Home 9 Alles über TISAX®

TISAX®

WAS IST TISAX®?

TRUSTED INFORMATION SECURITY ASSESSMENT (E)XCHANGE

INFORMATIONSSICHERHEIT DANK TISAX®

Die Informationssicherheit ist ein kritischer Faktor für jedes Unternehmen, unabhängig von der Branche, in der es tätig ist. Jedoch werden gerade in der Automobilindustrie vor allem in Kundenbeziehungen zwischen OEM, Dienstleistern und Lieferanten viele sensible Daten aus Forschung und Entwicklung ausgetauscht. Hier besteht die Herausforderung, ein hohes Sicherheitsniveau zu etablieren und dieses den Partnern versichern zu können. Abgeleitet von der ISO 27001 für Informationssicherheit wurde zu diesem Zweck 2017 – durch den VDA mitgetragen – das TISAX®-Label für Informationssicherheit eingeführt.

TISAX® (Trusted Information Security Assessment Exchange) ist ein Testat zum Nachweis der Erfüllung von gewissen Standards der Informationssicherheit. Es dient einer unternehmensübergreifenden Anerkennung von Assessments der Informationssicherheit in der Automobilindustrie und anderen Branchen. Hierfür schafft TISAX® einen gemeinsamen Prüf- und Austauschmechanismus, der auch Mehrfachprüfungen bei Lieferanten und Dienstleistern vermeiden soll. Als Dachorganisation fungiert die ENX Association.

Zur erfolgreichen TISAX®-Prüfung durch akkreditierte Prüfdienstleister ist die Erfüllung des Zielreifegrades aus dem „Information Security Assessment“ (ISA) vom Verband der Automobilindustrie (VDA) notwendig. Dazu muss ein Informationssicherheits-Managementsystem (ISMS) im zu prüfenden Unternehmen etabliert sein.

TISAX®: Assessment der Informationssicherheit.

WELCHE THEMENBEREICHE BETRIFFT TISAX®?

TISAX® fokussiert ein Assessment dreier Bereiche:

Informationssicherheit durch TISAX®

Die Controls in diesem Bereich enthalten die grundlegenden Anforderungen zum Thema Informationssicherheit, basierend auf der ISO/IEC 27001.

Dazu gehören Aufbau und Organisation des ISMS, physische Sicherheit, Business Continuity Management, Identity & Access Management und vieles mehr.

Prototypenschutz

Der Prototypenschutz wurde speziell für die Anforderungen der Automobilindustrie entwickelt. Er umfasst als schutzbedürftig klassifizierte Fahrzeuge, Komponenten und Bauteile, deren Form, Beschaffenheit, Technologie, Bild oder Ton noch nicht öffentlich gemacht wurden und stellt einen wichtigen Teil des TISAX®-Assessments dar.

Datenschutz

Die Inhalte im Bereich Datenschutz orientieren sich an der europäischen Datenschutz-Grundverordnung (DSGVO). Die Kriterien sind bei einer Auftragsverarbeitung i.S.d. Art. 28 der europäischen Datenschutz-Grundverordnung anzuwenden.

10 GRÜNDE FÜR TISAX®

33% aller Unternehmen in Deutschland waren in 2018 von Cyber-Angriffen betroffen.

Neben erheblichen finanziellen Schäden waren vor allem Betriebsstörungen die Folge der Angriffe. Aber auch die Reputation leidet.

Aktuell haben nur etwa die Hälfte aller Unternehmen ein ISMS im Einsatz; gerade kleinere Unternehmen haben hier Nachholbedarf.

Der Irrglaube, Passwörter seien sicher, stellt das größte Einfallstor für Angreifer dar. 

Es geht nicht immer nur um Daten – gerade in der Automotive-Industrie sind Entwicklungs-informationen und Prototypen ein begehrtes Ziel von Angreifern.

Hier einige Zahlen und Fakten aus dem Jahr 2020:

2020 war das Jahr mit den bislang meisten Cyberangriffen auf Unternehmen, Behörden und Forschungseinrichtungen.

Die am häufigsten betroffenen Ziele sind Technologieunternehmen und kritische Infrastruktur.

Das beliebteste und effektivste Einfallstor ist Social Engineering.

