Der Begriff TISAX® wird in der Praxis gern verwendet, ohne wirklich zu wissen, was sich im Detail dahinter verbirgt. Konkret geht es um Anforderungen der Automobilindustrie, die den Themenbereich IT-Sicherheit betreffen.
Meistens höre ich: „Wir müssen uns nach TISAX® zertifizieren lassen, weil unser Kunde das so möchte.“ Noch besser war der Kommentar: „Wenn wir uns nach TISAX® zertifizieren lassen, dann müssen wir alle Türen absperren und dürfen ….. gar nichts mehr machen.“
Ok, hier haben wir auf jeden Fall Klärungsbedarf. Über diese und weitere Mythen möchte ich in diesem Beitrag schreiben und an der einen oder anderen Stelle etwas Klarheit in die Materie bringen. Unter anderem widmet sich dieser Artikel den folgenden und weiteren Fragen:
- Was verbirgt sich eigentlich hinter dieser „TISAX®“?
- Warum ist der Begriff „Zertifizierung“ hier nicht so ganz richtig?
- Wie implementiert man die Anforderungen der VDA ISA im Unternehmen?
- Welche verschiedenen Anforderungskataloge gilt es zu berücksichtigen?
- Was kommt auf das Unternehmen zu, wenn es sich nach den Anforderungen der VDA ISA / TISAX® ausrichtet?
Natürlich möchten wir Sie mit diesem Beitrag auch davon überzeugen, dass wir ein guter Partner für Sie sind. Wir unterstützen Sie gerne und professionell bei der Implementierung der Anforderungen.
Die Inhalte aus diesem Artikel referenzieren sich größtenteils auf die Webseite der ENX, das TISAX®-Teilnehmerhandbuch und auf unsere Erfahrung in der Implementierung von Managementsystemen für Informationssicherheit.
TISAX® ist eine eingetragene Marke der ENX Association. Die Datenbeschützerin® steht in keiner geschäftlichen Beziehung zu ENX.
Inhaltsverzeichnis
Auf den Punkt gebracht: VDA ISA / TISAX®
- Im VDA ISA Katalog sind die Anforderungen der Automobilbranche an die Informationssicherheit beschrieben.
- TISAX® ist ein Branchenstandard, der unterschiedliche Prüfziele (Informationssicherheit, Prototypenschutz und Datenschutz) verfolgt.
- Die erfolgreiche Umsetzung von Anforderungen der Prüfziele kann ein Auditor prüfen. Das Unternehmen kann ein sogenanntes TISAX®-Label als Nachweis der umgesetzten Vorgaben mit seinen Partnern (Auftraggebern) teilen.
- Im Kern steckt ein Managementsystem für Informationssicherheit.
Was verbirgt sich eigentlich hinter der VDA ISA / TISAX®?
Kurz gesagt: Die VDA ISA fordert den Schutz der Informationen und Daten im Unternehmen. Also letztendlich das, was wir unter dem Begriff Informationssicherheit kennen. Nicht mehr?
Nein, nicht mehr, aber auch nicht weniger. Blickt man gesamtheitlich auf die Anforderungen, ergibt sich ein Managementsystem für Informationssicherheit.
Die Anforderungen kommen aus dem Bereich der Automobilindustrie und richten sich primär an alle Institutionen, die sich (ganz allgemein gesprochen) in der Wertschöpfungskette der Automobilindustrie befinden. Dies zeigt sich auch in der verwendeten Abkürzung VDA ISA / TISAX®.
Für was steht TISAX®?
VDA = Verband der Automobilindustrie
ISA = Information Security Assessment
TISAX® = Trusted Information Security Assessment Exchange; zudem ist der Begriff eine eingetragene Marke und daher auch markenrechtlich geschützt.
Die Prüfung nach diesen Anforderungen soll einen einheitlichen hohen Standard an die Informationssicherheit und den Austausch von Informationen unter allen TISAX®-Teilnehmern gewährleisten.
Was bedeutet TISAX® Compliance?
Der ISA Anforderungskatalog ist in verschiedene Bereiche, sogenannte Prüfziele, unterteilt. Diese werden weiter unten noch detailliert erläutert.
