Was ist TISAX®?
TISAX® ist ein unternehmensübergreifendes Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie. Dabei geht es um den Schutz der Daten, ihrer Integrität und Verfügbarkeit im Herstellungsprozess sowie im Betrieb von Fahrzeugen.
Dies erfolgt über ein Informationssicherheits-Managementsystem (ISMS) analog zur Norm ISO 27001. Auf Basis dieser Norm hat der VDA den speziellen ISA-Anforderungs- und Prüfkatalog für den Automobilsektor entwickelt.
Die Wirksamkeit eines ISMS kann über Assessments (Prüfungen) gegen den VDA-ISA nachgewiesen werden. Bei erfolgreicher Prüfung, z.B. durch TÜV NORD, wird von ENX* – der Administrator des TISAX®-Programms – in dessen Datenbank ein TISAX®-Label ausgestellt. Dieses wird von allen VDA-Mitgliedern und Fahrzeugherstellern wie z.B. Audi, Volkswagen oder BMW anerkannt und gefordert.
Wie funktioniert TISAX®?
Die Teilnehmenden des TISAX®-Verfahrens tauschen über ein gemeinsames Online-Portal Informationen zum Status der Informationssicherheit untereinander aus. Die Registrierung auf dem Portal ist Pflicht für die Teilnahme an einem TISAX®-Verfahren. Neben dem Austausch von Assessmentdaten ermöglicht das Portal auch die Kontaktaufnahme zwischen Teilnehmenden und Prüfdienstleistern. Innerhalb des Austausch-Modells gibt es zwei Rollen, die jedes Unternehmen nach Bedarf einnehmen kann.
Passiv Teilnehmende sind z.B. Fahrzeughersteller. Diese fordern ein anderes Unternehmen (z.B. seinen Lieferanten) dazu auf, bestimmte TISAX®-Labels nachzuweisen und damit ein Assessment mit den geeigneten Prüfzielen durchzuführen und erbitten Zugang zu den Prüfungsergebnissen.
Aktiv Teilnehmende oder Auditees sind bspw. Lieferanten: Ein Unternehmen wird entweder durch ein anderes Unternehmen (z.B. OEM, Automobilhersteller) dazu aufgefordert, sich im Hinblick auf den Kriterienkatalog prüfen zu lassen oder unterzieht sich auf eigene Initiative einer Prüfung. Nach erfolgter Prüfung entscheidet der aktive Teilnehmende wer im TISAX®-Netzwerk Zugang zu seinen Prüfungsergebnissen erhält.
Vorteile von TISAX®
- Die Prüfkriterien sind für die Automotive-Branche relevant
- Die Prüfqualität und Ergebnisse sind homogen und hoch
- Die Prüf- und Berichtsverfahren sind standardisiert
- Die Vergleichbarkeit und Aussagekraft der Ergebnisse sind hoch
- Doppel- und Mehrfachprüfungen werden vermieden
- Ein Risikomanagement wird etabliert und Risiken werden reduziert
- Es besteht breite Akzeptanz im Automobilsektor
- Es besteht eine konsequente Ausrichtung auf Kundenbedürfnisse
In vier Schritten zu TISAX®
Wie laufen TISAX®-Assessments ab?
Die ENX Association als Betreiber des TISAX®-Programms hat die Level und Umfänge der Assessments klar definiert. TISAX® differenziert drei unterschiedliche Schutzklassen und Assessment-Level nach denen ein Unternehmen geprüft werden kann. Diese Prüfziele hängen vom Schutzbedarf der Informationen ab.
Ist für normale Schutzanforderungen gedacht. Der Auditee kann das Assessment in Form einer Selbstbewertung durchführen.
Das Assessment-Level 2 richtet sich an Zulieferer und Dienstleister mit hohen Schutzanforderungen. Voraussetzung dafür ist, dass eine vollständige Selbstbewertung vorliegt. Dann erfolgen seitens des Audit-Providers folgende Prüfschritte:
- Eröffnungsgespräch (Kick-off)
- Vollständigkeits- und Plausibilitätsprüfung der Selbbewertung sowie entsprechender Nachweise
- Telefoninterview der Verantwortlichen für das Informationssicherheits-Managementsystem (ISMS) auf Basis der Plausibilitätsprüfung oder eine Vor-Ort-Prüfung bei Anbindung Dritter und/oder Prototypenschutz
Das Assessment-Level 3 hat sehr hohe Schutzanforderungen. Hier ist ebenfalls ein Auditprovider (TISAX® AP) einzubeziehen und es muss eine vollständige Selbstbewertung vorliegen. Die darauffolgenden Prüfschritte sind ähnlich wie beim Assessment nach Level 2, nur, dass hier wesentliche Aspekte bei einem Vor-Ort-Audit betrachtet werden.
