TISAX® Assessment

Inhalt

Mehr Informationssicherheit in der Automobilindustrie dank TISAX® Label

Mit TISAX® (Trusted Information Security Assessment Exchange) haben der VDA (Verband der Automobilindustrie) und die ENX Association einen einheitlichen Qualitätsstandard für mehr Informationssicherheit ins Leben gerufen. Dieser regelt die Prüfkriterien, Prüfmethoden sowie den Standard zum Austausch von Prüfinformationen entlang der gesamten Wertschöpfungskette eines Automobils und ist somit für alle Beteiligten gültig.

Als gemeinsamer Prüf- und Austauschmechanismus unter der Trägerschaft von ENX gilt TISAX® als Vertrauensanker in der Automobilindustrie.

Das TISAX® Assessment erfolgt auf Basis des VDA ISA Anforderungskatalogs hinsichtlich Prüfkriterien, -methoden sowie dem Standard zum Austausch von Prüfinformationen. Die Relevanz des Standards und seine hohen Qualitätsansprüche an die Informationssicherheit zeigen sich darin, dass der VDA ISA Anforderungskatalog die Grundlage wesentlicher Aspekte der international anerkannten Norm ISO / IEC 27001 bildet.

Das TISAX® Assessment wird von vielen Automobilherstellern mittlerweile verpflichtend für Dienstleister und Zulieferer vorgegeben und muss alle drei Jahre durchgeführt werden. Darüber hinaus bietet es für Lieferanten und Dienstleistern weitere Vorteile:

Dank internationaler, branchenweiter Anerkennung können identische Prüfungen in kurzen Abständen vermieden werden
Hohe Informationssicherheit im eigenen Unternehmen
Aufbau einer verlässlichen Vertrauensbasis mit Geschäftspartnern
Positive Reputation und hohe Glaubwürdigkeit
Ausbau bestehender und neuer Kundenbeziehungen und Marktchancen in der Automobilindustrie

Profitieren Sie von den TISAX® Stärken und fordern Sie ein Angebot an.

Angebot anfordern

TISAX® Kundengruppen

Informationssicherheit ist nicht nur für Herrsteller und Zulieferer bedeutsam, sondern für alle Stakeholder entlang der Wertschöpfungkette eines Automobils. Aus diesem Grund ist TISAX® noch für viele weitere Unternehmen relevant, wie zum Beispiel für die folgenden Kundengruppen:

Alle anzeigen Ausblenden

Ein-Mann-Unternehmen (Spezialisten)

Häufig sind absolute Spezialisten und Experten als Alleinunternehmer für die Automobilindustrie tätig. Dies können spezielle Konstrukteure, Forscher oder spezialisierte Übersetzungsdienstleister sein.

Bei den Assessments mit solchen Unternehmensgruppen legen wir den Fokus auf angemessene Regelwerke und Nachweise. Viele gelebte Aspekte können oftmals in wenigen Worten die Situation des Unternehmens erklären. Dabei schauen wir mit Augenmaß, ob die vorhandenen Dokumentationen angemessen für ein kleines Unternehmen sind.

KMUs in der Produktionsindustrie

Ein Automobil braucht immer physische Teile, wie beispielsweise Lampen, Sitze, Verkleidungen und weitere Bauteile, die oftmals durch den Mittelstand hergestellt werden.

Bei klassischen Produktionsunternehmen ist die Informationssicherheit oftmals nicht in der Unternehmenskultur fest verankert. Der absolute Fokus auf Produktionsqualität überschattet nur zu leicht die Informationssicherheit. Sie erhalten durch uns einen Prüfdienstleister, und auf Wunsch Auditoren, welche ebenfalls aus der Industrie kommen und die Industrie verstehen. Viele Themen müssen manchmal nebenbei erledigt werden und eine klare Begleitung während des Assessments hilft, die einzelnen Schwerpunkte identifizieren zu können.

Filmstudios und Marketingunternehmen

Ohne eine ansprechende Aufbereitung von Marketingmaterialien oder eine Erstellung von geeigneten Werbespots oder anderen Kurzfilmen leidet auch die Anzahl der verkauften Fahrzeuge. Dadurch erhalten Filmstudios und Marketingfirmen noch vor der eigentlichen Veröffentlichung Aufträge, die Fahrzeuge und die damit verbundenen Emotionen angemessen vermitteln zu können.

