TISAX® As­sess­ment - In­for­ma­ti­ons­si­cher­heit in der Au­to­mo­bil­in­dus­trie

Sie sind Zu­lie­fe­rer oder Dienst­leis­ter für die Au­to­mo­bil­in­dus­trie? Dann müssen Sie einen Nachweis über die Verfügbarkeit ihrer Dienste oder die Sicherheit der Ihnen überlassenen sen­si­blen In­for­ma­tio­nen er­brin­gen. Auch für den kor­rek­ten Umgang mit Pro­to­ty­pen werden von Ihnen Nach­wei­se er­war­tet. Als Teil­neh­mer am TISAX®-Verfahren ist das über ein ent­spre­chen­des As­sess­ment möglich, welches nur noch alle 3 Jahre erfolgen muss. Die TISAX®-Zertifizierung ist über alle Branchen an­wend­bar und de­fi­niert An­for­de­run­gen zur In­for­ma­ti­ons­si­cher­heit in Ihrem Un­ter­neh­men.

Gegenseitige Anerkennung unter allen TISAX®-Teilnehmern

Lieferanten und Dienstleister gewinnen mehr Vertrauen in Ihr geprüftes Unternehmen

Die Prüfung zur TISAX® Zertifizierung erfolgt nur alle 3 Jahre

Einsparung von Zeit und Kosten als Mitglied im TISAX®-Netzwerk

Beschreibung Standard/Regelwerk
Loading...

Grund­le­gen­de In­for­ma­tio­nen zur TISAX® Zer­ti­fi­zie­rung

TISAX® ist ein ge­mein­sa­mes Prüf- und Aus­tausch­ver­fah­ren für Un­ter­neh­men in der Au­to­mo­bil­in­dus­trie. Es basiert auf dem vom VDA-Ar­beits­kreis „Informationssicherheit“ ent­wi­ckel­ten Fra­gen­ka­ta­log ISA (In­for­ma­ti­on Security As­sess­ment). Dieser basiert auf we­sent­li­chen Aspekten der in­ter­na­tio­na­len Norm ISO/IEC 27001 für In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment Systeme (ISMS) und wurde um ein Rei­fe­grad­mo­dell er­wei­tert.

Darüber hinaus verweist der ISA auf die ISO/SAE 62443-2-1 als Referenz für den Umgang mit in­dus­tri­el­len Steue­rungs­sys­te­men zur Au­to­ma­ti­sie­rung und Überwachung in­dus­tri­el­ler Pro­duk­ti­ons­an­la­gen (IACS) und ope­ra­ti­ven Tech­no­lo­gien (OT).

Zu­dem haben die zuständigen Gremien beim Verband der Au­to­mo­bil­in­dus­trie (VDA) die Vor­aus­set­zun­gen ge­schaf­fen, um den ge­mein­sa­men Prüf- und Aus­tauschme­cha­nis­mus unter der Be­zeich­nung TISAX® (Trusted In­for­ma­ti­on Security As­sess­ment eX­ch­an­ge) zu eta­blie­ren. TISAX® ist eine ein­ge­tra­ge­ne Marke der ENX As­so­cia­ti­on. Ein Zu­sam­men­schluss europäischer Au­to­mo­bil­her­stel­ler, Au­to­mo­bil­zu­lie­fe­rer und Automobilverbände überwacht die Qualität der TISAX® As­sess­ments und steuert die Zu­las­sung der TISAX®-Prüfdienstleister.

Mehr als 10.000 Stand­or­te sind, mitt­ler­wei­le nach TISAX® be­wer­tet. Damit ist dieser Standard nach ISO 27001 das am zweithäufigsten im­ple­men­tier­te Re­gel­werk für In­for­ma­ti­ons­si­cher­heit welt­weit. VDA und ENX haben in­ter­na­tio­na­le Ar­beits­grup­pen für TISAX® und den ISA-Ka­ta­log ge­bil­det, um den Standard ge­mein­sam wei­ter­zu­ent­wi­ckeln. Gleich­zei­tig wird damit eine engere Zu­sam­men­ar­beit mit der globalen Au­to­mo­bil­in­dus­trie gefördert. Mit TISAX 6.0 ist im Herbst 2023 die ak­tua­li­sier­te Form des Prüf- und Aus­tausch­ver­fah­rens veröffentlicht wor­den.

mehr anzeigen
weniger anzeigen
Mehrwert
Loading...

