In einer Zeit, in der die Sicherheit sensibler Daten einen zentralen Stellenwert einnimmt, ist TISAX® für Unternehmen in der Automobilindustrie von grundlegender Bedeutung. Der TISAX® Standard ist sowohl bei den Herstellern (Original Equipment Manufacturer – OEM) für interne Zwecke relevant, als auch in ihrer Lieferkette und bei Dienstleistern der Branche.
Doch was genau verbirgt sich hinter dem TISAX® Prozess? Wie gestaltet sich der Ablauf und welchen Zweck erfüllt der Standard?
Schritt 1: Prozessbeginn
In der Regel beginnt der TISAX®-Prozess damit, dass einer Ihrer Geschäftspartner – z. B. ein OEM wie Audi oder VW – Sie dazu auffordert, das TISAX® Label zu erlangen, um ein definiertes Niveau der Informationssicherheit in Ihrem Unternehmen nachzuweisen. Alternativ können Sie den Prozess freiwillig oder proaktiv beginnen, wenn Sie befürchten, zukünftig sowieso zu TISAX® aufgefordert zu werden oder um grundlegend ihre Wettbewerbschancen zu erhöhen.
Sofern Ihre eigenen Zulieferer auch mit den schutzbedürftigen Informationen Ihres Partners umgehen, kann es sogar sinnvoll sein, wenn Sie Ihre eigenen Zulieferer auffordern, sich einer TISAX®-Prüfung zu unterziehen.
Schritt 2: Registrierung
Um mit dem TISAX® Prozess zu beginnen, müssen Sie die Online Registrierung im Portal der ENX Association durchlaufen. Die Registrierung ist bereits kostenpflichtig. Mit der Registrierung stimmen Sie den Allgemeinen Teilnahmebedingungen der ENX zu. Die Preisliste und Teilnahmebedingungen sind hier einsehbar:
Während der Registrierung müssen Sie Informationen zu Ihrem Unternehmen angeben, wie zum Beispiel
- Kontaktdaten,
- die gewünschten TISAX® Prüfziele oder
- den Scope (Umfang) der Prüfung.
Oftmals wird vom auffordernden Partner vorgebeben, welche Prüfziele Ihr Unternehmen zu erreichen hat. Basierend auf den Prüfzielen wird dann der Assessment Level (Level 1, 2 oder 3) festgelegt. Je höher der Schutzbedarf der Informationen ist, desto höher ist der Assessment Level. Ein höherer Assessment Level erhöht außerdem den Aufwand für die Prüfung, da es größerer Sorgfalt und Genauigkeit in der Prüfung bedarf (s. Schritt 5).
Schritt 3: Assessment Vorbereitung
Das Ausmaß der Vorbereitung für die TISAX® Prüfung hängt vom derzeitigen Reifegrad Ihres Informationssicherheitsmanagementsystems (ISMS) und dem Assessment Level ab. Um zu prüfen, ob Ihr ISMS dem Prüf-Standard entspricht, können Sie das Selfassessment auf Basis des ISA Kriterienkatalogs des Deutschen Verband der Automobilindustrie e.V. durchführen. Je nachdem, welche Prüfziele Sie haben, ist nur der erste Katalog zur Informationssicherheit oder zusätzlich die zum Prototypenschutz und / oder Datenschutz relevant:
- Kriterienkatalog zur Informationssicherheit (Information Security)
- Kriterienkatalog zum Prototypenschutz (Prototype Protection)
- Kriterienkatalog zum Datenschutz (Data Protection)
Der Download für den aktuellen VDA ISA Kriterienkatalog ist ebenfalls über die ENX möglich:
Bevor Sie zur Prüfung antreten, sollte sichergestellt sein, dass Ihr ISMS in Bestform ist. Sie sind laut ENX definitiv für eine TISAX®-Prüfung bereit, wenn Ihr Ergebnis („Zielreifegrad“) (nahezu) bei „3,0“ liegt. Andernfalls sollten Sie sich noch weiter vorbereiten.
Unsere Experten unterstützen Sie bei der Vorbereitung auf TISAX®.
Nach Ihrem Belieben begleiten wir Sie nicht nur bei der Vorbereitung, sondern übernehmen auf Wunsch auch die Kommunikation mit der Zertifizierungsstelle / dem Auditor bis zur bestandenen Prüfung.