Jedes der Prüfziele hat einen sehr umfangreichen Vorgaben-Katalog. Sie als teilnehmendes Unternehmen bzw. als TISAX®-Teilnehmer verpflichten sich, die für Sie notwendigen Prüfziele umzusetzen. Das heißt, die Anforderungen aus dem VDA Information Security Assessment (Excel Liste aus dem freien Download der ENX) müssen in Ihrem Unternehmen umgesetzt werden.
In der Regel kommt im Anschluss an die Implementierung in Ihrem Haus ein externer Auditor, der Ihnen die Arbeitsweise entsprechend dem Anforderungskatalog bestätigt. Erfüllen Sie die Anforderungen? Dann spricht man von einer Compliance nach den VDA ISA / TISAX® Anforderungen.
Mit diesem Nachweis der gesteuerten Informationssicherheit in Ihrem Unternehmen haben Sie eine objektive Bewertung, die Ihre Auftraggeber einsehen können. Der Nachweis ist also eine Art „Vertrauensnachweis“ für Ihre Kunden, dass Ihr Unternehmen in der Lage ist, vertrauliche Informationen von Partnern adäquat zu schützen.
Woher kommen diese Vorgaben, die sich hinter dem Anforderungskatalog verbergen?
Der VDA ISA Anforderungskatalog wird von der ENX erstellt und aktualisiert. Die ENX ist ein Zusammenschluss von Automobilherstellern, Zulieferern und vier nationalen Automobilverbänden (siehe ENX Webseite).
Kern der Aufgabe der ENX ist es, die Wertschöpfung und die Sicherheit der Informationen in der immer mehr digitalisierten Wertschöpfungskette sicherzustellen. Unter diesem Gesichtspunkt wurde auch der aktuelle VDA ISA / TISAX® Anforderungskatalog erstellt. Wie die ENX in ihrem Teilnehmerhandbuch selbst schreibt, bestimmt der VDA konkret für die Automobilbranche, was „sicher“ bedeutet und fasst es im VDA ISA zusammen (VDA Information Security Assessment).
Im Gegensatz zu ISO- und DIN-Normen kann der Anforderungskatalog der ENX kostenlos von ihrer Webseite heruntergeladen werden.
VDA ISA / TISAX® Prüfziele – Labels
Prüfziele
Die Prüfziele lassen sich grob in drei Kategorien einteilen:
- Informationssicherheit
- Prototypenschutz
- Datenschutz
Je Kategorie gibt es verschiedene konkrete Prüfziele. Die Prüfziele werden in zwei verschiedene Schutzbedarfe unterschieden:
- hoch: Die Informationen haben einen „hohen“ Schutzbedarf
- sehr hoch: Die Informationen haben einen „sehr hohen“ Schutzbedarf
- normal: Es gibt natürlich auch den Schutzbedarf „normal“ für Informationen. Dieser findet in der VDA ISA keine Anwendung.
Was sich hinter den jeweiligen Schutzbedarfen verbirgt, wird im VDA ISA Katalog auch noch einmal in den Anforderungen definiert.
Informationssicherheit
Welchen Schutzbedarf die Informationen haben, sollte vom Auftraggeber kommuniziert werden. Das Prüfziel Informationssicherheit (hoch oder sehr hoch) ist als obligatorisches Schutzziel immer umzusetzen. Hier verbergen sich unter anderem die Vorgaben für ein ISMS (Managementsystem für Informationssicherheit). Je nach weiteren geforderten Labels ergibt sich auch eine Abhängigkeit, ob das Prüfziel Informationssicherheit hoch oder sehr hoch verwendet werden muss – siehe in den nachfolgenden Kategorien.
Informationssicherheit (hoch) | Der Teilnehmer verarbeitet Daten mit hohem Schutzbedarf |
Informationssicherheit (sehr hoch) | Der Teilnehmer verarbeitet Daten mit sehr hohem Schutzbedarf. |
Prototypenschutz
Hier geht es vor allem um den physikalischen Schutz der Teile und Fahrzeuge. Beim Prototypenschutz sind die Anforderungen hauptsächlich bezogen auf die Umgebung und / oder die bauliche / räumliche Situation und natürlich den Schutz der Fahrzeuge.