An zweiter Stelle stehen Angriffe von innen, meist durch kompromittierte MitarbeiterInnen.

Aus einer Studie von 2018 geht hervor:

100 % aller Befragten sichern sich gegen Bedrohungen von außen mit Virenscannern, Firewalls, Passwörtern, Back-ups.

Aber nur 28 % schützen sich vor Datendiebstahl von innen und nur 67 % protokollieren Systemzugriffe.

Lesen Sie hier den Lagebericht zur Informationssicherheit in Deutschland 2022 des BSI.

 

Quelle der Grafiken:
https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Cyber-Sicherheitslage-fuer-die-Wirtschaft/Cyber-Sicherheits-Umfrage/2018/2018_node.html
Studie: IDC IT Security in Deutschland, 2018

Sie schützen Informationen – Ihre eigenen und die Ihrer Kundinnen und Kunden

Clive Humby sagte 2006: „Data is the new oil“ – und dabei handelte es sich um eine zutreffende Einschätzung. Daten sind Informationen. Und diese nehmen einen zunehmend hohen Stellenwert ein.

Mit einem TISAX®-Assessment stellen Sie sicher, dass sowohl Ihre eigenen als auch externe Daten sicher sind – und mit dem TISAX®-Label können Sie gegenüber Kunden und Lieferanten den Nachweis dafür erbringen.

Sie minimieren durch TISAX® Risiken durch aktives Management 

Mit TISAX® und den damit einhergehenden Richtlinien und Konzepten minimieren Sie Risiken für Ihr Unternehmen.

Durch das Informationsinventar und die einhergehend notwendige Risikobewertung managen Sie dank des TISAX®-Assessments aktiv Risiken und können frühzeitig gegensteuern.

Keine Kundenaudits mehr in Ihrem Haus

Sie mussten bisher Kundenaudits über sich ergehen lassen? Deren Vorbereitung und Durchführung bedeutet für beide Seiten vor allem immer eines: sehr viel Aufwand.

Mit TISAX® entfällt dieses Prozedere vollständig. Die TISAX®-Labels werden von allen Teilnehmern vorbehaltlos anerkannt. In Zukunft können Sie dem jeweiligen Partner Ihr Label ganz unkompliziert über die ENX-Plattform zur Verfügung stellen.

Das schafft Vertrauen und minimiert den Aufwand enorm.

Sie erfüllen wichtige Anforderungen Ihrer Kunden

Bei allen deutschen OEM werden inzwischen vor der Auftragsvergabe TISAX®-Labels gefordert. Ärgerlich nur, wenn Sie mitten im Vergabeprozess eines Kundenauftrages von dieser Anforderung überrascht werden und keine Zeit mehr haben, zu reagieren.

Unabhängig davon, ob Sie für den Auftrag qualifiziert sind, disqualifiziert Sie ein fehlendes TISAX®-Label – ein Assessment bewahrt Sie davor.

Sie nutzen eine zentrale TISAX®-Plattform

Die zentrale Plattform zum Austausch von Prüfinformationen kann durch die gegenseitige Anerkennung innerhalb des TISAX®-Netzwerks Zeit und bares Geld sparen.

Die Kosten für die Teilnahme als Partner der ENX sind mit wenigen Hundert Euro gering und fallen nur jeweils für drei Jahre an.

Ein TISAX®-Assessment ist ein klarer Wettbewerbsvorteil!

Mit dem TISAX®-Label haben Sie Ihren Wettbewerbern einiges voraus – und gerade bei der Auftragsvergabe entscheidet mitunter auch der Zeitfaktor.

Neben den technischen und prozessbezogenen Vorzügen ist ein TISAX®-Assessment vor allem auch ein Vertriebsargument für die erfolgreiche Geschäftsanbahnung mit großen OEM und Tier-1-Lieferanten, die das Label verlangen.

Inzwischen werden bei der VW Group Supply, dem BMW-Einkauf und auch bei Magna oder AVL bereits künftige Lieferantensets für Anfragen, die eine Arbeit mit sensiblen Informationen erfordern, nach TISAX®-Label gefiltert. Es lohnt sich also schon heute, proaktiv TISAX® anzugehen und nicht erst auf eine explizite Kundenaufforderung zu warten!