Diese Branche ist oftmals stark von kreativen Prozessen und kreativen Ansätzen geprägt. Diese Unternehmen reagieren schnell allergisch auf standardisierte Regelwerke, da diese nicht mit der Unternehmenskultur vereinbar sind. Das Anforderungen auch kreativ umgesetzt und Regelwerke nicht zwangläufig 100-seitige Dokumente sein müssen, wissen wir nur zu gut. Als Prüfdienstleister stellen wir uns gerne auf die Unternehmenskultur ein und betrachten die Umsetzung der Anforderungen angemessen und immer in Hinblick auf das zu prüfende Unternehmen.

Entwicklungsunternehmen

Vor dem ersten Teil eines neuen Fahrzeuges steht immer die Idee und die ersten Zeichnungen und Entwicklungen. Bei Entwicklungsunternehmen liegt der Fokus primär auf die Erstellung von Konstruktionszeichnungen und der interaktive Austausch mit den Kunden, bis ein neues Fahrzeug oder einzelne Teile perfekt sind.

Speziell in diesen Unternehmen ist ein reger Austausch mit den Kunden notwendig. Eine erhebliche Menge an Daten werden in beide Richtungen übertragen und Anforderungen an einzelne Informationen verändern sich im Laufe des Projektes. Wir als Prüfdienstleister kennen die Herausforderungen, dass nicht jede einzelne E-Mail einen sehr hohen Schutzbedarf hat und nicht jede Konstruktionszeichnung für einen OEM kritisch ist und können so individuell auf Ihre Gegebenheiten eingehen.

Cloud-Dienstleister

Cloud-Dienstleister werden immer wichtiger. Nahezu jedes Unternehmen nutzt unterschiedliche, externe Dienste- oder Cloudanbieter. Diese Arbeit ist in den seltensten Fällen vergleichbar mit der eines der anderen oben aufgeführten Unternehmen, da der Fokus auf die Bereitstellung von Rechenkapazitäten und Services liegt, der Kunde jedoch selbst entscheidet, welche Daten in die Cloud transferiert werden.

Cloud-Dienstleister haben somit andere kritische Geschäftsprozesse als klassische Unternehmen. Wir stehen Ihnen als Experte zur Seite, um die Herausforderungen gemeinsam zu meistern und IT-Sicherheit in Ihrem Unternehmen zu etablieren.

TISAX® – Ganzheitlicher Service: Von der Vorbereitung bis zur Bewertung

Dienstleister oder Zulieferer der Automobilbranche müssen in regelmäßigen Abständen nachweisen, ob die hohen Anforderungen ihrer Kunden in puncto Informationssicherheit eingehalten werden. Das TISAX® Assessment muss spätestens alle drei Jahre durchgeführt werden. Damit Ihnen dies unkompliziert gelingt, haben wir unseren Service speziell auf Ihre Bedürfnisse angepasst. Profitieren Sie von unserem universalen Ansatz.

TISAX® Informationsgespräch
Bevor Sie ein TISAX® Assessment durchführen lassen, haben Sie vermutlich noch einige Fragen. Gerne bieten wir Ihnen ein telefonisches Vorabgespräch an, in dem einer unserer Experten Ihnen alle wichtigen Fragen zu Registrierung, Ablauf und andere für Sie relevanten Themen beantwortet.

TISAX® Gap-Analyse
Sie möchten vor Ihrem TISAX® Assessment einen Überblick über Ihren aktuellen Stand bekommen? Mittels unserer TISAX® Gap-Analyse helfen wir Ihnen, Ihre Chancen einzuschätzen, das Assessment erfolgreich abzuschließen, indem wir ein TISAX®-Assessment simulieren. Mit den Ergebnissen erhalten Sie somit eine Entscheidungsgrundlage, wie Sie weiter vorgehen können und wie stark Ihr Vorbereitungsaufwand ausfällt.

TISAX® Workshops
Es beschäftigen Sie Fragen zum Scoping, den einzelnen Schutzbedürfnissen, Möglichkeiten der Assessment-Strukturierung und Planung oder Unterschiede zu Standards wie die ISO 27001? In einem individuellen Workshop von bis zu zwei Tagen unterstützen und informieren wir Sie mit den formalen Aspekten rund um TISAX®.

TISAX® Assessment
Unsere Experten führen sorgfältig Ihr TISAX® Assessment durch. Dabei gehen wir auf Ihre speziellen Anforderungen ein: Von Assessments einzelner Standorte, Mehrstandort-Assessments unterschiedlicher Scopes bis hin zu weltweit verteilten Standorten stehen wir Ihnen als erfahrenes und freigegebenes Prüfinstitut zur Seite.