Schutz von Prototypenbauteilen und -komponenten | Wenn ihr Unternehmen Teile oder Komponenten für Prototypen fertigt oder diese für andere Zwecke benötigt. | basiert auf Info (hoch) |
Schutz von Prototypenfahrzeugen | Prototypenfahrzeuge sind bei Ihnen vor Ort im Unternehmen (z.B. Fertigung, Lagerung, Nutzung…); beinhaltet bei erfolgreicher Prüfung auch das Label Prototypenbauteile. | basiert auf Info (sehr hoch) |
Umgang mit Erprobungsfahrzeugen | Ihr Business beinhaltet – wie der Name schon sagt – den Umgang mit Testfahrzeugen (z.B. Testfahrten auf Teststrecken oder öffentlichen Straßen) | basiert auf Info (hoch) |
Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings | Ihr Unternehmen organisiert und führt Fotoshootings oder Film-Aufnahmen durch mit schutzbedürftigen Fahrzeugen, z.B. für Marketingzwecke. | basiert auf Info (hoch) |
Datenschutz
Datenschutz | Sie verarbeiten personenbezogene Daten als Auftragsverarbeiter (nach Art. 28 DSGVO) im Rahmen der Wertschöpfungskette in der Automobilindustrie (z.B. als Anbieter einer Cloud-Lösung) | basiert auf Info (hoch) |
Datenschutz bei besonderen Kategorien von personenbezogenen Daten | Die Verarbeitung von Daten als Auftragsverarbeiter (nach Art. 28 DSGVO) umfasst auch personenbezogene Daten besonderer Art (z.B. Gesundheitsdaten). | basiert auf Info (sehr hoch) |
VDA ISA / TISAX® Labels
Prüfziel und Label wird umgangssprachlich recht oft als Synonym verwendet. Die Prüfziele enthalten die Vorgaben, während das Label quasi die „Urkunde“ ist, die man erhält, wenn man eine erfolgreiche Prüfung durchgeführt hat. Der Nachweis, die Anforderungen vollständig umgesetzt zu haben, resultiert in einem TISAX® Label für ein bestimmtes Prüfziel.
Bei einer erfolgreichen Prüfung erhält man kein „Zertifikat“, wie es bei ISO-Standards der Fall ist, sondern dieses sogenannte Label. Daher ist es fachlich auch nicht ganz richtig, wenn man im Zusammenhang mit den VDA ISA Prüfzielen von einer Zertifizierung spricht, auch wenn dies in Gesprächen sehr häufig der Fall ist.
Was ist ein VDA ISA / TISAX® Audit und was bedeuten in diesem Zusammenhang die Assessment Level?
Wie jede Norm oder Vorgabe wird auch die Einhaltung der TISAX®-Prüfziele von einer unabhängigen Stelle geprüft. Welche Auditgesellschaften die VDA ISA Anforderungen prüfen dürfen, gibt die ENX auf ihrer Webseite bekannt.
Die Auditierung der Prüfziele unterscheidet sich aber etwas von den bekannten ISO-Audits. Im VDA ISA Umfeld unterscheidet man zwischen drei Assessment-Levels. Je höher das Assessment-Level (AL), umso tiefergehender die Prüfung.
Assessment-Level 1
Im AL 1 werden die Anforderungen des VDA ISA nur im Rahmen einer Selbsteinschätzung geprüft. Ein externer Auditor würde nur das Vorhandensein der Selbsteinschätzung überprüfen. Der Inhalt der Selbsteinschätzung wird nicht bewertet.
Demnach hat das AL 1 einen relativ geringen Stellenwert und wird in der Regel auch nicht gefordert.
Bausteine der Prüfung im Assessment-Level 1
- Selbsteinschätzung: Ja
- Erbringung von Nachweisen für den Prüfer: Nein
- Interviews mit Personen im Scope durch den Prüfer: Nein
- Prüfer kommt vor Ort: Nein
Assessment-Level 2
AL 2 geht weiter in die Tiefe. Der Prüfer beschäftigt sich inhaltlich mit dem ISMS und den Anforderungen der verschiedenen Prüfziele. Dies muss aber nicht vor Ort erfolgen.
Bausteine der Prüfung im Assessment-Level 2
- Selbsteinschätzung: Ja
- Erbringung von Nachweisen für den Prüfer: Plausibilität-Check durch den Prüfer
- Interviews mit Personen im Scope durch den Prüfer: Ja, aber online / telefonisch, sofern nicht anders gewünscht vom Unternehmen
- Prüfer kommt vor Ort: Nein, nur auf eigenen Wunsch des Unternehmens
Assessment-Level 3
Bei den meisten Prüfzielen ist ein AL 3 notwendig. Hier werden die Anforderungen sehr detailliert geprüft. Der Prüfer kommt auch immer vor Ort.