Durch TISAX® schützen Sie Ihre Innovationskraft und Ihr Eigentum

TISAX® umfasst alle Informationsbereiche, sei es schriftlich, prozessual, technisch oder physisch.

Durch die gezielten Maßnahmen wird das geistige und materielle Eigentum Ihrer Kunden und Ihres eigenen Unternehmens wirksam geschützt. So bleibt Ihre Innovationskraft auf lange Sicht erhalten.

TISAX® liefert klar messbaren organisatorischen Mehrwert

Durch die Einführung von TISAX®, dem zugehörigen Informationssicherheits-Managementsystem und den konkreten Arbeitsanweisungen für Ihre MitarbeiterInnen gewinnt Ihre Organisation an Professionalität und Kompetenz im Umgang mit Informationen.

Mit unserem Managementsystem und den zugehörigen Schulungen sensibilisieren Sie Ihre MitarbeiterInnen und reduzieren Risiken für Angriffe von innen und außen. 

Ein TISAX®-Assessment ist somit immer ein Gewinn für Ihre Organisation! 

Sicherheitsvorfälle werden erkannt und können verhindert werden

Mit TISAX® als Gesamtkonzept (inkl. ISMS, Maßnahmen, Richtlinien, IT-Lösungen etc.) führen Sie ein professionelles  Sicherheitsvorfall-Management (incident management) ein.

Nur mit einem derartigen System haben Sie die Möglichkeit, Sicherheitsvorfälle aktiv zu managen, (weitere) Gefahren abzuwenden und Lücken nachhaltig zu schließen.

Sie bekommen ein professionelles Management-Reporting

Sind Sie jederzeit über sämtliche Informationssicherheits-Risiken oder -Vorfälle in Ihrem Unternehmen im Bilde? Genau darin besteht die Kernaufgabe eines Informationssicherheitsbeauftragten (ISB), der im Rahmen des TISAX®-Assessments die Ergebnisse seiner Arbeit in einem kontinuierlichen Prozess als Management-Reporting an die Geschäftsleitung berichtet.

In unserem Management-Review erhalten Sie alle notwendigen (und gewünschten) Informationen zum Entwicklungsstand des ISMS sowie zu Sicherheitsvorfällen, neuem wesentlichen Inventar, neuen Risiken und Maßnahmen oder auch neuen Sicherheitslücken – zusammen mit klaren und leicht umsetzbaren Handlungsempfehlungen.

Das Leitbild für den ISB muss sein, maximale Transparenz für die Geschäftsleitung zu schaffen.

DER VDA ISA-KATALOG

VDA Information Security Assessment

WAS IST DER VDA ISA-KATALOG?

Im Rahmen der Entwicklung von TISAX® hat der Verband der Automobilindustrie (VDA) den ISA-Katalog als Kompendium für die branchenweiten Anforderungen der Automobilindustrie festgelegt. Er orientiert sich am BSI-Grundschutz bzw. an den Kriterien der ISO/IEC 27001 und ist speziell auf die Automobilbranche ausgerichtet.

 

Der VDA-KATALOG zum Information Security Assessment.

Im VDA ISA-Katalog finden sich neben vielen Hinweisen und Anmerkungen die drei TISAX®-Prüfkriterien Informationssicherheit, Prototypenschutz und Datenschutz.

Der Katalog dient als Grundlage für

  • ein Self-Assessment zur Bestimmung des Zustandes der Informationssicherheit in Ihrem Unternehmen (vgl. Assessment-Level 1)
  • interne Audits durch Fachabteilungen oder Ihren ISB
  • den Prüfer in der eigentlichen TISAX®-Prüfung als Grundlage

Hier kommen Sie direkt zum aktuellen VDA ISA-Katalog. Der Link öffnet in einem neuen Fenster.

Voller Link: https://www.vda.de/de/themen/digitalisierung/daten/informationssicherheit

WAS BRINGT MIR DER VDA ISA-KATALOG?