TISAX® Gruppenabnahmen
Sie haben mehr als sieben Lokationen und ein einheitliches ISMS? Dann könnte eine Gruppenabnahme für Sie eine richtige Wahl sein. Unsere qualifizierten Experten stehen Ihnen von der Planung bis zur Durchführung partnerschaftlich zur Seite.

TISAX® Beratung
Alternativ zu einem TISAX® Assessment bieten wir Ihnen auch gerne eine TISAX® Beratung an. In dieser erarbeiten Sie gemeinsam mit unseren Experten ein TISAX® -konformes Informations-Sicherheits-Management-System (ISMS). Wir unterstützen Sie dabei vom einfachen Coaching bis zu einer umfangreichen Beratung.

Sie haben Fragen oder wünschen mehr Informationen?

Fragen Sie einen Experten

Die TISAX® Assessment Level

Neben einem allgemeinen Ablauf bietet TISAX® drei Unterschiedliche Prüfmethoden (Assessment Level). Gewinnen Sie in unserer interaktiven Grafik einen Überblick.

Allgemeines Vorgehen der Assessments

AL2-Assessments

AL2.5-Assessments

AL3 Assessments

Initial Assessment

Correctice Action Assessment

Follow Up Assessment

Ziel

Ablauf

Vor- & Nachteile

Ziel

Ablauf

Vor- & Nachteile

Ziel

Ablauf

Vor- & Nachteile

Das Initial Assessment beginnt nach der Kontrolle der Prüfanforderungen und der Beauftragung des TISAX® Assessments. Im Anschluss an einen Kick-off nehmen Sie eine Selbstauskunft vor, welche dann von unserem Auditor einer Plausibilitätsprüfung unterzogen wird.

Nach dem erfolgreichen Bestehen dieser, kontrolliert der Auditor die Umsetzung der Prüfanforderungen und protokolliert mögliche Abweichungen (Findings).

Das Correctice Action Assessment wird von unseren Experten durchgeführt, sollten im Initial Assessment Abweichungen festgestellt werden. Im Rahmen dieses Schrittes können Sie Maßnahmenvorschläge und Zeitangaben präsentieren, die von unserem Auditor bewertet werden.

Werden während des Initial Assessments Findings identifiziert, überprüft unser Auditor im Follow Up Assessment Ihre Nachweisumsetzung mithilfe der Umsetzungsbeschreibung sowie den -dokumenten.

Wenn Sie einen weiteren Standort prüfen lassen möchten oder ein neues Prüfziel definieren, wird eine Scope-Extension als zusätzliche Prüfung durchgeführt.

Das TISAX® AL2-Assessment fokussiert sich auf eine intensive Plausibilitätskontrolle Ihrer Selbstauskunft und den von Ihnen bereitgestellten Nachweisen. Somit sind die Anforderungen an eine gute Selbstauskunft hoch und sehr gut vorbereitete Dokumente und Nachweise sind ein bedeutender Bestandteil für ein erfolgreiches AL2-Assessment.

Überprüfung auf Aktenbasis Ihrer bereitgestellten Nachweise hinsichtlich Plausibilität und Erfüllungen der Anforderungen durch Auditor
Nach erfolgreichem Abschluss erhalten Sie alle fachlichen und organisatorischen Informationen, um sich auf das Remote Assessment vorzubereiten
Telefonische Durchführung des Remote Assessments je durchzuführendem Standort mittels eines ausführlichen Interviews (vier bis sechs Stunden) von verschiedenen Fachbereichen

Vorteile

Keine Reisekosten
Schnelle, effiziente Durchführung bei guter Vorbereitung
Reduzierter Aufwand
Reduzierte Assessment-Kosten

Nachteile

Kein nachträgliches Update auf höheres TISAX® Assessment Level
Vorbereitung selbst zeitaufwendiger und ressourcenintensiver im Vergleich zu AL2.5 oder AL3
In der Regel notwendiger Abbruch des Assessments, wenn Plausibilitätsprüfung nicht abgeschlossen werden kann
Erschwerter Austausch auf persönlicher Ebene im Vergleich zu AL2.5 oder AL3

Neben einer ersten Prüfung Selbstauskunft ist ein intensives, telefonisches Assessment fester Bestandteil dieser Prüfmethodik. Im Vergleich zum AL2-Assessment muss die Selbstauskunftsprüfung nicht zwingend erfolgreich abgeschlossen werden, da der Auditor die Controls intensiv in einem telefonischen Interview durchgehend wird. Das Interview erstreckt sich über mehrere Tage.

Dank einer intensiven Plausibilitätsprüfung und Überprüfung von Controls können einfache Scope-Extensions durchgeführt werden. Dies ermöglicht auch ein nachträgliches Upgrade auf ein AL3 Assessment Level Ihres TISAX® Assessment, wenn aufgrund von Covid-19 eine Vor-Ort-Begehung nicht möglich ist.

