Beratung zum TISAX®*-Assessment
Ihr Weg zur Informationssicherheit mit der BWS Consulting Group
Beratung zum TISAX®*-Assessment - Ihr Weg zur Informationssicherheit
Was ist TISAX®*?
Um einen einheitlichen Standard für Informationssicherheit in der Automobilindustrie zu gewährleisten, wurde 2017 TISAX®* eingeführt. Dieser Standard wird durch einheitliche Prüf- und Austauschmechanismen und einer einheitlichen Anerkennung von Prüfergebnissen in Lieferantenaudits sichergestellt.
TISAX®* ist kein Zertifikat im eigentlichen Sinne, sondern ein Label. Formal findet auch kein Audit statt, sondern ein Assessment. Wir verwenden aufgrund der einfacheren Sprache trotzdem diese Begrifflichkeiten mit Verweis, dass diese eigentlich nicht ganz der offiziellen Benennung entsprechen.
TISAX®* ist eine Online-Plattform zur Registrierung und zum Austausch der Audit Ergebnisse, welche von der ENX® Association betrieben wird. Mit einem TISAX®*-Zertifikat gewährleisten Sie hohe Sicherheitsstandards innerhalb des gesamten Planungs- und Herstellungsprozesses. Mit unserer Beratung zum TISAX®*-Assessment können wir Ihnen bei der Implementierung und Umsetzung behilflich sein.
Wozu brauche ich eine TISAX®*-Zertifizierung?
Wenn Sie als Zulieferer oder Dienstleister in der Automobilindustrie tätig sind und mit sensiblen Daten bzw. Informationen des Kunden arbeiten, benötigen Sie ein TISAX®*-Label. Mit diesem Label weisen Sie nach, dass Ihr Unternehmen über ein Informationssicherheitsmanagementsystem (ISMS) verfügt.
An dieser Stelle kommt der VDA-ISA-Katalog ins Spiel. Dieser Fragebogen beruht in den Grundzügen auf der internationalen Norm ISO/IEC 27001 und dient als Leitfaden für die Errichtung eines ISMS bzw. Erweiterung des bereits vorhandenen. Je nach Assessment-Level ändern sich die Voraussetzungen für die Zertifizierung.
Wie können wir Ihnen beim Erreichen des TISAX®*-Labels helfen?
Der Prozess zu einer TISAX®*-Zertifizierung (TISAX®*-Label) umfasst mehrere Schritte, bei denen wir Ihnen als kompetenter Partner beratend zur Seite stehen. Unsere Dienstleistungen umfassen dabei:
- Unterstützung bei der Registrierung und der Festlegung des Scopes
- Soll-Ist Abgleich durchführen (GAP-Analyse)
- Prüfungsmanagement (Prüfungsvorbereitung abhängig vom Reifegrad und Prüfdienstleisterauswahl)
- Umsetzung bzw. Anpassung eines ISMS nach VDA-ISA
- Herstellung der Auditfähigkeit inkl. VDA-ISA Fragebogen
- Unterstützung des ISB bei der Umsetzung und ggf. beim Betrieb des ISMS
- Stellung eines externen ISB bei Bedarf
Gern können wir Sie auch in einer bereits laufenden Prüfungsvorbereitung bzw. in der Re-Zertifizierung unterstützen. Durch unsere Kundenprojekte und eigene Umsetzung eines ISMS haben wir die nötige Erfahrung, um auch ihr Label erfolgreich abzuschließen.
Beratung zum TISAX®*-Assessment : Aufwände, Anforderungen, Prüfung und Fördermittel
Hier finden Sie häufige Fragen, die uns oft gestellt werden.
?
Grundsätzlich macht ein Nachweis über Ihre Sorgfaltspflicht und Ihren Umgang mit vertraulichen Daten Ihrer Kunden für jeden Sinn. In der Praxis hat die Einführung eines ISMS (wie z.B. TISAX®*) ausschließlich positive Effekte. Sie bekommen einen klaren Überblick über Ihre Prozesse und erkennen mögliche Gefahren früher. TISAX®* ist ein Branchenstandard der Automobilindustrie. Daher ist eine Zertifizierung für jedes Unternehmen vorteilhaft, welches für oder mit der Automobilindustrie arbeitet. Das können Zulieferer, Ingenieurbüros, Hochschulen und Universitäten, Softwareentwickler aber auch Logistik Partner sein.