Im ersten Schritt dient Ihnen der VDA ISA-Katalog als Vorbereitung für die TISAX®-Prüfung zum Self-Assessment – also der eigenen Überprüfung des Standes der Informationssicherheit in Ihrem Unternehmen. Dafür laden Sie sich den Katalog herunter und füllen ihn gewissenhaft aus. Anhand des Ergebnisses können Sie feststellen, ob und inwieweit Sie „TISAX®-ready“ sind. Im Rahmen unseres gemeinsamen Projektes gehen wir das Self-Assessment gemeinsam mit Ihnen durch und leiten auch direkt Maßnahmen ab. Dies ist ein wichtiger Schritt, der nicht übersprungen werden sollte und im späteren Projektverlauf jede Menge Zeit spart.

Wie ist der ISA KATALOG aufgebaut?

In jedem der drei Tabellenblätter (Informationssicherheit, Prototypenschutz und Datenschutz) finden Sie Controls (bspw. 1.2.1), hinter denen Kontrollfragen stehen. Stellen Sie sich einfach vor, der Prüfer stellt Ihnen im Audit genau diese Fragen.

Die geforderten Antworten finden Sie in den Spalten „Anforderungen (muss)“ und „Anforderungen (sollte)“. In der Spalte „ZIEL“ wird erklärt, warum Sie die abgefragten Voraussetzungen erfüllen müssen.

Mit dem ISA-KATALOG können Unternehmen ein erstes TISAX®-Self-Assessment durchführen.

Bei hohem oder sehr hohem Schutzbedarf ergänzt der Katalog noch weitere Anforderungen.

Reifegrade und Ziele

Nachdem Sie alle drei Inhaltsblätter ausgefüllt haben, finden Sie im Tabellenblatt „ERGEBNISSE“ Ihre Resultate zum Stand der Informationssicherheit in Ihrem Unternehmen.

Diese Ergebnisse Ihres TISAX®-Self-Assessments werden in einem Netzdiagramm dargestellt. Der Zielreifegrad für das Bestehen der TISAX®-Prüfung liegt sowohl für den Gesamtdurchschnitt als auch für die einzelnen Controls bei 3,00. Möglich sind Reifegrade bis 5, alle über den Zielwert von 3,00 hinausgehenden Werte spielen bei der Bewertung jedoch keine Rolle. Die Bewertung Ihrer Maßnahmen, deren Umsetzung und Wirksamkeit erfolgt anhand der Reifegrad-Definitionen im VDA ISA-Katalog.

Ein Netzdiagramm stellt die Ergebnisse für das VDA Information Security Assessment dar. Für die TISAX®-Prüfung gilt ein Mindestwert von 3,00.

Reifegrad 0

Unvollständig

Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, das Ziel zu erreichen.

Reifegrad 1

Durchgeführt

Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt und es existieren Indizien dafür, dass er sein Ziel erreicht.

Reifegrad 2

Gesteuert

Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden.

Reifegrad 3

Etabliert

Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.

Reifegrad 4

Vorhersagbar

Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss. (Key Performance Indicators)

Reifegrad 5

Optimierend

Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben.

* Quelle: VDA ISA 5.1 DE (frei verfügbar unter obigem Link, der Katalog steht unter Creative Commons 4.0 Lizenz (CC BY SA))

TISAX®-ASSESSMENT, PRÜFZIELE UND LABELS

Das angestrebte Label bestimmt das Prüfziel für das TISAX®-Assessment.

PRÜFZIELE

Das Prüfziel bestimmt die Anforderungen, die Ihr Informationssicherheits-Managementsytem (ISMS) erfüllen muss. Es hängt ausschließlich davon ab, welche Arten von Informationen Sie verarbeiten. Wem die Daten gehören, ist dabei irrelevant – ausschlaggebend ist, dass sie sich in Ihrem Besitz befinden.

Das TISAX®-Label ist die formelle Bestätigung, dass Sie ein Prüfziel bestanden haben. Beispiel: Ihr Kunde fordert das Label „Informationen mit hohem Schutzbedarf“ – dann legen Sie als Prüfziel „Informationen mit hohem Schutzbedarf“ für Ihre TISAX®-Prüfung fest.

