Home 9 Ihr TISAX®-Projekt

So bringen
wir Sie zum
TISAX® LAbel

Wir nehmen Sie an die HAND

Auf Ihrem Weg zum TISAX®-Label nehmen wir Sie von Beginn an die Hand und zeigen Ihnen die effizientesten und kostengünstigsten Möglichkeiten, Ihr Ziel zu erreichen.

Hierfür haben wir aus der Erfahrung vielzähliger Realisierungsprojekte einen Standardprozess entwickelt, den wir individuell auf Ihr Unternehmen und Ihre Bedürfnisse anpassen.

Bestätigt durch unser Qualitätsmanagementsystem und die absolute Nutzerzentrierung unserer Berater garantieren wir Ihnen beste Ergebnisse in der kürzest möglichen Zeit.

Es darf nicht das alleinige Ziel sein, die Prüfung zu bestehen. Wir sind überzeugt, dass mehr Informationssicherheit nur mit nachhaltiger und bewusster Umsetzung des ISMS möglich ist. Denn das ist es, was Ihr Kunde möchte – sich auf Ihre Informationssicherheitsstandards verlassen können.

 

Mit Hilfe unseres erprobten Standardprozesses führen wir Sie durch sieben Abschnitte bis zur TISAX®-Prüfung und geben Ihnen zu jeder Zeit die bestmöglichen Tools und Beratung an die Hand:

Let's start - Initialisierung, Festlegung des Scopes, Informationen sammeln

Gemeinsam starten wir das Projekt mit Ihnen, indem wir

  • Verantwortlichkeiten auf beiden Seiten definieren
  • Einen Projektplan erstellen
  • Einen Arbeitsmodus festlegen (Regelkommunikation, Berichterstattung, etc.)
  • Das Arbeitsumfeld (Sharepoint, Confluence/JIRA, Wiki, Teams, etc.) nach Ihren Vorgaben einrichten.

 

Nachdem das Organisatorische geklärt ist, gilt es, den Rahmen festzulegen:

  • Definition der vom ISMS betroffenen Unternehmensbereiche
  • Identifikation der übergeordneten betroffenen Prozesse in den Unternehmensbereichen

 

In einem oder mehreren Workshops erfolgen notwendige und wichtige Festlegungen:

  • Aufnahme aller schützenswerter Informationen in den betroffenen Geschäftsprozessen
  • Identifikation aller Lokationen und Räumlichkeiten, in denen Informationen gespeichert, verarbeitet und übertragen werden
  • Erstellung eines IT- und Software-Inventars (sofern nicht schon vorhanden)
  • Klassifizierung der schützenswerten Informationen nach vorgegebenen Kriterien
  • Sofern schon möglich: Erstellung einer Risikobewertung der schützenswerten Informationen

In der GAP-Analyse decken wir Handlungsbedarfe auf

Um die nötigen Schritte auf dem Weg zu mehr Informationssicherheit beschreiben zu können, müssen wir gemeinsam dem IST-Zustand Ihrer Organisation auf den Grund gehen:

  • Durchführung des VDA ISA (Information Security Assessment)
  • Sichtung von vorhandenen Prozessdokumenten und Dokumentationen zum Stand der Informationssicherheit
  • Identifikation der Abweichungen IST zu SOLL (GAP-Analyse)
  • Erstellung einer umfassenden und bewerteten Maßnahmenliste mit Verantwortlichkeiten und zeitlicher Bewertung

Diese Schritte führen wir i.d.R. im Rahmen eines ein- bzw. mehrtägigen Workshops gemeinsam mit Ihnen durch.

Zur Einordnung: Maßnahmen beschränken sich nicht nur auf fehlende oder mangelhafte Dokumente und Prozessbeschreibungen.

Ein wesentlicher Teil bei vielen unserer TISAX®-Projekte liegt auch in der physischen und technischen Sicherheit von Gebäuden, Räumlichkeiten und IT-Systemen. Mit dem Begriff „Maßnahmen“ wird jedes dieser Felder erfasst.

