Kurz-Überblick
Die Informationssicherheit in Unternehmen wird immer wichtiger. Um ihre Informationen und sensiblen Daten zu schützen, streben Unternehmen nach etablierten Informationssicherheits-Standards wie TISAX® oder der Zertifizierung nach ISO 27001. In diesem Artikel geben wir Ihnen einen Überblick über diese beiden Standards und erklären, wann und für welchen Zweck sie auch in Ihrem Unternehmen eingesetzt werden sollten. Das Wichtigste direkt zu Beginn:
- Die ISO 27001 Zertifizierung gilt branchenübergreifend, während TISAX® spezifisch für die Automobil-Industrie entwickelt wurde.
- TISAX® basiert inhaltlich auf der ISO 27001 und ISO 27017, ist jedoch ein eigener, unabhängiger Standard mit spezifischen Schwerpunkten für die Automobilindustrie.
- Zur Erlangung des TISAX® Labels wird die ISO 27001 nicht vorausgesetzt oder andersherum. Es ist in manchen Fällen allerdings empfehlenswert, beide Zertifizierungen zu erlangen, um „auf Nummer sicher zu gehen“ und alle Vorteile der Standards zu genießen.
- Gemeinsamkeit: Bei beiden Standards steht die Implementierung eines Informationssicherheits-Managementsystems (ISMS) im Fokus. TISAX® verlangt ein operativ funktionierendes ISMS, während ISO 27001 auf die Einführung eines ISMS abzielt.
Die wichtigsten Unterschiede zwischen ISO 27001 und TISAX®
Die ISO 27001 ist eine klassische Zertifizierung, während TISAX® ein Label ist. Im Sprachgebrauch wird jedoch auch oft von der TISAX® Zertifizierung gesprochen.
TISAX® wird in der Automobilindustrie eingesetzt, während ISO 27001 in allen Branchen angewendet werden kann.
TISAX® ist ein standortbezogenes Label und betrachtet den jeweiligen einzelnen Standort eines Unternehmens, wohingegen bei der ISO 27001 auch einzelne Produktlinien, Teilbereiche des Unternehmens oder das ganze Unternehmen zertifiziert werden können.
Das TISAX® Label muss nach der aktuellen Version alle 3 Jahre wiederholt werden. Bei der ISO 27001 findet ein jährliches Überprüfungsaudit und alle 3 Jahre ein Rezertifizierungs-Audit durch einen externen Prüfdienstleister statt.
Im Gegensatz zur ISO 27001 sind bei TISAX® „Muss“ und „Sollte“ Vorgaben definiert. Die „Muss“ Punkte sind ausnahmslos zu erfüllen. Des weiteren gibt TISAX® ein Reifegradmodell vor, das zum Erhalt des TISAX® Labels eine Mindestpunktzahl von 2,7 voraussetzt.
TISAX® verfügt zudem über eigene Kriterienkataloge zum Datenschutz und zum Prototypenschutz, die nach Aufforderungen der OEMs oder Kunden des Zulieferers erfüllt werden müssen.
Die Anforderungen der ISO 27001 sind eher allgemein gehalten und interpretierbar.
Eine weitere Besonderheit der TISAX® Prüfung ist, dass die ENX Association eine begrenzte Auswahl für Auditoren bietet. Wer TISAX® prüft, kann auf der offiziellen ENX Webseite eingesehen werden. Die zugelassenen Prüfer für die ISO 27001 sind von der DAkkS bestimmt (Deutsche Akreditierungsstelle).
Auch bei kleineren Unterschieden der Standards ist ein kombiniertes Audit möglich. Fragen Sie am besten Ihren Wunsch-Prüfdienstleister, ob er beide Audit-Verfahren anbietet.
Der Zeitraum für die Prüfungsprozesse von ISO 27001 und TISAX® kann je nach Größe und Komplexität des Unternehmens sowie der Erfahrung des Auditors variieren. Folgend einige allgemeine Richtlinien für beide Standards:
ISO 27001:
- Vorbereitungsphase: 1-3 Monate
- Implementierungsphase: 3-12 Monate
- Interne Audits: 1-3 Monate
- Externe Zertifizierungsaudit (Stufe 1 & Stufe 2): 1-3 Monate
Insgesamt kann der Prozess von der Vorbereitung bis zur Zertifizierung 6-18 Monate dauern.
TISAX®:
- Vorbereitungsphase: 1-3 Monate
- Implementierungsphase: 3-6 Monate
- Interne Audits: 1-2 Monate
- Externe TISAX-Bewertung: 1-3 Monate
Insgesamt kann der TISAX®-Prozess von der Vorbereitung bis zur erfolgreichen Bewertung 6-12 Monate dauern, wobei auch hier Größe, Ressourcen und Komplexität des Unternehmens eine Rolle spielen.
Bitte beachten Sie, dass diese Zeiträume nur Richtwerte sind und von Unternehmen zu Unternehmen variieren können. Es ist empfehlenswert, mit einem erfahrenen Berater oder Auditor zusammenzuarbeiten, um eine realistische Einschätzung des benötigten Zeitraums für Ihre spezifische Situation zu erhalten.
Welche Anforderungen müssen für TISAX® und ISO 27001 erfüllt sein?
Bei der ISO 27001 kann das Unternehmen den Anwendungsbereich selber festlegen. Das TISAX®-Label ist ein Standort-bezogenes Label und legt als Anwendungsbereich die physische Lokation des Unternehmens fest.