TISAX® 2.2 – ver­bind­lich seit dem 1.4.2024 - Hinweise zum Über­gang

TISAX®-Assessments, die bis zum 31. März 2024 be­auf­tragt wurden, können nach der alten ISA-Ver­si­on 5.1 durchgeführt werden. Seit dem 1. April 2024 be­auf­trag­te Erst- oder Re­zer­ti­fi­zie­run­gen werden ausschließlich nach dem neuen TISAX®-Verfahren gemäß des ISA-Ka­ta­logs 6.0 durchgeführt. Prüfungsaktivitäten, die von be­stehen­den Prüfungen abhängen, wie Cor­rec­ti­ve-Ac­tion-Plan-As­sess­ments, Fol­low-Up-As­sess­ments, Scope-Ex­ten­si­on-As­sess­ments oder fortgeführte Sim­pli­fied Group As­sess­ments, werden wei­ter­hin gemäß der Version durchgeführt, nach der die ursprüngliche Prüfung erfolgt ist.

In­for­ma­tio­nen über die wich­tigs­ten Änderungen im neuen ISA 6.0-Ka­ta­log lesen Sie in unserem Blog­bei­trag Neuer ISA Katalog 6.0 

Der neue ISA-Ka­ta­log 6.0 markiert einen be­deu­ten­den Mei­len­stein für TISAX®. Der Prüfkatalog führt zu An­pas­sun­gen in den An­for­de­run­gen für Audit Pro­vi­der, die im Rahmen der TISAX® ACAR 2.2-Ver­ord­nun­gen fest­ge­legt wurden. Die Um­stel­lung des An­for­de­rungs­ka­ta­logs auf Englisch als Haupt­spra­che un­ter­streicht die globale Per­spek­ti­ve und die ge­mein­sa­men Bemühungen für eine welt­wei­te Wei­ter­ent­wick­lung. Weitere Übersetzungen von TISAX VDA 6.0 sind in Planung. 

Die we­sent­li­chen Änderungen im neuen ISA-Ka­ta­log 6.0: 

Änderungen bei den Si­cher­heits­la­bels:

  • Das Label In­for­ma­ti­ons­si­cher­heit wird durch die Label Verfügbarkeit (Avai­la­bi­li­ty) und Ver­trau­lich­keit (Con­fi­den­tia­li­ty) abgelöst. Je nachdem welche Rolle Sie in der Lie­fer­ket­te ein­neh­men, kann Verfügbarkeit oder Ver­trau­lich­keit oder beides für Sie relevant sein.
  • Ein be­stehen­des Label "In­for­ma­ti­ons­si­cher­heit hoch" wird durch die kom­bi­nier­ten Label "Verfügbarkeit hoch" und "Ver­trau­lich­keit hoch" ersetzt. Gleiches gilt für ein be­stehen­des Label "In­for­ma­ti­ons­si­cher­heit sehr hoch". Dieses wird ersetzt durch "Verfügbarkeit sehr hoch" und "Ver­trau­lich­keit strikt" ersetzt.
  • Für beide Label gilt, dass die gleiche Menge von Ba­sis­an­for­de­run­gen zu erfüllen sind. Zusätzlich exis­tie­ren pro Label spe­zi­fi­sche An­for­de­run­gen für hohen und sehr hohen Schutz­be­darf. Es findet eine, von den Labeln abhängige Steue­rung des As­sess­ment-Pro­zes­ses statt, die Ihre Rolle in der Lie­fer­ket­te berücksichtigt. Deshalb lohnt es sich mit Ihren Kunden genau abzuklären welche Label für Ihre Rolle relevant sind.