Unser Standard-Maßnahmenplan umfasst in der Regel circa 400 bis 500 einzelne Maßnahmen, die für die Erfüllung der einzelnen VDA ISA Controls in unterschiedlichen Härtegraden umgesetzt werden müssen.

Abbildung: Auszug aus einem Maßnahmenplan

Wir erstellen die Dokumentation Ihres ISMS

Nachdem die Deckungslücken zwischen IST- und SOLL-Zustand offengelegt wurden, gehen wir in diesem Schritt daran, sie zu schließen:

  • Definition der Organisationsstrukturen im ISMS
  • Erstellung der Information Security Policy (Leitlinie) gemeinsam mit Ihrem Management
  • Einführung von neuen bzw. Anpassung von vorhandenen Prozessen und deren Dokumentation im ISMS
  • Erstellung der gesamten notwendigen Dokumentationen für Sicherheitsrichtlinien, Sicherheitskonzepte und Nachweise des ISMS

Für alle notwendigen Dokumente haben wir erprobte Standard-Vorlagen, die wir selbstverständlich im Rahmen Ihres Projektes zur Verfügung stellen und auf Ihre spezifischen Bedürfnisse anpassen.

Natürlich kann die gesamte Dokumentation des ISMS in unterschiedlichen Systemen erfolgen. Hier ist bspw. auch eine prozessorientierte Struktur möglich.

Wenn Sie keinen prozessorientierten Dokumentationsansatz wählen, folgt unsere Standard-Dokumentation immer einer top-down-Struktur:

Gemeinsam setzen wir die Maßnahmen mit Ihnen um

Mit der reinen Erstellung von Dokumenten ist es, wie Sie sich sicher gedacht haben, nicht getan.

  • Die in den Dokumenten beschriebenen Richtlinien und konkreten Arbeitsanweisungen müssen bekannt gemacht werden
  • Die Sicherheitskonzepte müssen eingeführt und erklärt werden
  • Die Nachweise müssen geführt und zur richtigen Zeit am richtigen Ort verfügbar sein

All das setzen wir gemeinsam mit Ihnen und Ihren Mitarbeitern vor Ort direkt um.

Aber kaum ein Projekt kommt ohne grundlegende Änderungen an physischen Sicherheitsmaßnahmen und Anpassungen in IT (Hard- und Software) aus.

 

Aus der Maßnahmenplanung und Risikobewertung heraus

  • Empfehlen wir Ihnen bauliche und technische Änderungen zur Erfüllung der Maßnahmen. Beispielsweise zur physischen Sicherung von Gebäuden oder Räumen durch den Einsatz von Zutrittskontrollsystemen, Videoüberwachung oder Alarmsystemen
  • Schlagen wir geeignete IT-Tools zur Digitalisierung erforderlicher Prozesse vor (beispielsweise im Bereich Virenschutz, Mobile Device Management, Backup-Management, Identity Access Management, Verschlüsselung, Asset Management, etc.)
  • Bewerten wir mit Ihnen einen möglichen Einsatz von Management-Suite Lösungen
  • Erstellen wir gemeinsam mit unseren IT-Experten Betriebs- und Notfallkonzepte für Ihr Unternehmen

Wir schulen Sie und Ihre MitarbeiterInnen

Zuletzt hängt der Erfolg des ISMS jedoch an jeder einzelnen Mitarbeiterin und jedem einzelnen Mitarbeiter, die Richtlinien und Konzepte im Alltag anzuwenden.

Nicht alles ist technisch so abzusichern, dass Fehler ausgeschlossen werden können.

Daher liegt ein Schwerpunkt unserer Projektarbeit in der Schulung und Ausbildung Ihrer MitarbeiterInnen, die das ISMS „leben“ sollen:

  • Breit angelegte Mitarbeiter-Gruppenschulungen zur Vermittlung des ISMS-Basiswissens
  • Schwerpunktbasierte Schulungen für MitarbeiterInnen in einzelnen Geschäftsprozessen und Unternehmensbereichen (bspw. in der Entwicklung oder im Testing)
  • Einzelcoachings für ausgewählte Informationseigentümer und Prozessverantwortliche
  • Ausbildung zum Informationssicherheitsbeauftragten (ISB)

Mehr zum Thema Weiterbildung finden Sie in unserer Academy.