Während die ISO 27001 die Informationssicherheit des Anwendungsbereichs erhöhen möchte, zielt TISAX® darauf ab, über den einheitlichen Prüfansatz die Informationssicherheit entlang der Zulieferkette der Original Equipment Manufacturer (OEM) wie VW, Audi etc. sicherzustellen
Der Kriterien-Katalog Informationssicherheit des Self-Assessment-Fragebogen nach TISAX® basiert auf der ISO 27001 sowie der ISO27017. Mittlerweile befindet sich der Fragebogen, der von der VDA/ISA entwickelt wird, bereits in der Version 5.1.0.
- TIPP: Sie möchten einen Blick in den aktuellen TISAX® Fragebogen werfen? Dieser kann auf der Webseite des Verbands der deutschen Automobilindustrie oder der ENX gedownloadet werden.
Welche Prüfdienstleister gibt es für TISAX® und ISO 27001?
Das erlangte Prüfergebnis für TISAX® wird ausschließlich von der ENX Association verantwortet. Daher bestimmt diese auch die konkreten Dienstleister, die Prüfungen nach TISAX® durchführen dürfen. Die aktuell zugelassenen Prüfdienstleister sind auf der ENX Webseite zu finden. Für die ISO 27001 gibt es in Deutschland knapp über 50 Prüfdienstleister, welche die Audits absolvieren dürfen. Ein bekanntes Beispiel ist die DEKRA.
Ist TISAX® eine Voraussetzung für ISO 27001?
Da die beiden Standards unabhängig voneinander sind, setzt der eine den anderen auch nicht voraus. Durch die thematische Ähnlichkeit kann es aber durchaus sinnvoll sein, beide Prüfungen zu absolvieren. Wer die Anforderungen des einen Standards bereits erfüllt, wird mit dem zweiten keine allzu großen Probleme mehr haben.
Lohnt sich die ISO 27001 Zertifizierung auch für Unternehmen der Automobilbranche?
Anders als mit dem TISAX® Label, welches nicht für Werbezwecke genutzt werden darf, können Unternehmen ihr ISO 27001-Zertifikat für die Außenwirkung auf der Firmen-Website o. Ä. platzieren. Der Nachweis der geprüften Informationssicherheit schafft Vertrauen und kann zu mehr Geschäftsabschlüssen verhelfen. Hat ein Unternehmen die TISAX® Auditierung erfolgreich gemeistert, ist das lediglich für andere TISAX® Teilnehmer in der Prüfplattform der ENX einsehbar. Die Information, welche Unternehmen bereits zum TISAX®-Kreis gehören, soll auf diese Weise geschützt werden.
Während die ISO 27001 optional erlangt werden kann, wird TISAX® für die Automobilzulieferer dringend empfohlen, um auch zukünftig geschäftsfähig zu bleiben. Nur in Ausnahmefällen fordern OEM von ihren Zulieferern TISAX® UND die ISO 27001 Zertifizierung.
Geltungsbereiche der Zertifizierungen
TISAX® ist ein standortbezogenes Label und betrachtet den jeweiligen einzeln Standort eines Unternehmens, wohingegen bei der ISO 27001 auch einzelne Produktlinien, Teilbereiche des Unternehmens oder das ganze Unternehmen zertifiziert werden können.
Die ISO 27001 ist der international anerkannte Informationssicherheitsstandard für Unternehmen. Sie gilt für Organisationen aller Art, Größe und Branche, die Informationen verarbeiten, speichern oder übermitteln, unabhängig davon, ob sie öffentlich oder privat sind. Die Zertifizierung bezieht sich auf das Informationssicherheitsmanagementsystem (ISMS) einer Organisation, das die Sicherheitsrichtlinien, Prozesse und Kontrollen umfasst, die zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen erforderlich sind.
Der TISAX®-Standard wird von den meisten großen Automobilherstellern und Zulieferern weltweit anerkannt und akzeptiert.Die Zertifizierung ist für Unternehmen gedacht, die in der Automobilindustrie tätig sind oder Daten von Automobilherstellern verarbeiten oder speichern. TISAX® umfasst eine Reihe von Sicherheitsanforderungen, die speziell auf die Anforderungen der Branche zugeschnitten sind, wie beispielsweise den Schutz von geistigem Eigentum und den Schutz von Kundendaten. TISAX® soll sicherstellen, dass Unternehmen in der Automobilindustrie ein hohes Maß an Informationssicherheit aufrechterhalten und Daten sicher und vertraulich behandeln.
Unternehmen, die den TISAX®-Standard erfüllen, können ihre Zertifizierung anderen Unternehmen in der Branche vorzeigen, um ihre Fähigkeit zu demonstrieren, Informationen und Daten sicher zu verarbeiten und zu schützen.
Wer ist verantwortlich für TISAX® oder ISO 27001 im eigenen Unternehmen?
Die Verantwortung für die Implementierung und Aufrechterhaltung von TISAX® oder ISO 27001 liegt in der Regel bei der Geschäftsleitung eines Unternehmens. Die Geschäftsleitung muss sicherstellen, dass das Unternehmen die erforderlichen Ressourcen zur Verfügung stellt, um ein angemessenes Informationssicherheitsmanagement-System (ISMS) aufzubauen und aufrechtzuerhalten. Dies erfordert eine Verpflichtung zur kontinuierlichen Verbesserung der Informationssicherheitsprozesse, -richtlinien und -kontrollen.
Haben Sie spezifischere Fragen?
Unser Informationssicherheits-Experten stehen Ihnen gerne zur Verfügung. Schreiben Sie uns einfach eine Mail und wir werden Kontakt zu Ihnen aufnehmen.