Größerer Fokus auf In­for­ma­ti­ons­si­cher­heit und OT-Sys­te­me in der Lie­fer­ket­te

  • Re­le­van­te Un­ter­neh­men in der Lie­fer­ket­te müssen "Verfügbarkeit hoch" oder "Verfügbarkeit sehr hoch" erfüllen.
  • Betonung auf Ope­ra­tio­nal Tech­no­lo­gy (OT)-Sys­te­me in Pro­duk­ti­on und anderen Be­rei­chen im TISAX® As­sess­ment.
  • Ver­wei­se auf IEC 62443-2-1 und neue ISA-Ka­ta­log-An­for­de­run­gen fördern OT-Fo­kus.
  • Ein­be­zie­hung von in­dus­tri­el­len Kom­mu­ni­ka­ti­ons­net­zen und Kon­troll­sys­te­men (IACS).
  • Un­ter­neh­men in dieser Ka­te­go­rie müssen an­ge­mes­se­nen Schutz für sensible Daten in Ent­wick­lung und Pro­duk­ti­on nach­wei­sen.
  • Vie­le An­for­de­run­gen überlappen sich mit "Ver­trau­lich­keit hoch" oder "Ver­trau­lich­keit sehr hoch".
  • Un­ter­neh­men in der Lie­fer­ket­te ohne hohe Re­le­vanz, die dennoch mit sen­si­blen In­for­ma­tio­nen betraut sind, müssen den Nachweis er­brin­gen, dass es diese In­for­ma­tio­nen an­ge­mes­sen geschützt werden können. 
  • Mit den Labeln "Ver­trau­lich­keit hoch" oder "Ver­trau­lich­keit strikt" erfolgt eine Se­lek­ti­on der TISAX® An­for­de­run­gen, die auf dieses Schutz­ziel ein­zah­len.
  • Die be­schrie­be­ne se­lek­ti­ve Durchführung des As­sess­ments dient hauptsächlich dazu, dass Un­ter­neh­men nur die für ihre Rolle re­le­van­ten An­for­de­run­gen des ISA-Ka­ta­logs erfüllen müssen.

Neue Her­aus­for­de­run­gen für pro­du­zie­ren­de Un­ter­neh­men

  • OT-Sys­te­me müssen in ähnlicher Weise einem Ma­nage­ment un­ter­zo­gen werden, wie es bereits all­ge­mein für die IT-Sys­te­me von TISAX® ein­ge­for­dert wird.
  • Da­durch wird die OT im As­set-Ma­nage­ment mit seinen spe­zi­el­len Risiken erfasst, hin­sicht­lich möglicher Schwach­stel­len ana­ly­siert, von kom­pe­ten­ten Mit­ar­bei­tern ver­ant­wor­tet, ISMS-kon­for­men Pro­zes­sen zur Fern­war­tung und weiteren bewährten Ma­nage­ment­prak­ti­ken un­ter­zo­gen.
mehr anzeigen
weniger anzeigen
Anforderungen
Loading...

Welche Vorteile hat ein TISAX® As­sess­ment für Ihr Un­ter­neh­men?

Als Dienst­leis­ter oder Zu­lie­fe­rer in der Au­to­mo­bil­in­dus­trie müssen Sie Ihren Kunden nach­wei­sen, dass Sie den An­for­de­run­gen an die In­for­ma­ti­ons­si­cher­heit nach­kom­men. Bisher wurden diese Prüfungen vor allem durch die Her­stel­ler selbst durchgeführt. Re­gis­trier­te Teil­neh­mer am TISAX®-Netzwerk können über eine ge­mein­sa­me On­line-Platt­form einen Prüfdienstleister auswählen und mit einem As­sess­ment be­auf­tra­gen. Die Vorteile für Un­ter­neh­men überwiegen:

  • Doppel- und Mehrfachprüfungen durch ver­schie­de­ne Kunden lassen sich ver­mei­den, das spart Zeit und Kosten
  • Unternehmensübergreifende An­er­ken­nung von As­sess­ments für TISAX®-Teilnehmer
  • Zuverlässige Er­geb­nis­se durch den har­mo­ni­sier­ten Prüfkatalog, der einen ein­heit­li­chen Be­wer­tungs­pro­zess gewährleistet
  • Stärkung des Ver­trau­ens in Ihr geprüftes Un­ter­neh­men mit einem TISAX®-Label

Nach er­folg­rei­chem As­sess­ment erhalten Sie auf der TISAX®-Online-Plattform ein TISAX®-Label. Dieses Label ist mit dem Erhalt von Zer­ti­fi­ka­ten ver­gleich­bar und dient dazu, das Ver­trau­en in Ihr Un­ter­neh­men zu stärken und Ihr Be­stre­ben nach In­for­ma­ti­ons­si­cher­heit zu bestätigen.