Bausteine der Prüfung im Assessment-Level 3
- Selbsteinschätzung: Ja
- Erbringung von Nachweisen für den Prüfer: Ja, detaillierte Prüfung
- Interviews mit Personen im Scope durch den Prüfer: Ja, vor Ort
- Prüfer kommt vor Ort: Ja
Welches Assessment-Level für welches Prüfziel?
Wir haben verschiedene Prüfziele kennen gelernt und verschiedene Prüfungsvarianten, also die Assessment-Level. Wie hängen diese zusammen? Hier nimmt die ENX im TISAX® Teilnehmerhandbuch eine genaue Zuordnung vor. Diese sollte man unbedingt kennen.
Demnach ist klar geregelt, dass z.B. das Assessment-Level 3 für folgende Prüfziele bereits vorgegeben ist:
- Informationssicherheit (sehr hoch)
- Prototypenschutz:
- Bauteile und Komponenten
- Fahrzeuge
- Erprobungsfahrzeuge
- Film- und Fotoshootings
- Datenschutz bei Verarbeitung personenbezogener Daten besonderer Art (Art. 9 DSGVO)
Die nachfolgende Grafik zeigt im Überblick den Zusammenhang zwischen Assessment-Level und Prüfzielen
Reifegradmodell
Für die Bewertung der Umsetzung der Prüfziele wird ein Reifegradmodell verwendet, welches sich nahe an das bekannte CMMI Modell anlehnt. Das heißt, es sind im VDA ISA Anforderungskatalog sechs Stufen (Reifegrade) definiert, die für die Bewertung der einzelnen Maßnahmen herangezogen werden müssen.
In der Excel Liste, die auf der Webseite der ENX heruntergeladen werden kann, sind die Reifegrade ausführlich definiert. Damit sollte klar werden, welche Stufe bei der Bewertung für die Maßnahmen verwendet werden soll. Hier eine Kurzzusammenfassung der sechs Stufen.
Übersicht der Reifegrade
Reifegrad | Bedeutung für den Prozess / Maßnahme | Kurzbeschreibung |
---|---|---|
0 | Unvollständig | Prozess / Vorgaben sind nicht vorhanden oder für den Zweck geeignet. |
1 | Durchgeführt | Der Prozess wird gelebt, ist aber nicht oder nur teilweise dokumentiert. Zielerreichung ist unklar. |
2 | Gesteuert | Dokumentation der Vorgaben und Nachweise liegt vor. Umsetzung wird durchgeführt. Ziel wird erreicht. |
3 | Etabliert | Es handelt sich um einen integrierten Standardprozess, der zum gesamten Managementsystem gehört. Andere Prozesse (Schnittstellen) sind betrachtet und dokumentiert. Es kann nachgewiesen werden, dass die Umsetzung über einen längeren Zeitraum nachhaltig funktioniert. |
4 | Vorhersagbar | Der im Reifegrad 3 etablierte Prozess wird von Kennzahlen überwacht. Es sind Grenzwerte für die Kennzahlen definiert. |
5 | Optimierend | Der vorhersagbare Prozess wird im Rahmen des KVP-Prozesses betrieben. Die Optimierung der Maßnahme / Prozess wird aktiv gelebt. |
Anforderungen an den Reifegrad
Welchen Reifegrad muss man erreichen, um das TISAX®-Label zu erreichen?
Die Anforderung ist der Reifegrad 3. Das heißt, hat man bei jedem Reifegrad ein „etabliert“ in der (realistischen) Selbsteinschätzung, dann hat das Unternehmen gute Chancen, das Label zu erhalten.
Ein Reifegrad von 2 bei einer Anforderung kann leider nicht durch einen Reifegrad von 4 bei einer anderen Anforderung ausgeglichen werden – selbst wenn der Durchschnitt am Ende wieder bei 3 liegt.
Reifegrade, die höher als 3 sind, werden für die Bewertung auf 3 normiert. Reifegrade kleiner als 3 bleiben als 1 oder 2 stehen und reduzieren das Gesamtergebnis. Das heißt, das Gesamtergebnis kann nie größer als 3 sein.