Schritt 4: Auswahl eines Prüfdienstleisters
Sobald Sie bereit für die Prüfung sind, können Sie einen Prüfdienstleister wählen. Dieser muss von der ENX Association zugelassen sein und darf zuvor keine Beratung in Ihrem Unternehmen durchgeführt haben. Alle zugelassenen Prüfer führen die Prüfungen nach den gleichen Kriterien und identischen Prüfmethoden durch. Deshalb haben Sie theoretisch die freie Wahl und können sich verschiedene Angebote einholen, bevor Sie sich final entscheiden.
Schritt 5: TISAX® Prüfung
Assessment Level 1
Die Prüfungen unterscheiden sich je nach Assessment Level. Bei der Prüfung für Assessment Level 1 wird geprüft, ob eine vollständige Selbsteinschätzung von Ihnen vorliegt. Der Auditor prüft allerdings nicht den Inhalt und benötigt zudem keine weiteren Nachweise zu Ihren gemachten Angaben. Daher haben die Ergebnisse nur eine niedrige Vertrauensstufe und eingeschränkte Aussagekraft.
Assessment Level 2
Bei der Assessment Level 2 Prüfung erfolgt eine Plausibilitätsprüfung Ihrer Selbsteinschätzung. Es werden Nachweise über Ihre Auskünfte geprüft und ein Interview mit dem Verantwortlichen für Informationssicherheit durchgeführt. Dieses erfolgt in der Regel als Webkonferenz, kann auf Wunsch aber auch vor Ort stattfinden.
Da bei Assessment Level 2 lediglich die Plausibilität geprüft wird, aber nichts verifiziert wird, können die Prüfergebnisse nicht als Grundlage für eine Hochstufung auf Assessment-Level 3 verwendet werden. Der Aufwand für ein Upgrade auf Assessment-Level 3 ist quasi derselbe wie bei einer völlig neuen Prüfung.
Assessment Level 3
Im höchsten Assessment Level erfolgt eine umfassende Überprüfung und Verifizierung, ob Sie die geltenden Anforderungen für TISAX® einhalten. Der Prüfer wird Ihre eingereichten Dokumente und Nachweise prüfen und geplante als auch ungeplante Interviews mit den Prozessverantwortlichen führen. Er wird zudem vor Ort die Durchführung von Prozessen beobachten und örtliche Gegebenheiten überprüfen.
Prüfprozess
Der Prüfprozess besteht mindestens aus einer Erstprüfung. Sollte Ihr Unternehmen die Prüfung nicht direkt bestehen, werden weitere Schritte erforderlich. Bei festgestellten Abweichungen in der Erstprüfung wird ein Maßnahmenplan erarbeitet, um diese zu beseitigen. Nach der Umsetzung der Maßnahmen durch Ihr Unternehmen findet die Follow-Up-Prüfung statt. Sie können theoretisch so viele Follow-up-Prüfungen und Maßnahmenplan-Aktualisierungen durchführen, wie Sie benötigen.
Nach bestandener Prüfung erhalten Sie vom Prüfdienstleister den TISAX® Assessment Bericht.
Schritt 6: Erhalt der Prüfergebnisse
Mit dem offiziellen TISAX® Assessment Bericht erhalten Sie neben Ihrem Prüfergebnis auch das TISAX®-Label. Das Label fasst Ihr Prüfergebnis zusammen und bescheinigt, dass Ihr Informationssicherheitsmanagementsystem die definierten Prüf-Anforderungen erfüllt.
Ihr Prüfergebnis ist drei Jahre gültig, wobei der Gültigkeitszeitraum am Ende des Prüfprozesses beginnt – noch vor der Ausgabe des TISAX® Assessment Berichts.
Schritt 6: Austausch der Prüfergebnisse
Nach Erhalt Ihrer Prüfergebnisse und der Übermittlung dieser an die ENX Austauschplattform können Sie diese mit Ihrem Partner teilen. Die Übermittlung erfolgt meist 5-10 Werktage nach bestandener Prüfung. Ihr TISAX® Assessment Bericht ist in mehrere Ebenen gegliedert, wobei Sie selbst entscheiden können, bis zu welcher Ebene Ihr Partner Zugang erhalten soll.
Gesamtdauer des Prozesses
Es kann keine zuverlässige Angabe über die Dauer des Prozesses gemacht werden. Die Gesamtdauer des TISAX®-Prozesses hängt von einer Vielzahl an Faktoren ab, wie beispielsweise der Unternehmensgröße, der Anzahl an zu prüfenden Standorten, den Prüfzielen, dem Zustand Ihres derzeitigen Informationssicherheitsmanagementsystems, etc.