Wie funktioniert
Loading...

Wie funk­tio­niert TISAX®?

In TISAX® können Teil­neh­mer zwei ver­schie­de­ne Rollen ein­neh­men: den „Information Consumer“ (pas­siv), zum Beispiel als Her­stel­ler, der In­for­ma­tio­nen über einen Lie­fe­ran­ten erhalten möchte, und den „Information Contributor“ (aktiv), zum Beispiel als Tei­le­zu­lie­fe­rer oder Dienst­leis­ter, der sich auf seine Eignung au­di­tie­ren lassen möchte, um von Her­stel­lern be­auf­tragt werden zu können.

Ein Un­ter­neh­men kann auch beide Teil­neh­mer-Rol­len ein­neh­men. Wer als In­for­ma­ti­on Con­tri­bu­tor an TISAX® teil­neh­men möchte, muss folgende vier Haupt­schrit­te ge­hen:

  • 1. On­line-Re­gis­trie­rung auf www.enx.com/TISAX
  • 2. Wahl eines von ENX zu­ge­las­se­nen Prüfdienstleisters wie die DQS 
  • 3. TISAX® As­sess­ment
  • 4. Aus­tausch der Au­dit­er­geb­nis­se auf der TISAX®-Online-Plattform

Ist ein Un­ter­neh­men an Ihren TISAX® Er­geb­nis­sen in­ter­es­siert, so kann es sich bei der ENX als „Information Consumer“ re­gis­trie­ren lassen. Sie können für jeden „Information Consumer“ selber ent­schei­den, ob Sie Ihren ak­tu­el­len TISAX Status mit diesem teilen möchten.

Business28.png
Loading...

Wie läuft ein TISAX® As­sess­ment ab?

Bevor Sie mit dem TISAX®-Assessment beginnen, muss Ihr Unternehmen einen klaren Geltungsbereich festlegen. Dazu gehört auch das Assessment-Level, welches die spezifischen Bewertungsanforderungen vorgibt. Diese Anforderungen können die Sicherstellung der "Verfügbarkeit" von Produktionskapazitäten, die Gewährleistung der "Vertraulichkeit" von anvertrauten Informationen oder die Sicherung von "Prototypenteilen" und "personenbezogenen Daten" umfassen. Diese grundlegenden Kriterien gelten für alle Standorte innerhalb des Scopes.

Eine zentrale Herausforderung besteht darin, Standorte mit ähnlichen Anforderungen in einem einzigen Geltungsbereich zusammenzufassen. Die DQS kann Ihnen bei der Gestaltung wertvolle Hinweise geben, ob es sich um einen einzigen umfassenden Scope oder um mehrere handeln sollte. Grundsätzlich ergeben sich bei der Zusammenführung von Standorten unter einem Scope Vorteile in Form von möglichen Reduzierungen bei den Auditaufwänden, wenn alle Standorte unter einem zentralisierten ISMS arbeiten.

Im ersten Schritt wählen Sie einen zugelassenen Prüfdienstleister aus. Im zweiten Schritt findet ein Kick-Off, die Dokumentenprüfung (Self-Assessment, nicht vor Ort) und ein anschließendes Assessment (Level 2: nicht vor Ort, Level 3: vor Ort) statt.

Bitte beachten Sie: Es gibt eine alternative Methode zur Durchführung einer Prüfung im Assessment Level 2. Anstelle der Plausibilitätsprüfung führt Ihr Prüfdienstleister eine vollständige Fernprüfung durch. Diese Methode wird manchmal als "Assessment Level 2,5" bezeichnet. Der Vorteil eines Assessment Levels 2,5 ist, dass der Ansatz methodisch mit dem Assessment Level 3 kompatibel ist. Es ist daher möglich, zu einem späteren Zeitpunkt mit überschaubarem Aufwand auf eine vollwertige Prüfung im Assessment Level 3 aufzurüsten.