Gerade im Umfeld von Universitäten, Hochschulen und mit ihnen in Verbindung stehenden Instituten gewinnt ein ISMD nach TISAX®*-Standard immer mehr an Bedeutung. Der Datenaustausch, besonders hinsichtlich Prototypen, werden zwischen Automobilunternehmen und Universitäten immer wichtiger. Damit die Hochschulen und Universitäten forschen können, sollten diese ihre Informationssicherheit, ihre Datenintegrität und ihren Datenschutz nachweisen können. Hierbei hilft ein ISMS nach TISAX®*-Standard ungemein. Der Prüfmechanismus lässt sich anhand des definierten Geltungsbereiches und des standardisierten Prüfprozesses grundsätzlich in jedem Institut einsetzen. Außerdem ist die Umsetzung aufgrund der klar definierten Abläufe einfacher, als die Einführung eines ISMS nach ISO 27001.
Hierbei haben wir als BWS Consulting Group bereits viele Universitäten und Hochschulen und deren Partner erfolgreich bei der Einführung und Umsetzung deutschlandweit unterstützt und betreut. Wir kennen die institutionellen Hürden und Probleme aus der Praxis und können auf viel Erfahrung in diesem Umfeld setzen. Wir stehen dabei stets in engem Austausch mit Ihnen und liefern Ihnen einen genauen Fahrplan. Sie sehen auf den ersten Blick, welche Aufwände auf Sie zukommen, wo welche Bedarfe sind und welche Fallstricke wir vorweg gemeinsam lösen müssen.
Unabhängig von der Beratung zum TISAX®*-Assessment kann die BWS Consulting Group Sie auch außerhalb der Automobilindustrie und ihren Standards im Bereich Informationssicherheit wie z.B. ISO 27001 beraten.
Der Anforderungskatalog für das TISAX®*-Label ist von der internationalen Norm ISO 27001 abgeleitet. Die internationale Norm ISO 27001 konkretisiert die Anforderung von Anforderungen für die Einrichtung, die Umsetzung und die Aufrechterhaltung sowie der fortlaufenden Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems. Ein weiterer wichtiger Bestandteil der ISO 27001 ist die Beurteilung und Behandlung von Informationssicherheitsrisiken. Sie wurde 2005 erstmals veröffentlicht und seit 2008 liegt sie auch in deutscher Sprache vor.
Der VDA und die ENX Association haben die ISO 27001 um weitere Bereiche ergänzt, die für die Automobilindustrie wichtig sind. Dazu gehören beispielsweise die Einbindung von Zulieferern in die eigene IT-Abteilung, der Datenschutz und der Umgang mit sensiblen Daten des Prototypenschutz. Unterschiede zwischen dem ISMS nach TISAX®*-Standard und der ISO 27001 bestehen außerdem im Prüfprozess, der Qualifizierung der empfohlenen Maßnahmen sowie des definierten Geltungsbereiches. Der Geltungsbereich definiert, welche Bereiche des Unternehmens in der Zertifizierung unter die Lupe genommen werden. Bei einem ISMS nach TISAX®*-Standard wird dieser Geltungsbereich (auch Scope genannt) klar festgelegt (Standard-Scope). Bei der Zertifizierung nach ISO 27001 wird dieser Scope vom Unternehmen selbst bestimmt.
Eine genaue und verlässliche Einschätzung der Aufwände für die Beratung zum TISAX®*-Assessment lässt sich ohne tieferen Einblick in Ihre Strukturen und Abläufe nicht zu 100% sagen.
Wir können jedoch die Beratertage und die Umsetzungsdauer in Tagen wie folgt einschätzen:
| Größe des Unternehmens [Mitarbeiter] | Tage durch Berater | Tage internes Personal | Dauer der Umsetzung [Monate] |
|---|---|---|---|
| 25- 250 | ca. 20-60 | ca. 20-60 | ca. 6-12 |
| 251- 5.000 | ca. 80-160 | ca. 20-60 | ca. 10-12 |
Beim Assessment werden alle Prozesse und Abläufe Ihres Unternehmens unter die Lupe genommen. Daher werden wir Geschäftsführung, Personalabteilung, Rechtsabteilung, den Einkauf, das Projektmanagement und besonders ihre IT-Abteilung in dem Projekt einbinden. Über die vollen Umfänge können Sie mit unseren Experten in der Beratung zum TISAX®*-Assessment sprechen. Wir werden Ihren Bedarf optimal ermitteln.