Es ist möglich, eine TISAX-Prüfung erfolgreich zu bestehen, auch wenn Sie nicht bei allen Fragen den Zielreifegrad erreichen. Die entscheidende Frage in solchen Fällen ist, ob Sie ein relevantes Risiko haben.
Wenn Ihr Reifegrad unter dem Zielwert liegt, aber kein Risiko besteht, kann dies dennoch ausreichend sein.
…
Ein Ergebnis (gekürzt) von „3“ ist eine Garantie dafür, dass Sie die TISAX-Prüfung ohne negative Feststellungen bestehen. Der Prüfdienstleister kann bestimmte Aspekte möglicherweise anders sehen als Sie.
https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html Version 2.3 vom 6.1.21
Reifegrade als Beispiel
Reifegrade werden üblicherweise in einem Netzdiagramm dargestellt. Hier zeigt sich dann sehr schön, an welchen Stellen noch Handlungsbedarf ist.
Die folgende Grafik ist rein als Beispiel zu verstehen. Es wurden exemplarisch Prozesse aus dem ISMS herangezogen, um die Bewertung zu verdeutlichen.
Bei der Assetanalyse, KVP und den internen Audits hätten wir den Zielwert von 3 erreicht. Bei der Risikoanalyse liegen wir nur bei einem Reifegrad von 2 und beim Managementreview sogar nur bei 1.
Alles was also innerhalb der Linien „3“ ist, hat Handlungsbedarf.
Was ist der Unterschied zwischen ISO 27001 und TISAX®-Labels?
In beiden Fällen geht es primär um eine gesteuerte Informationssicherheit. Das heißt, in den Anforderungen an das ISMS sind sich beide Kataloge sehr ähnlich. Die Inhalte des Prüfziels „Informationssicherheit“ basieren auf der ISO 27001.
Wenn Sie also bereits ein ISMS nach ISO 27001 implementiert haben, brauchen Sie für das Label „Informationssicherheit (hoch oder sehr hoch)“ nur noch ein paar zusätzliche Maßnahmen umsetzen. Im Großen und Ganzen kann man sagen, dass die Anforderungen aus der Automobilindustrie noch etwas restriktiver sind als die aus dem ISO-Standard. In beiden Fällen ist das Risikomanagement ein zentraler Bestandteil des ISMS. Bei den Anforderungen des ENX-Gremiums werden allerdings bestimmte Schutzmaßnahmen konkret gefordert, die z.B. bei der ISO 27001 Zertifizierung nicht umgesetzt werden müssen, wenn kein entsprechendes Risiko nachgewiesen werden kann.
Mehr als ein reines ISMS
Der ISA-Katalog stellt nicht nur Anforderungen für ein ISMS zur Verfügung. In den verschiedenen Prüfzielen geht es auch um Prototypenschutz und Datenschutz. Während in den Controls (Anhang A) der ISO 27001 zum Prototypenschutz keine Maßnahmen vorhanden sind und zum Datenschutz nur ein Control im Abschnitt „Compliance“, geht der ISA-Katalog hier sehr ins Detail.
Unterscheidung bei der Prüfung
Wohl einer der größten Unterschiede beider Anforderungen ist die Art und Weise der Prüfung, also des Audits. Bei der ISO 27001 Zertifizierung kann man als Unternehmen ein von der DAkkS akkreditiertes Zertifizierungsunternehmen auswählen.
Bei der Prüfung von TISAX®-Prüfzielen können nur von der ENX zugelassene Auditgesellschaften gewählt werden.
Wie schon genannt, wird bei der Prüfung der ISA-Anforderungen eine Bewertung nach dem Reifegrad angewendet. Dies erfolgt bei einer „normalen“ ISO-Zertifizierung nicht in dieser Art.
Ergebnis als Marketinginstrument
Auch hier unterscheiden sich beide Formen der Zertifizierung extrem. Während Sie ein ISO-Zertifikat an die Wand hängen können, auf Ihrer Internetseite veröffentlichen und für Werbezwecke nutzen dürfen, ist das bei den TISAX®-Label stark restriktiert.