 

Die acht verschiedenen Prüfziele für das TISAX®-Assessment

Die nach VDA ISA 5 aktuell gültige Übersicht der Kriterien und Schutzbedarfe haben wir nachfolgend mit den Prüfzielen und Erklärungen der ENX für Sie verknüpft dargestellt:

DIE VERSCHIEDENEN

 

TISAX®-ASSESSMENT-LEVEL

Je höher der Schutzbedarf, desto mehr ist Ihr Partner daran interessiert, sich zu vergewissern, dass seine Informationen bei Ihnen in sicheren Händen sind. TISAX® unterscheidet daher drei „Assessment-Level“ (AL).

Der TISAX®-Assessment-Level definiert die Tiefe, bis zu der die Prüfdienstleister in der Prüfung gehen und welche Prüfmethoden sie anwenden müssen. Einfach ausgedrückt bedeutet dies, dass ein höherer Assessment-Level zu einer höheren Prüfintensität und dem Einsatz weitergehender Prüfmethoden führt.

 

Die drei TISAX®-Assessment-Level

KOSTEN FÜR TISAX®

Hier erfahren Sie transparent und detailliert, was die Einführung von TISAX® kosten wird.

Damit Sie eine realistische Vorstellung von den Kosten für ein TISAX®-Assessment bekommen, haben wir in unseren Referenzprojekten konkrete Beträge ergänzt:

FÖRDERUNGEN

So können Sie Ihre TISAX®-Einführung fördern lassen und Kosten senken

Fördermöglichkeiten

Es gibt eine Vielzahl von möglichen staatlichen Förderungen zur Erhöhung der Informationssicherheit in Ihrem Unternehmen. EU- und Bundesmittel sind bundesweit abrufbar, Landesmittel variieren in Abhängigkeit von den Förderprogrammen im jeweiligen Bundesland.

Vor dem Start Ihres TISAX®-Projektes sollten Sie unbedingt prüfen, welche Fördermöglichkeiten Ihnen offen stehen. Denn mit Fördergeldern können Sie die Kosten des Projektes maßgeblich reduzieren. Gerne unterstützen wir Sie bei der Auswahl geeigneter Förderprogramme und übernehmen für Sie die Antragstellung.

Fördermittel der LänDer

Es gibt keine zentrale Übersicht der Fördermittel aller Bundesländer in Hinblick auf ein TISAX®-Assessment. Das Institut für Digitale Transformation hat eine sehr gute Zusammenfassung aktueller Förderprogramme erstellt, auf die wir hier gerne verweisen möchten:

https://transformation-it.de/foerderprogramme-digitalisierungsprojekten-durch-die-bundeslaender/

[Externer Link; wir übernehmen keine Haftung für deren Vollständigkeit oder Richtigkeit]

FÖRDermittel des Bundes

Auf Bundesebene ist das überarbeitete Programm „Digital jetzt – Investitionsförderungen für KMU“ das wohl zweckmäßigste Förderprogramm für Ihr TISAX®-Projekt und das TISAX®-Assessment.

Abhängig von Ihren Voraussetzungen können Sie zwischen 40 und 70 % der gesamten Projektkosten als einmaligen Projektzuschuss vom BMWi erhalten. Der maximale Förderbetrag liegt bei 50.000 EUR, bei abhängigen Unternehmensgruppen bei 100.000 EUR.

Informationen darüber, ob und wie TISAX® in Ihrem Unternehmen gefördert werden kann, entnehmen Sie bitte der offiziellen Projektseite des BMWi. Die korrespondierende Richtlinie haben wir Ihnen hier verlinkt. [Externe Links] 

Selbstverständlich unterstützen wir Sie bei der Antragstellung, fertigen für Sie den Digitalisierungsplan an und begleiten Sie beim Beantragungsprozess.

Verrechnung mit Ihrem Kunden

Sie werden sich bei der Überschrift sicher fragen, wie wir auf diese Idee kommen – mein Kunde soll für meine TISAX®-Zertifizierung bezahlen?

Die klare Antwort lautet: JA!

TISAX® wurde von den OEM der Automobilindustrie ins Leben gerufen. Mit einem TISAX®-Assessment sicherstellen, dass ihre Lieferanten und Dienstleister ein einheitlich hohes Niveau in der Informationssicherheit garantieren können. Daher finden wir es keineswegs abwegig, dass Ihre Kunden sich daran beteiligen.