Wir bereiten Sie auf Ihre TISAX®-Prüfung vor

Natürlich lassen wir Sie nicht unvorbereitet in die Prüfung gehen (es sei denn, Sie wünschen es). Nach einer bis zu diesem Zeitpunkt sehr intensiven Projektphase mit teils großem Invest von Zeit und Geld darf bei der Prüfung nichts schief gehen – das TISAX® Label ist schließlich in greifbarer Nähe.

Gemeinsam mit dem Management, der/dem ISB, den IT-Verantwortlichen und Verantwortlichen für etwaige kritische Prozesse simulieren wir das kommende externe Audit in der Prüferrolle. Durch individuelle Briefings und Vorbereitungstermine stellen wir so sicher, dass nichts mehr schief gehen kann.

Oft werden durch die internen Audits noch kurzfristige Schwachstellen im ISMS oder einzelnen Prozessen sichtbar, für deren Behebung vor dem Audit dann noch genügend Zeit bleibt.

Wir sind lieber auf der sicheren Seite, als mit einer Hauptabweichung im Audit negativ aufzufallen.

Jetzt wird es ernst - wir gehen in die Prüfung für Ihr TISAX®-Label

Der Tag der Prüfung naht. Vorbereitend haben wir alle notwendigen Schritte für die Prüfung bereits eingeleitet:

  • Der Prüfdienstleister hat im Vorgespräch alle organisatorischen Rahmenbedingungen geklärt
  • Wir haben alle erforderlichen Unterlagen rechtzeitig beim Prüfdienstleister eingereicht oder ihm digital zur Verfügung gestellt (Sharepoint, etc.)
  • Je nach Assessment Level sind alle beteiligten Unternehmensbereiche auch für etwaige Ortsbegehungen informiert

 

Während des Audits sind Ihr ISB und wir beratend zur Seite, beantworten Fragen des Prüfers bzw. der Prüferin und nehmen Verbesserungsvorschläge und Anregungen für die Nachbereitung mit.

Das Audit findet normalerweise in einem Besprechungsraum statt. Je nach Assessment-Level führt der Prüfer Besichtigungen verschiedener Einrichtungen an der zu prüfenden Lokation durch. Auch stichprobenartige, nicht vorherzusehende Prüfungen sind möglich, sofern sich das Geprüfte im beantragten TISAX®-Scope befindet.

Wenn das Audit beendet ist, erfolgt noch ein Abschlussgespräch mit allen Beteiligten, in dem der Prüfer seine Feststellungen (Haupt- oder Nebenabweichungen). Hier ist auch Zeit für Fragen.

Den offiziellen Auditbericht, den der Prüfdienstleister im Nachgang zuschickt, prüfen wir akribisch und klären etwaige Einwände umgehend.

Sobald der finale Auditbericht bei der ENX eingereicht ist, erhalten Sie Ihr TISAX-Label in der ENX-Datenbank, dessen Ergebnis Sie fortan mit den Teilnehmern der TISAX-Plattform über diese teilen können.

“Wir arbeiten mit geheimen Daten von Prototypen-Fahrzeugen. Durch TISAX kann ich mir sicher sein, dass diese Informationen nun geschützt sind.”

Oliver K., CEO einer mittelständischen Kommunikationsagentur

"Mit der Einführung von TISAX haben wir einen Anschub für unsere Automotive-Projekte erlebt. Das ist nun Teil unserer USP und Thema in jeder Verhandlung. "

Maren B., Vertriebsmitarbeiterin eines mittleren Tier-1 in der Spritzgusstechnik

"Abakus hat uns flexibel mit viel Know-How schnell helfen können, nachdem wir von unserem Kunden unter Druck gesetzt wurden."

Alexander M., Director Sales bei einem Profilhersteller

Genug über TISAX® gelesen?

wir rufen Sie zurück! 

 

Oder machen Sie gleich unseren kostenlosen Quick-Check zu
VDA ISA und
TISAX®:

Hier sind wir

Abakus Management &
Consulting GmbH
Plieninger Str. 44
70567 Stuttgart

Telefon

+49 711 715 300 21