Ihre TISAX®-Zertifizierung

Um die erforderlichen Schritte auf dem Weg zur TISAX®-Zertifizierung identifizieren zu können, müssen wir zunächst dem Ist-Zustand bezüglich der Informationssicherheit in Ihrer Organisation auf den Grund gehen:

• Durchführung des VDA ISA (Information Security Assessment)
• Sichtung von vorhandenen Prozessdokumenten und Dokumentationen zum Stand der Informationssicherheit
• Identifikation der Abweichungen IST zu SOLL (GAP-Analyse)
• Erstellung einer umfassenden und bewerteten Maßnahmenliste mit Verantwortlichkeiten und zeitlicher Bewertung

Diese Schritte führen wir in der Regel gemeinsam mit Ihnen im Rahmen eines ein- bzw. mehrtägigen Workshops durch.

Zur Einordnung: Maßnahmen beschränken sich nicht nur auf fehlende oder mangelhafte Dokumente und Prozessbeschreibungen. Vielmehr macht die physische und technische Sicherheit von Gebäuden, Räumlichkeiten und IT-Systemen einen wesentlichen Bestandteil vieler unserer TISAX®-Zertifizierungs- Projekte aus. Mit dem Begriff „Maßnahmen“ wird jeder dieser Bereiche erfasst.

Ein wesentlicher Teil bei vielen unserer TISAX®-Projekte liegt auch in der physischen und technischen Sicherheit von Gebäuden, Räumlichkeiten und IT-Systemen.

In dieser Phase des TISAX®-Zertifizierungs-Prozesses stehen folgende Aufgaben auf der Agenda:

• Definition der Organisationsstrukturen im ISMS
• Erstellung der Information Security Policy (Leitlinie) gemeinsam mit Ihrem Management
• Einführung von neuen bzw. Anpassung von vorhandenen Prozessen und deren Dokumentation im ISMS
• Erstellung der gesamten notwendigen Dokumentationen für Sicherheitsrichtlinien, Sicherheitskonzepte und Nachweise des ISMS

Jedes Unternehmen hat unterschiedliche Anforderungen an die Ablage und Nutzung von ISMS-Dokumentationen, weshalb wir unsere Vorlagen in einem einfachen Office-Format halten, um maximale Flexibilität bei der Integration in verschiedene Systeme zu gewährleisten. Sie bekommen von uns alle Dokumente die Sie in Zusammenhang mit der TISAX®-Zertifizierung brauchen.

Unsere erprobte ISMS-Dokumentationsvorlage ist neutral gestaltet, individuell anpassbar und entspricht den offiziellen Vorgaben der DIN ISO 9000 und 10013.

Abhängig von der Unternehmensgröße empfehlen wir entweder Office-Dokumente, Wikis oder spezialisierte ISMS-Tools und bieten dazu eine unabhängige Beratung sowie kostengünstige Lösungen durch Kooperationen an.

Falls nicht anders gewünscht, folgt unsere Standard-Dokumentation immer einer Top-down-Struktur:

Mit der reinen Erstellung von Dokumenten ist es, wie Sie sich sicher gedacht haben, nicht getan. Als nächste Schritte auf dem Weg zur TISAX®-Zertifizierung müssen

• die in den Dokumenten beschriebenen Richtlinien und konkreten Arbeitsanweisungen bekannt gemacht werden,
• die Sicherheitskonzepte eingeführt und erklärt werden,
• die Nachweise geführt und zur richtigen Zeit am richtigen Ort verfügbar sein.

All dies setzen wir gemeinsam mit Ihnen und Ihren MitarbeiterInnen vor Ort direkt um.

Unsere Erfahrung aus zahlreichen erfolgreich durchgeführten TISAX®-Zertifizierungen hat gezeigt, dass die reine Anpassung der Prozesse in den seltensten Fällen ausreicht. Kaum ein Projekt kommt ohne grundlegende Änderungen an physischen Sicherheitsmaßnahmen und Anpassungen bei der Hard- und Software der IT aus.

Aus der Maßnahmenplanung und Risikobewertung heraus …

• … empfehlen wir Ihnen bauliche und technische Änderungen zur Erfüllung der Maßnahmen. So können zur physischen Sicherung von Gebäuden oder Räumen beispielsweise Zutrittskontrollsysteme, Videoüberwachung oder Alarmsysteme zum Einsatz kommen.
• … schlagen wir geeignete IT-Tools zur Digitalisierung erforderlicher Prozesse vor (beispielsweise im Bereich Virenschutz, Mobile Device Management, Backup-Management, Identity Access Management, Verschlüsselung, Asset Management etc.)
• … bewerten wir mit Ihnen einen möglichen Einsatz von Management-Suite-Lösungen.
• … erstellen wir gemeinsam mit unseren IT-Experten Betriebs- und Notfallkonzepte für Ihr Unternehmen.

