Firmen im Artikel
Das Projekt TISAX wurde 2017 von der Automobilindustrie initiiert. Als Prüf- und Austauschverfahren ermöglicht es der Branche, den Reifegrad der Informationssicherheit bei potentiellen Partnern zu prüfen, um über die Supply Chain hinweg die Einhaltung von Mindeststandards zu gewährleisten. Das TISAX-Assessment erfolgt dabei anhand eines am ISA-Prüfkatalog (Information Security Assessment) des VDA angelehnten und an ISO 27001 ausgerichteten Fragebogens. Für die Umsetzung von TISAX zeichnet mit der ENX Association ein Zusammenschluss europäischer Automobilhersteller, Zulieferer und nationaler Automobilverbände verantwortlich.
Art und Umfang des TISAX-Assessments
Der genaue Ablauf und Umfang des TISAX-Assessments richtet sich nach dem konkreten Schutzbedarf der schützenswerten Informationen. Darauf aufsetzend unterscheidet die ENX Association drei Assessment-Level:
- · Level 1 ist für normale Schutzanforderungen gedacht und wird in Form einer Selbstauskunft durchgeführt.
- · Level 2 richtet sich an Zulieferer und Dienstleister mit hohen Schutzanforderungen und umfasst zusätzlich zur Selbstauskunft auch eine remote durchgeführte erweiterte Aktenprüfung und ein Interview mit dem Informationssicherheitsbeauftragten.
- · Bei Level 3 ist eine Vor-Ort-Prüfung zwingend vorgesehen – inklusive Experteninterviews und der Begehung relevanter Bereiche und Räumlichkeiten.
Folgende sieben Schritte helfen Unternehmen, sich optimal auf die TISAX-Prüfung vorzubereiten:
Schritt 1: Machen Sie sich mit dem TISAX-Standard vertraut
Um die Weichen für ein erfolgreiches Assessment zu stellen, sollte sich das Projektteam detailliert mit dem frei verfügbaren TISAX-Teilnehmerhandbuch der ENX vertraut machen. Es vermittelt einen guten Überblick über das Regelwerk und seine Anforderungen. Des Weiteren stellt der VDA auf seinen Webseiten den ISA-Prüfkatalog bereit, der veranschaulicht, welche konkreten Maßnahmen von Ihnen umgesetzt werden müssen.
Schritt 2: Schaffen Sie die Basis für Ihr weiteres Vorgehen
Verschaffen Sie sich eine fundierte Basis über alle vertraglich vereinbarten, gesetzlich vorgegebenen und intern gewünschten Regelungen rund um die Informationssicherheit. Leiten Sie aus dieser Basis ab, welche konkreten TISAX-Anforderungen Sie derzeit noch nicht erfüllen. Dieses Delta sollten Sie systematisch bearbeiten und unternehmensweit so konsolidieren, dass ein Maßnahmenkatalog zur Implementierung von TISAX entsteht, den Sie sukzessive abarbeiten.
Schritt 3: Beziehen Sie alle Stakeholder mit ein
Informationssicherheit ist keine reine IT-Aufgabe. Unternehmen sind daher gut beraten, Stakeholder aus allen Hierarchieebenen und Fachbereichen des Unternehmens hinzuzuziehen.
Schritt 4: Vergeben Sie klare Rollen
Weisen Sie den Beteiligten klare Rollen und Verantwortlichkeiten zu: So muss beispielsweise die Geschäftsführung für die Umsetzung der TISAX-Anforderungen benötigte Mittel freigeben und das Projekt aktiv mitgestalten. Die Beauftragten für Managementsysteme, Datenschutz, Compliance und IT-Security werden das Projekt gemeinsam verantworten und vorantreiben, und die Fachabteilungen bei der Klassifizierung und Erfassung der Informationen im Unternehmen mithelfen – und alle Mitarbeiter gemeinsam ihr Bewusstsein für die Notwendigkeit der Informationssicherheit schärfen.
Schritt 5: Binden Sie Ihre Lieferanten mit ein
Nicht vergessen: Die TISAX-Anforderungen beziehen explizit auch Tier-2-Zulieferer und andere beteiligte Unternehmen in den Schutz der Informationswerte ein. Daher müssen auch Lieferanten je nach Risikoabschätzung in die Maßnahmen eingebunden werden.
Schritt 6: Definieren Sie den Geltungsbereich
TISAX ermöglicht Assessments auf der Grundlage dreier Scopes: Erweitert, Standard und Reduziert. Um Interpretationsspielräume zu vermeiden, präferieren die ENX und die meisten Hersteller den branchenweit vergleichbaren Standard-Scope – daher ist dieser in den meisten Szenarien für Sie empfehlenswert.
Schritt 7: Entscheiden Sie über Ihr Zertifizierungslevel
Wie erwähnt, kann das TISAX-Assessment in drei Stufen erfolgen. Die Entscheidung, welche davon angemessen ist, hängt maßgeblich vom individuellen Schutzbedarf ab. Ziehen Sie bei der Entscheidung daher frühzeitig Ihre wichtigsten Kunden hinzu. Diese haben oftmals ganz konkrete Vorstellungen, welche Stufe ab welchem Zeitpunkt von Ihnen zu erfüllen ist. Die höchste Stufe ist dann geeignet, von anderen Kunden geforderte niedrigere Stufen mit abzudecken. Sind zusätzlich noch besondere TISAX-Prüfmodule zum Prototypenschutz oder Datenschutz gefordert, so kann Sie der Prüfdienstleister DQS in Ihren Detailplanungen unterstützen.
Fazit
Das TISAX-Assessment entwickelt sich zum Branchenstandard der Automobilindustrie – und nur die wenigsten Zulieferer werden sich dem Druck der Hersteller dauerhaft entziehen können. Daher sind die Betriebe gut beraten, das Thema frühzeitig und proaktiv anzugehen. Dazu gehört es neben der sorgsamen internen Planung – bei der angesichts der Tragweite des Themas alle Hierarchieebenen und Fachbereiche einbezogen werden sollten – dazu, rechtzeitig mit einem erfahrenen Audit-Prüfdienstleister wie der DQS zu sprechen. Dort kennt man die Anforderungen der Norm bis ins Detail und hilft den Unternehmen, vom ersten Tag an die Weichen für ein erfolgreiches Assessment zu stellen.
TISAX im Überblick
TISAX (Trusted Information Security Assessment Exchange) ist ein an die Anforderungen des Verbands der Automobilindustrie (VDA) angelehnter Standard für Informationssicherheit. Für die Umsetzung von TISAX zeichnet mit der ENX Association mit Sitz in Frankfurt am Main und Paris ein Zusammenschluss europäischer Automobilhersteller, Zulieferer und nationaler Automobilverbände verantwortlich. Dieser überwacht die Qualität der Durchführung und erteilt Prüfdienstleistern nach einem strengen Verfahren die Zulassung. Die DQS ist bei ENX als zugelassener Prüfdienstleister gelistet und kann weltweit Assessments durchführen.