Ein Label nach dem ISA-Katalog darf nur über das ENX-Portal geteilt werden. Die ENX möchte diese Labels nicht für Werbezwecke zulassen und gibt sehr enge und klare Vorgaben, welche Informationen Sie in welcher Weise auf Ihrer Webseite veröffentlichen dürfen.
Der TISAX® Prozess
Anforderung des Partners
Sie erhalten die Anforderung Ihres Auftraggebers, ein TISAX®-Label nachweisen zu müssen. In Abstimmung mit Ihrem Auftraggeber klären Sie, welche Prüfziele umzusetzen sind.
Sie kennen nun die Anforderungen und müssen ein ISMS Projekt starten, sofern noch kein Managementsystem für Informationssicherheit in Ihrem Unternehmen etabliert ist. Es empfiehlt sich, einen externen Partner zu beauftragen, der das Projekt mit Ihnen durchführt.
Registrierung bei der ENX
Nachdem Sie einen Überblick über das Projekt und die weiteren Projektschritte haben und natürlich auch den zeitlichen Horizont kennen, können Sie sich bei der ENX registrieren.
Ohne eine solche Registrierung können Sie keinen Auditor beauftragen. Sie müssen alle relevanten Angaben zu Ihrem Unternehmen und den Anwendungsbereich (Scope) angegeben haben, damit Sie als aktiver Teilnehmer geführt werden können.
Auch wenn noch kein konkreter Audit-Termin ausgemacht werden kann, zeigt die Registrierung Ihrem Partner, dass Sie aktiv an dem Projekt arbeiten.
ISMS Projekt umsetzen und abschließen
Aus unserer Erfahrung ist ein Projektzeitraum von weniger als 12 Monaten zwar möglich, aber unrealistisch. Im Detail kommt es natürlich auf die Prüfziele und die internen Ressourcen an, die für die Umsetzung der Anforderung zur Verfügung stellen können.
Selbst wenn Sie einen externen Partner an der Seite haben, kann dieser für Sie nicht das ISMS einführen. Er kann Ihnen Tools und Templates an die Hand geben, Sie schulen und coachen, aber nicht das ISMS in Ihrem Unternehmen umsetzen.
Audit durchführen
Wenn Sie alle Anforderungen umgesetzt haben und die Selbsteinschätzung erfolgreich mit einem Reifegrad 3 abgeschlossen haben, sind Sie in der Lage, den Prüfer zu beauftragen.
Je nach Assessment-Level wird er die Umsetzung mehr oder weniger detailliert prüfen und Ihnen dann entweder eine vollständige Umsetzung bescheinigen oder Neben- oder Hauptabweichungen feststellen.
Diese müssen Sie entsprechend umsetzen und dem Auditor erneut vorstellen. Dieser Zyklus kann sich beliebig oft wiederholen. Da dies Geld und Aufwand bedeutet, sollen diese Wiederholungen natürlich minimiert werden. Zudem darf der Prüfungszeitraum, gerechnet vom Termin des Erstaudits bis zum finalen Auditende, neun Monate nicht überschreiten.
Label erhalten und teilen
Wenn Sie „nur“ mit Nebenabweichungen aus dem Audit heraus gehen, können Sie ein temporäres Label beantragen. Nachdem Sie die Anforderungen vollständig erfüllt haben, erhalten Sie ihr TISAX® Label für die geprüften Prüfziele.
Diese können Sie nun mit Ihren Partnern über das ENX-Portal teilen.
Kosten für eine VDA ISA / TISAX® Zertifizierung
Diesen Punkt nehme ich auf, weil immer wieder danach gefragt wird. Hier konkret eine Aussage zu treffen, wäre aber nicht sehr seriös.
Eine Auflistung der relevanten Punkte, die mit berechnet werden müssen, können wir Ihnen an dieser Stelle allerdings geben:
- Registrierungskosten bei der ENX
- Kosten für die Umsetzung eines ISMS Projekts und weiterer Prüfziele
- ggf. externer Berater
- Schulungen für Mitarbeiter
- Benennen eines Informationssicherheitsbeauftragten
- entweder ein externer ISB oder
- einen internen Mitarbeiter zum ISB qualifizieren (Schulungen)
- Prüfungskosten (externer Auditor)
Wie Sie sich vorstellen können, hängen diese Punkte sehr stark davon ab, wo Ihr ISMS und der Status Ihrer Informationssicherheit im Unternehmen gerade stehen. Beginnen Sie bei null und müssen fast jede Anforderung des ISA-Katalogs neu umsetzen? Dann wird es sicherlich teurer als wenn Sie schon ein etabliertes ISMS z.B. nach ISO 27001 im Unternehmen leben.
