Zulieferer erneut erbracht werden. Es muss also nur noch ein regelmäßiges Audit vorgenommen werden statt wiederholter Audits für jeden Auftraggeber / Kunden. Sie sparen Zeit und Geld durch die gegenseitige Anerkennung der Ergebnisse im TISAX®-Netzwerk über die zentrale Austauschplattform von Prüfinformationen. Sie sichern sich den Wettbewerbsvorteil des guten Images Ihres Unternehmens und fördern damit Ihre Reputation. Sie erhöhen die Sicherheit Ihrer Informationen und bekommen Planbarkeit für Ihre Investitionen anhand eines strukturiert und sauber durchgeführten Risikomanagements.

Die Unterschiede zwischen ISO 27001 / ISO 27017 und TISAX®: 

Während der Schwerpunkt bei einer Zertifizierung nach ISO 27001 auf einem funktionierenden Informationssicherheitsmanagementsystems und einem etablierten PDCA-Zyklus liegt, sind die Anforderungen bei einer TISAX®-Zertifizierung im TIASAX®-Katalog deutlich genauer formuliert.  Eine Zertifizierung nach ISO 27001 besteht aus einem Zertifizierungsaudit und jährlichen Überprüfungsaudits.  Eine TISAX®-Freigabe wird nur alle 3 Jahre mit einem Assessment überprüft.

Wer führt die Assessments nach TISAX® durch?

Die ENX hat eine Reihe von Prüfdienstleistern akkreditiert, die die Assessments nach VDA-ISA durchführen und die Freigabe nach VDA-ISA erteilen dürfen. Allerdings ist es so, dass der Assessmentdurchführende Prüfdienstleister nicht beratend tätig werden darf. Es wird ein reines Assessment ohne Beratungsansatz durchgeführt.  

Wie kann ORGATEAM Ihnen helfen, ein TISAX®-Assessment zu (über-)stehen? 

Die Experten der ORGATEAM Unternehmensberatung GmbH verfügen über viele Jahre Erfahrung im Bereich Informationssicherheit und innerhalb der Unternehmensgruppe über Spezialisten, die das Thema IT-Sicherheit in der Praxis technisch umsetzen können. Außerdem verfügen die Berater über mehrjährige Erfahrung als TISAX®-Auditoren und -berater. 

ORGATEAM führt Sie auf kürzestem Weg zu einem funktionierenden Risikomanagement und zu den darauf aufbauenden Prozessen für den Betrieb eines ISMS, wie interne Audits, Reporting und Verbesserung des ISMS. Sie erhalten das komplette Regelwerk an Leit- und Richtlinien, das Sie selbst auf Ihre Anforderungen anpassen können, das aber schon so strukturiert ist, dass es alle wesentlichen Anforderungen erfüllt. Der zeit- und ressourcenraubende Vorgang des Schreibens entfällt also und Sie kommen schnell zu einem Ergebnis, ohne das Rad neu erfinden zu müssen. 

Gerne schult ORGATEAM auch Ihren Informationssicherheitsbeauftragen in den Besonderheiten der TISAX®-Anforderungen und führt auf Wunsch eine Standortbestimmung in Form einer GAP-Analyse durch. Selbstverständlich kümmern sie sich auch um den Betrieb des ISMS und stellen ggf. einen externen Informationssicherheitsbeauftragten, der mit dem Auditor in den Ring geht.

 

Jetzt unverbindlich anfragen

Kontakt

Gerne beantworten wir Ihre Anfrage via E-Mail. Wünschen Sie lieber einen persönlichen Rückruf? Dann geben Sie gerne freiwillig Ihre Telefonnummer im entsprechenden Feld ein. Alternativ freuen wir uns auch über Ihren Anruf unter +49 7805 918 1650.

* Pflichtfeld