So wurden in einigen Fällen Einmalzahlungen vom OEM an den Lieferanten zur Kompensation der Aufwände vereinbart. Alternativ konnten einige unserer Kunden die entstandenen Kosten für TISAX® über eine definierte Zeit (meist 1 bis 3 Jahre) auf ihre Verkaufspreise umlegen.

In Einzelfällen wurden wir direkt vom OEM beauftragt, den Lieferanten im TISAX®-Prozess zu unterstützen. Hier wurden unsere Kosten, wie auch die des Prüfdienstleisters, vom OEM getragen. Allerdings handelte es sich hier um zeitlich hochkritische Fälle („von 0 auf 100“ in unter 3 Monaten) mit Strategic Key Suppliers des jeweiligen OEM.

Auf dem Weg zum TISAX®-Label unterstützen wir Sie natürlich ebenfalls! Es reicht nicht aus, nur die Prüfung zu bestehen. Wir glauben, dass eine echte Steigerung der Informationssicherheit nur durch eine dauerhafte und bewusste Implementierung des ISMS erreicht werden kann. Und das ist es, was Ihr Kunde letztendlich von Ihrer TISAX®-Zertifizierung verlangt: sich auf Ihre Informationssicherheitsstandards verlassen zu können. Mehr zur Zertifizierung finden Sie hier.

Wir erstellen zu Beginn den Projektplan und legen fest, welche Bereiche, Prozesse und Systeme geprüft werden müssen. Außerdem bewerten wir die bestehende Informationssicherheit in Ihrem Unternehmen. Wir finden dadurch sämtliche Lücken und wissen besser, was zu tun ist. Die Maßnahmen werden entwickelt und umgesetzt, um jene Lücken zu schließen. Ihre Mitarbeiter schulen wir abschließend, um die organisatorischen und personellen Maßnahmen in der Belegschaft zu verankern. Zu guter Letzt führt ein akkreditierter Prüfdienstleister die Prüfung durch und vergibt TISAX®-Label.

Wir empfehlen Ihnen unbedingt, im Falle einer verpflichtenden TISAX®-Umsetzung bei Ihrem Kunden eine entsprechende Unterstützung einzufordern.

ISO 27001 VS. TISAX®

Wir bringen Sie auch durch die ISO 27001 – gemeinsam mit TISAX® ist dies sehr effizient.

ISO/IEC 27001 und TISAX® sind gar nicht so verschieden

Beide Normen bzw. Regelwerke unterscheiden sich nicht sehr in ihrem Inhalt oder ihrer Form. Die Ziele der ISO/IEC 27001 und TISAX® decken sich im Wesentlichen und haben ihren gemeinsamen Nenner in der Verbesserung der Informationssicherheit.

Die inhaltliche Basis für die Kategorie „Informationssicherheit“ in TISAX® bildet genau die ISO/IEC 27001.

In der Dokumentation des ISMS sind die Unterschiede marginal. Wir verbinden bei Doppelprüfungen beide Standards in einem ISMS. Die ISO/IEC 27001 unterscheidet sich lediglich im Aufbau und in einigen Details.

TIPP: Wenn Sie Kunden außerhalb der Automotive-Industrie haben, bietet sich die Doppelprüfung an. Der Mehraufwand für die Erweiterung von TISAX® zu ISO/IEC 27001 ist nicht sehr hoch.

Bei der ISO/IEC 27001 ist unserer Erfahrung nach ein tiefergehender Blick in die Umsetzung der Prozesse zu werfen. Gerade weil die Prüfung hier wesentlich umfangreicher und detaillierter ist. Weiterhin sind Sie bei der ISO/IEC 27001 nicht vor zusätzlichen Kundenaudits gefeit wie bei TISAX®. 

Die größten Unterschiede finden sich im Ablauf und den Rahmenbedingungen der Prüfung bzw. des Audits:

TISAX ISO/IEC 27001
Wie wird geprüft? Erfüllung der Anforderungen und Bewertung nach Reifegrad der Controls wird betrachtet Erfüllung (ja/nein) der Controls wird betrachtet.
Dauer der Prüfung

Assessment-Level (und Scope-Größe) definiert Umfang.

