Die Tisax-Prüfung

Auf den ersten Blick ist der Prüfprozess mit all seinen Schritten ziemlich kompliziert und langwierig. Gerade zum Beginn möchte niemand Fehler machen – deshalb haben wir Ihnen hier den Prüfungsprozess analog der ENX-Guideline detailliert beschrieben:

Registrierung bei der ENX

Im ersten Schritt registrieren Sie ihr Unternehmen als aktiver Teilnehmern von TISAX® bei der ENX. Dies können Sie online direkt bei der ENX tun. Selbstverständlich unterstützen wir Sie auch bei der Anmeldung. Im Teilnehmerhandbuch der ENX [externer Link] finden Sie alle nötigen Erklärungen zu den einzelnen Schritten.

Hier registrieren Sie sich bei der ENX  [externer Link]

Wir empfehlen, vor der Registrierung einen Blick in die Teilnahmebedingungen [externer Link] zu werfen. Auch wenn diese am Ende sicher nicht dafür ausschlaggebend sein werden, dass Sie TISAX® nicht umsetzen, gehen Sie dennoch mit der ENX Association einen Vertrag ein.

TISAX® Prüfungsscope festlegen

Im zweiten Schritt des Registrierungsprozesses müssen Sie den Prüfungsscope festlegen, für den Sie ein TISAX®-Label erreichen wollen.

Er beschreibt den Umfang der Informationssicherheitsprüfung und leitet sich von den Anforderungen Ihres Kunden ab.

In 99% der Fälle wird der „Standard-Scope“ verwendet. Die ENX beschreibt ihn wie folgt:

Der Standard-Scope erfasst alle Prozesse, Verfahren und beteiligte Ressourcen an den unten definierten Standorten mit denen Informationen verarbeitet werden, die Sicherheitsanforderungen von Partnern aus der Automobilindustrie unterliegen. Dies schließt sowohl die Erhebung, die Speicherung wie auch die Verarbeitung von Informationen ein. Beispiele für beteiligte Ressourcen: Arbeitsmittel, Mitarbeiter, IT-Systeme einschließlich Cloud-Diensten wie Infrastruktur/Plattform/Software als Service, physische Standorte, relevante Subunternehmer Beispiele für Standorte: Bürostandorte, Entwicklungsstandorte, Produktionsstandorte, Rechenzentren

TISAX®-Prüfdienstleister auswählen und beauftragen

Nun müssen Sie aus den akkreditierten Prüfdienstleister den auswählen, der Sie prüfen soll. Im Rahmen unseres TISAX-Projektes berichten wir gerne aus unseren Erfahrungen mit den verschiedenen Prüfdienstleistern und empfehlen auch gerne, sofern Sie noch nicht festgelegt sind, einen geeigneten Dienstleister für Ihr Unternehmen.

Liste der Prüfdienstleister [externer Link]

Wenn Sie Ihre Wahl getroffen haben, wird der Prüfdienstleister von Ihnen oder uns kontaktiert und erstellt Ihnen, nach einem ersten Vorgespräch, ein Angebot für die Prüfung.

Erstprüfung

Es folgt das offizielle Audit bzw. die Prüfung ihres ISMS und ihrer Organisation. Hier erfahren Sie mehr über den Ablauf der Prüfung.

Wenn der Prüfer keine Abweichungen festgestellt hat, gilt das Audit als bestanden und der Prüfer leitet den Bericht zur Label-Erteilung an die ENX weiter.

Maßnahmenplan erstellen

Für den Fall, dass in der Erstprüfung Abweichungen aufgetreten sind, erstellen wir gemeinsam mit Ihnen – sofern nicht vom bisherigen Plan abgedeckt – einen weiteren Maßnahmenplan. Dieser beinhaltet notwendige Maßnahmen zur Behebung der Abweichungen aus der Erstprüfung.

Normalerweise wird bei Vorlage des Maßnahmenplanes ein sog. vorläufiges TISAX®-Label erteilt.

Für die Umsetzung der Maßnahmen haben Sie 3 Monate Zeit. In Ausnahmen und mit Begründung kann diese Frist verlängert werden.

Nachprüfung

Sind alle Maßnahmen aus dem Review umgesetzt, vereinbaren wir einen zweiten Prüfungstermin mit dem Prüfdienstleister. Hier wird i.d.R. nur noch dies geprüft, was in der Erstprüfung bemängelt wurde. Sofern es sich bei den Abweichungen nur um Dokumentationsversäumnisse handelte, genügt meist die Einsendung der Dokumente an den Prüfer.

Erteilung des TISAX®-Labels

Wenn das Audit ohne Abweichungen bestanden wurde, übermittelt der Prüfer den Auditbericht an die ENX. Dort wird nach einer internen Prüfung das entsprechende TISAX-Label in Ihrem Teilnehmerprofil hinterlegt und kann von Ihnen mit Partnern geteilt werden.