TISAX® Assessment
Beweisen Sie Ihre Informationssicherheit mit einem TISAX® Assessment
Connected Cars, autonomes Fahren und neue Produktionsarten führen zu einem gesteigerten Bedarf an Informationssicherheit in der Automobilindustrie. Zeigen Sie mit einem TISAX® Assessment Ihren Stakeholdern, dass Sie die hohen Sicherheitsansprüche des Verbands der Automobilindustrie (VDA) und der ENX Association erfüllen. Als von der ENX Association zugelassener TISAX® Audit Provider unterstützen wir Sie umfassend bei Ihrem TISAX® Assessment. Vertrauen Sie dabei auf unsere langjährige Erfahrung in der Automobilindustrie.
Sie benötigen ein TISAX® Assessment für Ihr Unternehmen? Kontaktieren Sie uns!
Ihre Vorteile des TISAX® Assessments
Vermeidung kostenintensiver und zeitraubender Doppel- oder Mehrfachprüfungen
Vertrauensbildung in der Lieferkette
Etablierung eines Risikomanagements und Reduzierung von Risiken
Verbesserte Chancen für Verträge und Aufträge
TISAX® im Überblick
Die Wertschöpfungsketten in der Automobilindustrie zeichnen sich durch ihre Komplexität und Internationalität aus. Bei steigender Digitalisierung im Endprodukt aber auch während der Produktion erhöhen sich gleichzeitig die Anforderungen an die Informationssicherheit von Unternehmen.
Mit dem Test- und Austauschstandard TISAX® (Trusted Information Security Assessment Exchange) wurde ein praxisorientierter, robuster Standard geschaffen, der auf alle beteiligten Unternehmen in der automobilen Lieferkette anwendbar ist. Unsere Sachverständigen begleiten Sie telefonisch, remote oder vor Ort erfahren durch Ihr TISAX® Assessment. In weniger Schritten können Sie Ihren Stakeholdern zeigen, dass sensible Daten bei Ihnen in sicheren Händen sind.
Unternehmen, die der TISAX®-Plattform beitreten wollen, beauftragen nach der Erstregistrierung einen anerkannten Prüfdienstleister wie zum Beispiel DEKRA mit der Bewertung ihrer Informationssicherheit. Die Bewertung beginnt mit einer grundlegenden Prüfung zum Thema Informationssicherheit und bietet weitere optionale Module wie Prototypenschutz und Datenschutz. Damit entfallen spezielle Anforderungen aus den umfangreichen individuellen Katalogen der großen Automobilhersteller. Nach erfolgreicher Prüfung wird in der Datenbank von ENX ein TISAX®-Label ausgestellt, welches inzwischen von allen VDA-Mitgliedern und Fahrzeugherstellern wie z.B. Volkswagen, BMW oder Audi anerkannt und gefordert wird. Ein Abschlussbericht, der die erreichte Schutzklasse zeigt, kann dann auch bequem an ausgewählte Unternehmen, die Ihren TISAX®-Status abfragen, weitergegeben werden. Die Ergebnisse des TISAX® Assessments sind für einen Zeitraum von drei Jahren gültig.
Der Anfang 2017 eingerichtete Prüf- und Austauschmechanismus TISAX® basiert auf dem Katalog der ISA-Anforderungen (Information Security Assessment) des Verbandes der Automobilindustrie (VDA). Er wurde außerdem weitgehend auf der Grundlage des internationalen Standards ISO/IEC 27001 erstellt. Das dazugehörige Online-Portal bietet den Mitgliedern entlang der gesamten Wertschöpfungskette eine standardisierte Bewertung ihres Informationssicherheitsstatus sowie den Austausch mit Partnern aus der gesamten Automobilindustrie. Für die Teilnahme an einem TISAX®-Verfahren ist die Registrierung in dem Portal Pflicht.
Die ENX Association hat als Betreiber des TISAX®-Programms die Ebenen und den Umfang der Bewertungen festgelegt. TISAX® unterscheidet zwischen vier verschiedenen Schutzklassen und Assessment Level, nach denen ein Unternehmen geprüft werden kann. Die Stufen richten sich dabei nach den Schutzanforderungen der Informationen.
Assessment Level 1
Standardlieferanten müssen lediglich den ISA-Fragebogen ausfüllen und diese Selbstbewertung auf der TISAX® Plattform veröffentlichen.
Assessment Level 2
Bei komplexeren Anbietern werden nach der Selbstbewertung telefonisch stichprobenartige Plausibilitätsprüfungen durch einen zugelassenen Audit-Anbieter durchgeführt.
Assessment Level 2,5
Lieferunternehmen mit einem sehr hohen Sicherheitsrisiko für Ihre sensible Daten werden nach TISAX® Assessment Level 2,5 oder Level 3 überprüft. Das Assessment Level 2,5 tritt in Kraft, wenn es aufgrund externer Umstände (z. B. Kontaktbeschränkungen aufgrund der COVID-19 Pandemie) keine Audits vor Ort möglich sind. Nach der Selbsteinschätzung des Unternehmens erfolgt ein Remote-Audit. Das Audit on-Site wird etwa vier bis acht Wochen später nachgeholt.
Assessment Level 3
Lieferanten, die mit hochsensiblen externen Daten umgehen, werden aufgrund ihrer Selbsteinschätzung durch einen zugelassenen Audit-Dienstleister vor Ort überprüft.
Ihr vertrauenswürdiger Partner für alle Ihre Informationssicherheitsanforderungen
- Dank unserer langjährigen Erfahrung in den Bereichen Automobil und Informationssicherheit stehen wir Ihnen kompetent zur Seite.