Die Feststellungen aus dem TISAX® Audit werden in einem Zwischenbericht festgehalten. Bei Abweichungen werden umzusetzende Maßnahmen vereinbart. Bei Bedarf wird die Umsetzung der Maßnahmen in einem vereinbarten Zeitraum festgelegt. Dieses Verfahren stellt sicher, dass alle festgestellten Probleme wirksam und zeitnah angegangen werden.

Nach Schließung der Abweichungen findet eine Wirksamkeitsprüfung statt, um die Behebung der Nichtkonformitäten zu validieren und die Gesamtwirksamkeit der ergriffenen Korrekturmaßnahmen zu bewerten. 

Das finale Ergebnis wird online auf dem ENX®-Portal eingestellt. Damit ist Ihr Unternehmen als Teilnehmer am TISAX®-Verfahren mit dem entsprechenden Prüflabel gelistet. Anders als bei anderen Zertifizierungen gibt es kein TISAX®-Zertifikat.

Banking13.png
Loading...

Was kostet das TISAX® As­sess­ment?

Ein­fluss auf den Umfang der gesamten Prüfung und damit auf die Kosten haben zwei wichtige Fak­to­ren. TISAX® As­sess­ments sind möglich auf der Basis eines er­wei­ter­ten Scopes, eines Stan­dardsco­pes und eines eingeschränkten Scopes. Ihre Ent­schei­dung für einen Scope sollte gut vor­be­rei­tet sein und von den gewünschten Schutz­zie­len, aber auch der Größe Ihres Un­ter­neh­mens bestimmt wer­den.

Bei den Schutz­zie­len geht es zum Beispiel um die Frage, ob Sie Themen wie Pro­to­ty­pen­schutz oder Da­ten­schutz in das As­sess­ment einschließen wollen. Wenn Sie in das TISAX®-Verfahren ein­stei­gen möchten, sprechen Sie so früh wie möglich mit der DQS, Ihrem zu­ge­las­se­nen Prüfdienstleister. Nur so können wir für Sie die richtige Kal­ku­la­ti­on zum Prüfumfang er­mit­teln und ein verlässliches Angebot über die Kosten Ihrer TISAX® Zertifizierung er­stel­len.

mehr anzeigen
weniger anzeigen
Business2.png
Loading...

Das können Sie von uns erwarten

  • DQS ist zu­ge­las­se­ner Prüfdienstleiter der ENX Association
  • Wertschöpfende Ein­bli­cke zur In­for­ma­ti­ons­si­cher­heit in Ihrem Un­ter­neh­men
  • Ak­kre­di­tie­run­gen für alle maßgeblichen Re­gel­wer­ke der Au­to­mo­bil­in­dus­trie
  • Er­fah­re­ne Au­di­to­ren und Experten aus Au­to­mo­bil­in­dus­trie und In­for­ma­ti­ons­si­cher­heit
  • Mehr als 35 Jahre Er­fah­rung in der Zer­ti­fi­zie­rung von Ma­nage­ment­sys­te­men und Prozessen
  • Persönliche, rei­bungs­lo­se Be­treu­ung durch unsere Spe­zia­lis­ten – re­gio­nal, national und in­ter­na­tio­nal
  • In­di­vi­du­el­le Angebote mit fle­xi­blen Ver­trags­lauf­zei­ten ohne ver­steck­te Kos­ten
mehr anzeigen
weniger anzeigen
TISAX logo on the topic “Availability of results”
Loading...

TISAX®-As­sess­ment

Die DQS GmbH ist re­gis­trier­ter TISAX® Teil­neh­mer und hat sich einem TISAX®-Assessment für das Label „Informationssicherheit sehr hoch“ im As­sess­ment Level 3 un­ter­zo­gen. TISAX®-Assessments werden von ENX-ak­kre­di­tier­ten Prüfdienstleistern durchgeführt. TISAX®-Prüfergebnisse sind nicht für die All­ge­mein­heit be­stimmt. Das Ergebnis des As­sess­ment bei der DQS GmbH ist für re­gis­trier­te Teil­neh­mer über das ENX-Por­tal ab­ruf­bar: https://portal.enx.com/

 

philipp tesar-dqs-contact person
Loading...

An­ge­bots­an­fra­ge

Ihr An­sprech­part­ner Philipp Tesar

„Gerne er­stel­len wir Ihnen ein maßgeschneidertes Angebot für das TISAX®-Verfahren.“