- Eröffnungsgespräch
- Vollständigkeits- und Plausibilitätsprüfung der Selbstbewertung sowie entsprechender Nachweise
- Assessment der Wirksamkeit und des Reifegrades des ISMS durch eine Vor-Ort-Prüfung mit den Beteiligten (Experteninterviews vor Ort, Begehung relevanter Bereiche und Räumlichkeiten)
Nach den Assessments werden die Ergebnisse sowie die Erfordernisse von Korrekturmaßnahmen in einem vorläufigen Bericht zusammengefasst. In diesem Fall erfolgen noch zwei weitere Prüfschritte, um ein TISAX®-Label zu erhalten:
- Entwicklung eines Plans von Korrekturmaßnahmen durch den Auditee und Bewertung durch den zugelassenen Prüfdienstleister - TISAX® Audit Provider (TISAX® AP).
- Umsetzung der Korrekturmaßnahmen durch den Auditee und Bewertung der Wirksamkeit der Maßnahmen durch den TISAX® AP.
Häufige Fragen zu TISAX®
TISAX® steht für Trusted Information Security Assessment Exchange und beschreibt ein Prüf- und Austauschverfahren für die Informationssicherheit in der Automobilindustrie.
Vom Verband der Automobilindustrie e.V. (VDA) entwickelt, wird TISAX® von der ENX Association gemanagt, die die Qualität der Durchführung und der Ergebnisse der Assessments überwacht.
Alle Lieferanten und Dienstleister von Automobilherstellern und Zulieferern, die sensible Informationen aus den jeweiligen Häusern verarbeiten, sollten Interesse daran haben, an TISAX® teilzunehmen. Zum einen begegnen sie damit den Anforderungen ihrer Kunden. Zum anderen vermeiden sie, sich immer wieder identischen Prüfungen durch Kunden unterziehen zu müssen. Denn Auftraggeber fordern von ihren Lieferanten regelmäßig einen Nachweis, dass sie die Anforderungen zur Informationssicherheit erfüllen.
Zugang zum TISAX®-Portal, das den Austausch der Assessment-Daten erleichtert, erhalten Unternehmen durch eine Teilnehmer-Registrierung. Diese gilt als Voraussetzung, um einen Prüfdienstleister (TISAX® AP) wie TÜV NORD mit einem Assessment zu beauftragen.
Nur die von der ENX dafür zugelassenen Prüfdienstleister (TISAX® AP) dürfen TISAX® Assessments durchführen. TÜV NORD CERT ist dafür Vertragspartner der ENX.
Über den Umfang und die jeweilige Dauer der TISAX®-Prüfung entscheiden im Wesentlichen die vereinbarten Prüfziele, die Reife und die Komplexität des ISMS und die Anzahl der zu prüfenden Standorte.
Vom Closing Meeting (Abschlussbesprechung des Initial Assessment) bis zum Abschluss des gesamten Assessment-Verfahrens (inkl. Überprüfung der erfolgreichen Implementierung ggf. notwendiger Korrekturmaßnahmen) steht ein befristeter Zeitraum von neun Monaten zur Verfügung. Kann die Frist nicht eingehalten werden, muss von vorne begonnen werden. Nach Ablauf von drei Jahren (Gültigkeitsdauer des TISAX®-Labels) muss das Verfahren von Neuem durchlaufen werden.
Um ein Angebot für eine TISAX®-Prüfung zu erhalten, müssen sich Interessenten zunächst auf dem ENX-Portal registrieren und entsprechende Informationen hinterlegen. Ausführliche Informationen zu Angebotsanfragen für TISAX® haben wir hier für Sie zusammengestellt.
Ausführliche Informationen zu TISAX® hat die ENX in einem Teilnehmerhandbuch auf ihrer Webseite zusammengefasst.
TISAX®-Assessments mit TÜV NORD
TÜV NORD ist der Partner an Ihrer Seite, wenn es um die Qualität Ihres Informationssicherheits-Managementsystems (ISMS) geht. Seit vielen Jahren sind wir für die Auditierung und Zertifizierung von ISMS bei der Deutschen Akkreditierungsstelle (DAkkS) akkreditiert. Speziell für den Automobilbereich ist TÜV NORD von der ENX Association als TISAX® Audit Provider (TISAX® AP) zugelassen und kann weltweit Assessments durchführen.
*Hinweis: Die TÜV NORD CERT GmbH ist durch ENX autorisiert, TISAX®-Prüfdienstleistungen anzubieten. Die mit dem TISAX®-Programm verknüpften Marken und Warenzeichen sowie das damit verbundene geistige Eigentum gehören der ENX.