 

Ein Standort Assessment-Level 3 z.B.: ca. 2-3 Tage vor Ort

 

Assessment-Level 2: Nach Dokumentenprüfung erfolgt virtuelles Closing Meeting mit einer Dauer von 3-6 Stunden.

Abhängig von Scope-Größe:

Ein Standort z.B. 4-5 Tage mit 1 Tage vorab und 3-4 Tage Prüfung vor Ort

Wer wird geprüft?

Es wird mit Hauptverantwortlichen im Interview gesprochen.

Bei Ortsbegehung können ggf. Mitarbeiter zu allgemeinen Themen angesprochen werden.

Neben Hauptverantwortlichen können auch Mitarbeiter befragt werden.
Was wird geprüft? Es wird die ISMS Dokumentation mit Erbringung von Nachweisen für Umsetzung geprüft.

Es wird die ISMS Dokumentation mit

detaillierter Einsicht in deren Umsetzung geprüft.

Zeitraum für Maßnahmenumsetzung bei Abweichungen in der Erstprüfung drei Monate nach Erstprüfung und mit triftigen Gründen bis maximal neun Monate max. drei Monate nach Prüfung
Zeitraum Prüfungswiederholung Nach drei Jahren Nach  einem Jahr

KOSTENLOSER QUICK-CHECK ZU TISAX®

Mit diesem Check erfahren Sie, wie Ihr Unternehmen im Bereich der Informationssicherheit gegen Bedrohungen von außen und innen aktuell aufgestellt ist.

Willkommen beim Abakus Quick-Check nach VDA ISA und TISAX®

Es ist schön, dass Sie sich für unseren kostenlosen Quick-Check entschieden haben, um zu erfahren, ob und wie wichtig ein TISAX®-Assessment in Ihrem Fall ist. Wie bedeutend die Überprüfung der unternehmensinternen Informationssicherheit ist, beweisen folgende Zahlen:

2019 wurden 61 % aller Unternehmen in Deutschland mit Cyberangriffen konfrontiert. Der Gesamtschaden für das Jahr wurde auf 51 Mrd. Euro beziffert. Neben den finanziellen Auswirkungen sind vor allem die Reputationsschäden durch die Meldepflicht bei Kunden und Behörden ein großes Problem. Um diese Gefahren abzuwehren, haben wir im Abakus Information Security Lab umfangreiche Prozesse und Methoden entwickelt, mit denen Ihr Schutz umfassend sichergestellt werden kann. Mit TISAX® zeigen Sie nach außen, dass Sie abgesichert sind.

20 Leitfragen zur Informationssicherheit

Werden Software und IT-Systeme regelmäßig auf Schwachstellen überprüft und diese behoben?

Werden mobile Endgeräte (Laptops, Smartphones) mit einem Mobile Device Management (MDM) verwaltet?

Werden regelmäßig Daten und Systemkonfigurationen in einem Backup gesichert?

Werden sichere Authentifizierungsverfahren, wie 2-Faktor-Authentifizierung und durch Passwortmanager unterstützte starke Passwörter, umgesetzt?

Ist die IT-Security ein essentieller Bestandteil der Aufgaben der IT-Abteilung?

Wird ein Konzept für die physische Sicherheit mit eingeschränktem Zutrittssystem, Maßnahmen zum Einbruchschutz oder ggf. mit Alarm oder Videoüberwachung definiert und umgesetzt?

Ist der Zugang zu IT-Systemen und der Zugriff auf Informationen für alle internen und externen Beteiligten auf ein notwendiges Minimum begrenzt?

Ist die Verwendung von Cloud-Diensten geregelt und erfolgt deren Nutzung nach Bewertung und Freigabe?

Werden alle Mitarbeiter zur Einhaltung der Informationssicherheit verpflichtet, insbesondere zur Geheimhaltung?

Hat die Mehrzahl der Nutzer keine lokalen Administrationsrechte auf ihren Systemen (PCs oder Laptops)?

Wird die Informationssicherheit in der Softwareentwicklung berücksichtigt?

Ist das Unternehmensnetzwerk segmentiert, z.B. Trennung von Gastzugängen, Trennung von Fachbereichen oder Trennung von spezifischen Systemen in unterschiedliche Netzwerksegmente?