Im VDA-ISA-Prüfungskatalog werden in vier Modulen festgelegt, welche Anforderungen Ihr Unternehmen erfüllen muss, das Label zu erhalten.
- Informationssicherheit
- Anbindung Dritter
- Datenschutz
- Prototypenschutz
Das Hauptmodul Informationssicherheit wird allerdings bei jedem Assessment geprüft. Dieses orientiert sich an den Anforderungen aus ISO 27001, ISO 27002 und ISO 27017 (Anforderungen an Sicherheit in der Cloud). Der gesamte Fragenkatalog bezieht sich auch direkt auf die ISO-Norm. Die Sondermodule Anbindung Dritter, Datenschutz und Prototypenschutz werden nach Bedarf und anhand der ausgewählten Level (2 und 3) geprüft.
Unsere IT-Sicherheitsberater helfen Ihnen bei der Auswahl anhand Ihres Bedarfs gern weiter und können Ihnen eine faktenbasierte Einschätzung zur Sinnhaftigkeit geben.
Welches Assesment-Level für Ihr Unternehmen ausschlaggebend ist, bestimmen Sie selbst. Sie sollten Ihr Assesment-Level von Ihrem Schutzbedarf abhängig machen. Unterschieden wird hierbei unter
- Level 1 Assesment – Schutzbedarf normal
- Level 2 Assesment – Schutzbedarf hoch
- Level 3 Assesment – Schutzbedarf sehr hoch
Das Assessment zum TISAX®*-Label wird durch einen externen Prüfer durchgeführt. Dieser muss unabhängig von uns beauftragt werden. Gern können wir Sie aber bei der Auswahl und der Beauftragung beratend unterstützen.
Nach erfolgreichem Assessment erhalten Sie kein herkömmliches Zertifikat, wie z.B. bei der Absolvierung einer ISO-Zertifizierung. Sie bekommen einen Leitfaden zur Nutzung des „TISAX®* Results Available“ auf Ihrer Homepage. Dies umfasst die Logo-Datei und eine Anleitung. Dieser Mechanismus soll streng vertrauliche Daten über Ihr Unternehmen nur für registrierte Nutzer verfügbar machen.
Unser Team und seine Zertifikate
Unsere Berater aus dem Bereich Informationssicherheit bilden sich kontinuierlich weiter. Damit wollen wir für Sie die beste Qualität zu aktuellen Normen und Standards abliefern. Unsere ISMS-Beratern und Pentestern haben sich folgenden Schulungen und Zertifikaten unterzogen:
Zertifikate und Schulungen:
- Ethical Hacking Foundation
- eJPT – Junior Penetration Tester
- ISO/IEC 27001 Lead Auditor
- ISO/IEC 27001 Lead Implementer
- Kritische Infrastrukturen gem. ISO/IEC 27001 und 27019
- ITSiBe/CISO nach ISO/IEC 27001 und BSI IT-Grundschutz
- EXIN Information Security Foundation based on ISO/IEC 27001
- IT-Risk Manager gemäß ISO 31000, ISO 27005 und BSI IT-Grundschutz
- Business Continuity Manager gemäß ISO 22301, ISO 27031 und BSI IT-Grundschutz
- Kritische Infrastrukturen gem. ISO/IEC 27001 und 27019
- Datenschutzbeauftragter nach DSGVO und BDSG
- Foundation Examination TISAX®*-Assessment
Sie haben noch Fragen?
Nähere Informationen zum Ablauf (z.B. wie hoch der Aufwand für die Einführung ist, Ihre Zeitaufwände im Betrieb u.Ä.) erklärt Ihnen gerne unser Vertriebsexperte Jan Faltin.
* TISAX® ist eine eingetragene Marke der ENX Association. Durch die Erwähnung der Marke TISAX® wird keine Aussage des Markeninhabers über die hier beworbenen Leistungen getroffen.