Auch die Anzahl der verschiedenen Prüfziele ist ein relevanter Kostenfaktor. Gerade im Bereich Prototypenschutz kann es sein, dass bei Ihnen im Unternehmen bauliche Veränderungen notwendig sind. Diese können ggf. auch größere Kosten nach sich ziehen.
Vorgehensweise zur Realisierung eines TISAX®-Projekts im Unternehmen
Grundsätzlich kann man sagen, dass die Vorgehensweise der Implementierung eines Managementsystems für Informationssicherheit immer relativ ähnlich aussieht. Egal ob Sie den Anforderungen der ISO 27001 folgen oder sich nach dem VDA ISA Katalog ausrichten. Die Basis ist immer dieselbe.
GAP Analyse
Es empfiehlt sich, als erstes den aktuellen Stand zu evaluieren. Wo haben Sie überhaupt Handlungsbedarf? Dies kann man natürlich intern machen, ein objektives Audit durch eine externe Stelle / einen externen Consultant wäre aber zu empfehlen. Nein, es geht mir hier nicht um den Verkauf einer Dienstleistung, sondern einfach um eine objektive Bewertung von erfahrenen Consultants, die schon viele Managementsysteme kennen oder mit aufgebaut haben.
Sie erhalten in der Regel einen ausführlichen Bericht, der als Grundlage für die Projektplanung herangezogen werden kann.
Mit diesem Bericht kann Ihnen ein externer Berater auch ein Angebot für die Unterstützung bei der Umsetzung erstellen.
Projektplan erstellen und Projekt umsetzen
Sie kennen Ihren Stand, haben ggf. einen externen Berater an Ihrer Seite und das Projektteam definiert. Jetzt können Sie den Zeitraum festlegen und einen genauen Projektplan definieren.
Auf die Projektumsetzung möchte ich an dieser Stelle nicht weiter eingehen. Wie Sie vorgehen können, um ein ISMS zu implementieren, haben wir bereits umfangreich in einem Beitrag beschrieben.
Zusammenfassung
Dieser Beitrag soll Ihnen einen Überblick über viele Fragen rund um das Thema VDA ISA / TISAX® geben und das Thema für Sie von verschiedenen Punkten beleuchten.
Ich hoffe, dieser Anforderung gerecht geworden zu sein und würde mich über Ihre Kommentare und Anregungen oder auch Erfahrungen dazu freuen.
FAQ
Muss ein Dienstleister dieselben Label nachweisen können, wie das eigene Unternehmen (als Auftraggeber)?
Hier hat die ENX eine klare Vorgabe: Nein, Sie müssen nicht pauschal von Ihren Subdienstleistern die Umsetzung all Ihrer eigenen Prüfziele verlangen. Entscheidend ist das Risiko für Ihr Unternehmen bzw. für die Informationen, die Sie schützen müssen.
Im ISMS ist die Erfassung und Bewertung von Risiken ein elementarer Punkt. Stellen Sie fest, dass Informationen an Ihren Lieferanten weitergegeben werden ohne zusätzliche Sicherheiten, so muss Ihr Lieferant Schutzmaßnahmen nachweisen.
Wenn allerdings die Daten / Informationen in einer Form weitergegeben werden, die das Risiko bereits im Voraus eliminieren, dann sind keine weiteren Nachweise auf Seiten Ihres Lieferanten notwendig.
Auditgesellschaften für TISAX®-Prüfziele müssen von der ENX freigegeben werden. Gilt dies auch für Beratungsunternehmen?
Nein, der Partner, der Sie bei der Umsetzung der ISMS-Anforderungen oder weiterer Prüfziele begleitet, muss nicht bei der ENX registriert oder genehmigt werden. Dies gilt nur für Prüfungsgesellschaften, die eine Empfehlung für ein Label ausstellen dürfen.
Die ENX weist aber nochmal besonders darauf hin, sich den Partner für die Unterstützung gut auszuwählen und übernimmt hier keine Empfehlung.