Ist der Schutz von personenbezogenen Daten entsprechend den gesetzlichen Anforderungen, z.B. DSGVO, sichergestellt?

Sind Notfallpläne für Ausnahmesituationen (z. B. Naturkatastrophen, physische Angriffe, Cyber-Angriffe, gesellschaftliche Ausnahmesituationen, Unfälle oder Infrastrukturausfälle mit erheblichen Auswirkungen) definiert?

Werden Änderungen an IT-Systemen, z.B. Beschaffung neuer Hard- und Software oder Freigabe von Cloud-Diensten, dokumentiert und gesteuert (z.B. mit einem Ticket-System)?

Sind Informationsträger, wie IT-Dienste/Services und IT-Systeme inventarisiert (Assetmanagement)?

Werden Risiken mit Auswirkung auf die Informationssicherheit dokumentiert und gemanagt?

Werden Mitarbeiter über die Risiken beim Umgang mit Informationen geschult und sensibilisiert?

Werden Ereignisse, die die Informationssicherheit gefährden, systematisch gemeldet, erfasst und gemanagt?

Werden Projekte (intern und extern) bezüglich der Anforderungen an die Informationssicherheit bewertet?

Zustimmung zur Verarbeitung Ihrer Daten nach DSGVO

2 + 12 =

*Sämtliche von Ihnen in der Online-Befragung gemachten Angaben werden vertraulich und unter Einhaltung der gesetzlichen Datenschutzbestimmungen gemäß der europäischen Datenschutzgrundverordnung (DSGV) behandelt. Die Antworten im Fragebogen werden ausschließlich im Rahmen der Evaluation Ihres Standes der Informationssicherheit verwendet. Personenbezogene Daten werden nicht an Dritte und an der Untersuchung nicht beteiligte Personen bzw. Institutionen weitergegeben. Die Teilnahme an der Befragung ist selbstverständlich freiwillig und anonym. Bitte beantworten Sie die Fragen ehrlich, es gibt keine falschen Antworten. Aus Gründen der leichteren Lesbarkeit wird auf eine geschlechtsspezifische Differenzierung, wie z. B. Teilnehmer/Innen, verzichtet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung für beide Geschlechter.  

Informations-sicherheit ist
unsere leidenschaft

Informationen sind Gold wert. Das Wissen vor allem Angreifer, die es auf Ihr Unternehmen, Ihre Daten und Ihr Know-how abgesehen haben. 

Mit wenigen und teils einfachen Handgriffen lässt sich das Risiko des Informationsverlusts minimieren. Ein TISAX®-Assessment bietet eine fundierte Einschätzung Ihres Sicherheitsniveaus – und mit einem entsprechenden Label sind sowohl Sie als auch Ihre Kunden garantiert auf der sicheren Seite.

Genug über TISAX® gelesen?

wir rufen Sie

zurück!

“Wir arbeiten mit geheimen Daten von Prototypen-Fahrzeugen. Durch TISAX kann ich mir sicher sein, dass diese Informationen nun geschützt sind.”

Oliver K., CEO einer mittelständischen Kommunikationsagentur

"Mit der Einführung von TISAX haben wir einen Anschub für unsere Automotive-Projekte erlebt. Das ist nun Teil unserer USP und Thema in jeder Verhandlung. "

Maren B., Vertriebsmitarbeiterin eines mittleren Tier-1 in der Spritzgusstechnik

"Abakus hat uns flexibel mit viel Know-How schnell helfen können, nachdem wir von unserem Kunden unter Druck gesetzt wurden."

Alexander M., Director Sales bei einem Profilhersteller

"Die Einführung von TISAX war den Aufwand und die Kosten wert."

Andreas P., IT-Leiter eines mittelständischen e-Learninganbieters

Genug über Tisax® gelesen?

WIR RUFEN SIE

ZURÜCK!

Oder machen Sie gleich unseren kostenlosen Quick-Check zu
VDA ISA und TISAX®:

Hier sind wir

Abakus Management &
Consulting GmbH
Plieninger Str. 44
70567 Stuttgart

Telefon

+49 711 715 300 21