Nicht alles lässt sich technisch derart absichern, dass Fehler ausgeschlossen werden können. Letztendlich hängt der Erfolg des ISMS also von einem ganz entscheidenden Faktor ab: von jeder einzelnen Mitarbeiterin und jedem einzelnen Mitarbeiter, welche die so sorgfältig entwickelten Richtlinien und Konzepte im Alltag anwenden müssen.

Aus diesem Grund liegt ein Schwerpunkt unserer Projektarbeit für die TISAX®-Zertifizierung in der Schulung und Ausbildung der Mitarbeitenden, die das ISMS in Ihrem Unternehmen „leben“ sollen. Zu diesem Zweck bieten wir Ihnen folgende Schulungsformate an:

• breit angelegte Mitarbeiter-Gruppenschulungen zur Vermittlung des ISMS-Basiswissens
• schwerpunktbasierte Schulungen für MitarbeiterInnen in einzelnen Geschäftsprozessen und Unternehmensbereichen (bspw. in der Entwicklung oder im Testing)
• Einzelcoachings für ausgewählte Informationseigentümer und Prozessverantwortliche
• Ausbildung zum Informationssicherheitsbeauftragten (ISB)

Mehr zum Thema Weiterbildung in Hinblick auf die TISAX®-Zertifizierung finden Sie in unserer Academy.

Mittlerweile haben Sie mit teils beträchtlichem zeitlichen und finanziellen Investment eine äußerst intensive Projektphase hinter sich gebracht. Da sollte auf den letzten Metern auf dem Weg zur TISAX®-Zertifizierung nichts schief gehen. Deshalb bereiten wir Sie mit einem „Probelauf“ auf die Prüfung vor: Gemeinsam mit dem Management, der/dem ISB, den IT-Verantwortlichen und Verantwortlichen für etwaige kritische Prozesse simulieren wir das kommende externe Audit und übernehmen dabei die Prüferrolle. Durch individuelle Briefings und Vorbereitungstermine stellen wir so sicher, dass nichts mehr daneben gehen kann.

Oft werden durch die internen Audits noch vereinzelte Schwachstellen im ISMS oder in individuellen Prozessen sichtbar, für deren Behebung vor dem Audit dann noch genügend Zeit bleibt.

Wir sind lieber auf der sicheren Seite, als mit einer Hauptabweichung im Audit negativ aufzufallen.

Wenn der Tag der Prüfung naht, haben wir alle notwendigen Vorbereitungen für diesen letzten Schritt der TISAX®-Zertifizierung geleistet:

• Der Prüfdienstleister hat im Vorgespräch alle organisatorischen Rahmenbedingungen geklärt.
• Wir haben alle erforderlichen Unterlagen rechtzeitig beim Prüfdienstleister eingereicht oder ihm digital zur Verfügung gestellt (z. B. über Sharepoint).
• Je nach Assessment-Level sind alle beteiligten Unternehmensbereiche auch für etwaige Ortsbegehungen informiert.

Während des Audits sind Ihr ISB und wir beratend zur Stelle, beantworten Fragen des Prüfers bzw. der Prüferin und protokollieren etwaige Verbesserungsvorschläge und Anregungen für die spätere Nachbereitung.

Das Audit für die TISAX®-Zertifizierung findet normalerweise in einem Besprechungsraum statt. Je nach Assessment-Level führt der Prüfer Besichtigungen verschiedener Einrichtungen an der zu prüfenden Örtlichkeit durch. Auch stichprobenartige unangekündigte Prüfungen sind möglich, sofern sich das Geprüfte im beantragten TISAX®-Scope befindet.

Wenn das Audit beendet ist, erfolgt noch ein Abschlussgespräch mit allen Beteiligten, in dem der Prüfer seine Feststellungen (Haupt- oder Nebenabweichungen) vorstellt. Hier ist auch Zeit für Fragen.

Den offiziellen Auditbericht, den der Prüfdienstleister Ihnen im Nachgang zuschickt, prüfen wir akribisch und klären etwaige Einwände umgehend.

Sobald der finale Auditbericht bei der ENX eingereicht ist, erhalten Sie Ihr TISAX®-Label in der ENX-Datenbank. Über diese können Sie Ihre TISAX®-Zertifizierung fortan mit allen Teilnehmern der Plattform teilen.