Plausibilitätsprüfung Ihrer Selbstauskunft und Nachweise durch unseren Auditor
Nach erfolgreichem Abschluss erhalten Sie alle notwendigen Informationen für die Vorbereitung des Remote-Assessments
Das Remote Assessment wird telefonisch durchgeführt und individuell nach Ihren Bedürfnissen auf mehrere Tage verteilt. In dem 16- bis 20-stündigen Prüfschritt werden verschiedene Fachbereiche interviewt.
Möglichkeit einer AL2.5 Erweiterungsprüfung mittels Scope-Extension

Vorteile

Möglichkeit eines nachträglichen Upgrades auf höheres TISAX® Assessment Level
Vorbereitung des Assessment wenig zeitaufwendig
Möglichkeit, kurzfristig zusätzliche Informationen während des Assessment zu zeigen
Einsparen von Reise- und Übernachtungskosten
Bei Mängeln in der Plausibilitätsprüfung dennoch weitere Fortführung des Assessments möglich

Nachteile

Limitierung der Erweiterungen auf Label für hohen Schutzbedarf und Datenschutz
Zeitintensivere Durchführung im Vergleich zu AL2-Assessment
Höhere Assessment-Kosten im Vergleich zu AL2-Assessment
Geringerer Austausch auf zwischenmenschlicher oder persönlicher Ebene

Der Schwerpunkt des AL3-Assessments liegt auf einem Vor-Ort-Interview, einer Prüfung vor Ort und einer guten Selbstauskunft. So können hohe Qualitätsstandards gesichert werden.

Ihre vorbereitete Selbstauskunft und Nachweise werden auf Plausibilität und Erfüllung der Anforderungen überprüft
Feedback und nach erfolgreichem Abschluss Absprache des weiteren Vorgehens
Auditor verweilt min. zwei Tage bei Ihnen vor Ort für Interviews mit Fachbereichen sowie Sichtung und Bewertung verschiedener Prüfaspekte
Vor-Ort-Begehung der Lokation zur Überprüfung physischer Begebenheiten

Vorteile

Geringer Zeitaufwand bei Vorbereitung des Assessments
Bedenkenloses nachträgliches Upgrade auf sehr hohen Schutzbedarf oder Prototypen
Möglichkeit, kurzfristig zusätzliche Informationen während des Assessments zu zeigen
Kein Abbruch bei Problemen der Plausibilitätsprüfung durch direkten persönlichen Austausch vor Ort

Nachteile

Höherer Zeit- und Kostenaufwand aufgrund intensiver und sorgfältiger Begutachtung sowie Beratung
Reise- und Übernachtungskosten

Mindern Sie Ihren Zeit- und Kostenaufwand mithilfe der richtigen Vorbereitung auf Ihre Angebotsanforderung. Beantragen Sie Ihr TISAX® Assessment unkompliziert mithilfe unserer Checkliste.

Ablauf eines TISAX® Assessments

Wir sind Ihr verlässlicher TISAX® Partner

Als unabhängiger Partner und einer der ersten TISAX® Prüfdienstleister unterstützen und beraten wir Sie kompetent bei der Festlegung Ihrer Prüfziele und Assessment Level sowie bei der Realisierung der hohen Anforderungen an Ihre Informationssicherheit im Unternehmen.

Seit 2017 finden unsere IT-Security- und Datenschutz-Spezialisten gemeinsam mit Unternehmen die passenden technischen und organisatorischen Lösungen und helfen Ihnen bei der Umsetzung geeigneter Maßnahmen, die Ihr Schutzniveau nachhaltig steigern.

Als international agierendes Unternehmen können wir zudem sowohl bei Beratungsthemen als auch bei den TISAX® Assessments auf qualifizierte Experten zurückgreifen und so einen Mehrwert vom kulturellen Verständnis bis zu optimierten Assessment-Ansätzen bieten.

Downloads

Whitepaper: Erfolgreich in der Automobilindustrie mit TISAX®-geprüfter Informationssicherheit.

Inhalt: u.A. Unterschiede zwischen TISAX®-Prüfung und ISO 27001 Zertifizierung, Ablauf der TISAX®-Prüfung, Prüfinhalte und Prüfarten. Jetzt downloaden!

mehr erfahren

On-demand-Webinare

Registrieren Sie sich gleich und laden Sie sich unsere Aufzeichnungen der beiden Webinare „TISAX - Der neue VDA ISA 5.0 und seine Neuerungen“ & „Das TISAX® AL2-Assessment. Dos & Don'ts auf dem Weg zu Ihrem TISAX®-Label" herunter. Zum Registrierungsformular.

mehr erfahren

Video: TISAX Terminologie

Dieses Video ist ausschließlich in englischer Sprache verfügbar.

