ISO 27001 vs. TISAX
Wir bringen Sie auch durch die ISO 27001 – gemeinsam mit TISAX ist dies sehr effizient.
ISO/IEC 27001 und TISAX® sind gar nicht so verschieden
Beide Normen bzw. Regelwerke unterscheiden sich nicht sehr in ihrem Inhalt oder ihrer Form. Die Ziele der ISO/IEC 27001 und TISAX® decken sich im Wesentlichen und haben ihren gemeinsamen Nenner in der Verbesserung der Informationssicherheit.
Die inhaltliche Basis für die Kategorie „Informationssicherheit“ in TISAX® bildet genau die ISO/IEC 27001.
In der Dokumentation des ISMS sind die Unterschiede marginal. Wir verbinden bei Doppelprüfungen beide Standards in einem ISMS. Die ISO/IEC 27001 unterscheidet sich lediglich im Aufbau und in einigen Details.
TIPP: Wenn Sie Kunden außerhalb der Automotive-Industrie haben, bietet sich die Doppelprüfung an. Der Mehraufwand für die Erweiterung von TISAX® zu ISO/IEC 27001 ist nicht sehr hoch.
Bei der ISO/IEC 27001 ist unserer Erfahrung nach ein tiefergehender Blick in die Umsetzung der Prozesse zu werfen. Gerade weil die Prüfung hier wesentlich umfangreicher und detaillierter ist. Weiterhin sind Sie bei der ISO/IEC 27001 nicht vor zusätzlichen Kundenaudits „sicher“ wie bei TISAX®.
Die größten Unterschiede finden sich im Ablauf und den Rahmenbedingungen der Prüfung bzw. des Audits:
| TISAX | ISO/IEC 27001 | |
| Wie wird geprüft? | Erfüllung der Anforderungen und Bewertung nach Reifegrad der Controls wird betrachtet | Erfüllung (ja/nein) der Controls wird betrachtet. |
| Dauer der Prüfung |
Assessment-Level (und Scope-Größe) definiert Umfang.
Ein Standort Assessment-Level 3 z.B.: ca. 2-3 Tage vor Ort
Assessment-Level 2: Nach Dokumentenprüfung erfolgt virtuelles Closing Meeting mit einer Dauer von 3-6 Stunden. |
Abhängig von Scope-Größe: Ein Standort z.B. 4-5 Tage mit 1 Tage vorab und 3-4 Tage Prüfung vor Ort |
| Wer wird geprüft? |
Es wird mit Hauptverantwortlichen im Interview gesprochen. Bei Ortsbegehung können ggf. Mitarbeiter zu allgemeinen Themen angesprochen werden. |
Neben Hauptverantwortlichen können auch Mitarbeiter befragt werden. |
| Was wird geprüft? | Es wird die ISMS Dokumentation mit Erbringung von Nachweisen für Umsetzung geprüft. |
Es wird die ISMS Dokumentation mit detaillierter Einsicht in deren Umsetzung geprüft. |
| Zeitraum für Maßnahmenumsetzung bei Abweichungen in der Erstprüfung | drei Monate nach Erstprüfung und mit triftigen Gründen bis maximal neun Monate | max. drei Monate nach Prüfung |
| Zeitraum Prüfungswiederholung | Nach drei Jahren | Nach einem Jahr |
Genug über TISAX® gelesen?
wir rufen Sie zurück!
Oder machen Sie gleich unseren kostenlosen Quick-Check zu
VDA ISA und TISAX®:
Hier sind wir
Abakus Management &
Consulting GmbH
Plieninger Str. 44
70567 Stuttgart
Telefon
+49 711 715 300 21