INFORMATIONSSICHERHEIT IN DER AUTOMOBILINDUSTRIE

TISAX

Sie sind Zulieferer oder Dienstleister für die Automobilindustrie? Dann müssen Sie den Nachweis über die Sicherheit der Ihnen von Auftraggebern überlassenen Informationen künftig nur noch einmal alle 3 Jahre erbringen – als Teilnehmer am TISAX-Verfahren.

Sie unterziehen sich einem Assessment nach VDA ISA, das von einem akkreditierten Prüfungsdienstleister wie der DQS durchgeführt wird. Als registrierter TISAX-Teilnehmer wird Ihr Prüfergebnis von allen Teilnehmern im Netzwerk anerkannt.

  • ENX Association
  • Branchenstandard
  • Informationssicherheit
  • Prüf- und Austauschverfahren

Der VDA-Arbeitskreis „Informationssicherheit“ hat in den letzten Jahren einen Fragenkatalog (ISA – Information Security Assessment) entwickelt, der auf wesentlichen Aspekten der Norm ISO/IEC 27001 basiert und um ein Reifegradmodell erweitert wurde. Seit Anfang 2018 ist der Fragenkatalog VDA ISA in der Version 4.0 verfügbar. Zudem haben die zuständigen VDA-Gremien die Voraussetzungen geschaffen, um ein gemeinsames Prüf- und Austauschverfahren unter der Bezeichnung TISAX (Trusted Information Security Assessment eXchange) zu etablieren. Betrieben wird TISAX von der ENX Association, einem Zusammenschluss europäischer Automobilhersteller, -zulieferer und -verbände, der vom VDA als neutrale Instanz beauftragt wurde.

  • unternehmensübergreifende Anerkennung der Prüfergebnisse unter allen TISAX-Teilnehmern

  • größeres Vertrauen in geprüfte Unternehmen

  • unnötige Doppel- und Mehrfachüberprüfungen werden vermieden

  • weniger Missverständnisse durch harmonisierten VDA ISA-Prüfkatalog

  • mögliche Einsparung von Zeit und Kosten durch gegenseitige Anerkennung im TISAX-Netzwerk

  • die Prüfung zur TISAX-Zertifizierung erfolgt nur alle drei Jahre

Zugang zu TISAX erhalten Sie mittels einer Online-Registrierung auf dem TISAX-Portal. Dies ist die Voraussetzung dafür, einen akkreditierten Prüfungsdienstleister, wie die DQS, mit der Prüfung beauftragen zu können. Die Prüfung selbst erfolgt auf Grundlage des VDA ISA-Fragenkatalogs. Nach dem Assessment wird Ihr Prüfergebnis im TISAX-Portal online zur Verfügung gestellt. Allerdings hat nicht jeder TISAX-Teilnehmer automatisch Zugriff auf Ihr Prüfergebnis. Wer welche Informationen erhält, entscheiden Sie individuell durch Ihre ausdrückliche Freigabe. Die ENX Association überwacht die Qualität der Durchführung und akkreditiert die Prüfdienstleister nach einem strengen Verfahren. Die DQS ist bei ENX als akkreditierter Prüfdienstleister gelistet und kann weltweit Assessments durchführen.

1. Definiton des Scopes
Anforderung des Scopes und des Assessment-Levels durch den Kunden, z. B. mit oder ohne Prototypenschutz.

2. Online-Registrierung als TISAX-Teilnehmer
Online-Registrierung als TISAX-Teilnehmer auf www.enx.com/tisax, danach erfolgt die Zuweisung der Scope ID durch ENX (jährliche Servicegebühr)

3. Durchführung des Assessments in zwei Schritten
Auswahl eines zugelassenen Prüfdienstleisters, danach Kick-Off, Dokumentenprüfung (Self-Assessment, nicht vor Ort) und anschließendes Assessment
(Level 2: nicht vor Ort, Level 3: vor Ort)

4. Zwischenbericht und ggf. Maßnahmenfestlegung
Der erstellte Zwischenbericht wird durchgesprochen, bei Abweichungen werden umzusetzende Maßnahmen vereinbart.

5. Schließung von Abweichungen
Bei Bedarf Maßnahmenumsetzung im vereinbarten Zeitraum. Nach Schließung der Abweichung findet eine Wirksamkeitsprüfung mittels Audit statt.

6. Einstellen des Abschlussberichts
Der finale Abschlussbericht wird in der TISAX-Online-Plattform eingestellt. Damit ist der Teilnehmer mit seinen "Prüflabels" gelistet.

Sprechen Sie uns an

Team Automotive

Sprechen Sie uns an

Team Automotive

tisax@dqs.de

Wie funktioniert TISAX?

Auch wenn ISO/IEC 27001 grundsätzlich in allen Unternehmen angewendet werden kann, gibt es Branchen, die eigene Systeme für Informationssicherheit entwickeln und diese auf ihre branchenspezifischen Bedürfnisse zuschneiden. So hat z. B. die deutsche Automobilindustrie im Jahr 2017 unter der Federführung ihres Verbandes VDA nach einem mehrere Jahre andauernden Entwicklungsverfahren den neuen Branchenstandard TISAX (Trusted Information Security Assessment Exchange) herausgebracht.