In dem Video über die TISAX-Terminologie erhalten Sie einen kurzen Überblick über die Begriffe "Scope", "Standort" und "Ziele".

Außerdem erhalten Sie einige grundlegende Informationen zu den verschiedenen Assessments und den unterschiedlichen Assessment Level. Jetzt downloaden!

mehr erfahren

pdf	Checkliste	129 KB	Download
pdf	10 Erfolgsfaktoren	241 KB	Download
pdf	Projektreferenz: Implementierung einer Informationssicherheitsstruktur nach ISO27001/TISAX®	520 KB	Download

FAQ: Häufig gestellte Fragen zu TISAX®

Unsere Experten haben für Sie einige häufig gestellte Fragen und die Antworten über TISAX® die Begrifflichkeiten zusammengestellt.

Alle anzeigen Ausblenden

Wo finde ich den TISAX® Prüfkatalog?

Der TISAX® Prüfkatalog basiert auf dem ISA 5.0 Prüfkatalog. In dem von dem VDA und ENX erstellten Katalog ist die Arbeitsmappe Informationssicherheit enthalten, die als Prüfgrundlage dient. Den aktuell gültigen Prüfkatalog finde Sie auf der Webseite des VDA und der des ENX.

Welche Assessment Ziele (Objectives) gibt es?

Folgende Assessment Ziele sind im Prüfkatalog des TISAX® Assessments enthalten:

Informationen mit hohem Schutzbedarf
Informationen mit sehr hohem Schutzbedarf
Prototypen Teile und Komponenten
Prototypenfahrzeuge
Versuchs- und Erprobungsfahrzeuge
Film- und Fotoshootings
Umgang mit personenbezogenen Daten
Umgang mit besonderen personenbezogenen Daten

Was bedeutet Assessment Lokation (Locations)?

Unter der TISAX® Lokation ist der physische Standort zu verstehen, der die entsprechenden Informationen verarbeitet.

Nicht jede Lokation muss ein TISAX® Label vorweisen. Es ist daher von Bedeutung sich bereits im Voraus Gedanken darüber zu machen, wo und in welcher Reihenfolge ein Assessment für den jeweiligen Standort durchzuführen ist. Ab zehn Standorten ist eine Gruppenabnahme möglich.

Was ist das Assessment Scope (Standard Scope)?

Der TISAX® Assessment Standard Scope umfasst immer ganze Lokationen und zusätzlich die individuellen Prüfziele (Objectives). Ein Scope fokussiert sich primär auf Geschäftsprozesse der Leistungserbringung sowie abhängiger sekundärer Prozesse und Abteilungen.

Wie unterscheiden sich die TISAX® Prüfmethodiken (Assessment Level)?

Das Assessment Level beschreibt die durchzuführende Prüfung, die von den ausgewählten Objectives abhängig ist. Es gibt drei Assessment Level:

Bei einem AL2-Assessment liegt der Fokus bei der Plausibilitätsprüfung auf Akten-Basis und einem anschließenden telefonischen Remote-Assessment.

Das AL2.5-Assessment ist ähnlich dem AL2-Assessment. Nach einer Plausibilitätsprüfung der Selbstauskunft durch einen Auditor wird ein mehrtägiges Remote-Assessment durchgeführt. Dieses erfolgt ebenfalls telefonisch, ist jedoch deutlich intensiver. Das AL2.5-Assessment eignet sich besonders, wenn ein späteres Upgrade auf ein höheres Assessment Level erfolgen soll, eine Vor-Ort-Begehung einzelner Lokationen aufgrund Covid-19 derzeit jedoch nicht möglich ist.

Das AL3-Assessment umfasst ebenso eine Plausibilitätsprüfung der Selbstauskunft und erfolgt dann On-Site. Vor Ort werden vom Auditor an min. zwei Tagen Interviews durchgeführt, die Lokation begangen und überprüft.

Weiterführende Links

Unsere Nachhaltigkeits-Initiativen

Wir möchten heute die Basis für ein erfolgreiches Morgen legen. Unternehmen, Institutionen, Behörden und jeder Einzelne von uns kann den Weg in die Zukunft positiv mitgestalten. Wir unterstützen Sie umfassend, damit Sie auch auf lange Sicht nachhaltig, sicher und effizient wirtschaften können.