- Wir sind global vertreten und unterstützen Sie immer in Ihrer Nähe.
- Mit unserem umfassenden Portfolio von mehr als 40 Akkreditierungen bieten wir Ihnen zeit- und kostensparende Kombizertifizierungen an.
Häufig gestellte Fragen zu TISAX®
- Was ist ein Assessment Level?
- Ist eine TISAX®-Bewertung für Lieferfirmen und Dienstleister erforderlich?
- Ist der Inhalt von TISAX® analog zur ISO 27001?
- Welche Mitarbeiter sind für das TISAX® Assessment relevant?
- Wie lange dauert es, bis das TISAX® Assessment abgeschlossen ist?
- Wie lange dauert es, bis ein Unternehmen als zertifiziert gilt?
- Gibt es eine Mindestzahl von Prozess- und Verfahrensunterlagen, die für die TISAX®-Prüfung erstellt werden müssen?
- Kann DEKRA bei der Vorbereitung auf das TISAX® Assessment helfen?
TISAX® unterscheidet vier Assessment Level (Schutzanforderungen): normal (Level 1), hoch (Level 2) und sehr hoch (Level 2,5 oder Level 3). Die Prüfmethoden und -maßnahmen werden durch die festgelegten Sicherheitsanforderungen bestimmt. Zusätzlich entscheidet die externe Situation, ob Level 2,5 oder Level 3 zutreffend ist. Ist beispielsweise aufgrund der Kontaktbeschränkungen der COVID-19 Pandemie keine Begehung vor Ort möglich, erfolgt zunächst ein Remote Audit (Level 2,5). Ist ein Audit vor Ort möglich, trifft Assessment Level 3 zu.
TISAX® ist nicht auf produzierende Unternehmen beschränkt, sondern deckt die gesamte Lieferkette der Automobilindustrie ab. Ihr individueller Bedarf für die Implementierung von TISAX® hängt von den besonderen Anforderungen Ihres Kunden ab. Wenn Ihr Kunde nicht speziell auf Sie zukommt oder akzeptierte allgemeine Geschäftsbedingungen ändert, ist es ratsam abzuwarten, ob Sie für eine weitere Zusammenarbeit eine TISAX®-Bewertung benötigen.
Der TISAX®-Prüfkatalog wurde aus der internationalen Norm ISO 27001 abgeleitet und verwendet die darin definierten Kriterien. Eine Anleitung beschreibt, wie die jeweiligen Anforderungen umgesetzt werden können, wie die Prozesse sichergestellt werden sollen und welche Werkzeuge eingesetzt werden können. Ein wesentlicher Unterschied zwischen den beiden Standards besteht darin, dass bei TISAX® ein bestimmter Reifegrad erreicht werden muss, um das Label zu erhalten.
Alle Mitarbeiter müssen in den Geltungsbereich einbezogen werden. Dies kann z.B. auch ein Mitarbeiter in der Produktion sein, der mit Kundeninformationen arbeitet.
Die Dauer Ihrer Beurteilung hängt von der Größe Ihres Unternehmens sowie dem Umfang der Reisetätigkeit im Zusammenhang mit der Überprüfung Ihrer Standorte ab. Normalerweise reichen bei einem Unternehmen durchschnittlicher Größe 2-3 Tage vor Ort aus, um das Verfahren abzuschließen.
Von der Erst- bis zur Endkontrolle kann der gesamte TISAX®-Prüfprozess mehrere Monate dauern. Wenn dieser Prozess nicht erfolgreich abgeschlossen werden kann, erhalten Sie kein TISAX®-Label. Wenn Ihr Unternehmen alle Kriterien erfüllt oder nur geringe Abweichungen (so genannte sekundäre Abweichungen) aufweist, wird der Prüfbericht bei ENX eingereicht. Sobald dieser akzeptiert wurde, erhalten Sie Ihr (vorläufiges) TISAX®-Label. Wenn es jedoch größere Abweichungen gibt, die zunächst korrigiert werden müssen, gilt das Label ab dem Tag, an dem die Abweichung als behoben gilt.
Eine allgemeine Aussage kann hier nicht gemacht werden. Sie hängt immer von der Größe und der Tätigkeit Ihres Unternehmens ab. Theoretisch kann alles mit einem Dokument abgedeckt werden, solange es eindeutig nachvollziehbar ist. Es ist jedoch ratsam, mehrere Dokumente zu erstellen, in denen verwandte Themen behandelt werden.
Ja, mit unserem Service zur Vorbereitung auf das TISAX® Assessmentkönnen Sie herausfinden, wie gut Sie im Bereich der Informationssicherheit positioniert sind und welche Aufgaben für eine erfolgreiche TISAX® Zertifizierung noch zu erledigen sind.
Downloads
Management System Zertifizierung wird von der DEKRA Certification GmbH angeboten und operiert unabhängig von allen Trainings- und Beratungsdienstleistungen, die unter anderem auch von anderen DEKRA Einheiten angeboten werden.
Video Gallery
DEKRA TISAX® Assessment
Dieses Video kann aufgrund Ihrer Datenschutzeinstellung leider nicht abgespielt werden. Sie können Ihre Einstellungen jederzeit hier ändern.
Ihr TISAX® Assessment im Überblick
Dieses Video kann aufgrund Ihrer Datenschutzeinstellung leider nicht abgespielt werden. Sie können Ihre Einstellungen jederzeit hier ändern.
DEKRA Expertentipps zum TISAX® Assessment
Dieses Video kann aufgrund Ihrer Datenschutzeinstellung leider nicht abgespielt werden. Sie können Ihre Einstellungen jederzeit hier ändern.
