IN WENIGEN SCHRITTEN BEREIT FÜR DIE ZERTIFIZIERUNG NACH TISAX^®*

Der Verband Deutscher Automobilindustrie hat einen Prüfkatalog für eine branchenspezifische Informationssicherheitsrichtlinie zusammengestellt, welche auf den Standards der ISO 27001 basieren und für den Automobilbereich erweitert/spezifiziert wurden. Die Prüfziele können dem VDA-ISA Katalog entnommen werden. Grundsätzlich werden für die Zertifizierung nach TISAX^®*, die Informationsrichtlinien, Arbeitsanweisungen, Prozesse und Dokumentationen auf ihr Vorhandensein sowie Normkonformität geprüft und bei Bedarf angepasst. Die Prüfziele hängen von dem zu erreichenden Assessment Level ab.

Durch die Bearbeitung des Self-Assessments kann der eigene Reifegrad zur Erfüllung der Anforderungen zur TISAX^®*-Zertifizierung ermittelt werden. Anhand des ermittelten Reifegrades können die Vorbereitungen und der Projektplan für die Herstellung der Prüfungsreife zur Zertifizierung nach TISAX^®* abgeleitet werden.

Die Kosten für die Etablierung einer Zertifizierung nach TISAX^®* variieren abhängig von folgenden Faktoren:

• dem eigenen Reifegrad
• der Unternehmensgröße
• dem Assessment Level
In jedem Fall tragen Sie die Kosten für die Anmeldung an der ENX-Plattform, sowie für die Auditierung durch einen offiziellen Prüfdienstleister.

WUSSTEN SIE SCHON? Oft folgt auf die selbstständige Bearbeitung die Ausbildung von internen Mitarbeitern zu Informationssicherheitsfachleuten, welche langwierig, teuer und komplex ist. Trotzdem fehlt oft die Fähigkeit zur geeigneten Interpretation der Normen aufgrund fehlender praktischer Erfahrung. Hierbei ist es sinnvoll, sich vor einer internen Lösung mit Informationssicherheits-Experten auszutauschen und beide Lösungen, die interne Bearbeitung und externe Vergabe, miteinander vergleichen zu können, sofern Sie zeitnah eine Umsetzung der TISAX^®* benötigen. Eine dauerhafte Versorgung der Informationssicherheit kann ebenfalls durch die Stellung eines externen Informationssicherheitsbeauftragten gewährleistet werden. Alle Informationen finden Sie hier.

Die Zertifizierung nach TISAX^®*, das TISAX^®*-Label, können Sie nur durch offizielle Prüfdienstleister, die durch die ENX freigegeben sind, erhalten. Die DOS ist in der Lage, Sie auf die notwendigen Standards vorzubereiten und Sie in die bestmögliche Ausgangssituation zu bringen, damit Sie die Auditierung erfolgreich durchlaufen. Dabei begleiten wir Sie von der GAP Analyse, dem Projektplan über die Erstellung von Dokumenten bis zur erfolgreichen Zertifizierung nach TISAX^®*. Die Vorbereitung verläuft dabei immer nach demselben Schema.

1) GAP Analyse
2) SOA (Statement of Applicability)
3) Projektplan
4) Maßnahmen
5) Anmeldung ENX und Wahl des Prüfdienstleisters
6) Offizielles TISAX^®*-Assessment
7) Nachbesserung/Label

Unterschiede in der Vorbereitung entstehen in Abhängigkeit Ihres eigenen Reifegrades (ISO 9001, ISO 27001 o. ä. bereits vorhanden) sowie dem zu erreichenden Assessment Level. Die TISAX^®* unterscheidet drei Assessment Level, die unterschiedliche Grade der Informationssicherheitsrichtlinien und Datenschutzvorrichtungen fordern. Das TISAX^®*-Assessment Level 3 bildet die höchste Stufe und ist erforderlich, sollte Ihr Unternehmen besonders sensible Informationen, z. B. im Bereich Prototypen, bearbeiten.

Sollte Ihr Unternehmen noch keine Zertifizierung im Bereich der Informationssicherheit vorweisen und darüber hinaus nicht die notwendige Expertise in Form eines externen Informationssicherheitsbeauftragten haben, empfiehlt sich die Konsultation eines TISAX^®*-Experten. Dieser sorgt für das notwendige Setup eines Informationssicherheitsmanagementsystems (ISMS), welches die Anforderungen an die TISAX^®* spiegelt. Der Anforderungskatalog weist immer wieder ein gewisses Maß an Interpretationsspielraum zur Umsetzung der Norm auf. Gerade die Prozesse der Informationssicherheit haben besonderen Mehrwert, wenn diese auch durch Ihr Unternehmen nach dem offiziellen Audit gelebt werden können. Ein Experte der DOS kennt die Anforderungen zur TISAX^®* und ist in der Lage, ein TISAX^®* konformes ISMS für Ihr Unternehmen zu entwickeln.

Darüber hinaus können Sie sich während der Bearbeitung darauf konzentrieren, Ihre Kernkompetenzen zu verfolgen. Ein strukturierter Projektplan auf Basis vieler Auditvorbereitungen sorgt ebenfalls für eine termintreue Umsetzung Ihrer Zertifizierung nach TISAX^®*. Darüber hinaus sorgt die professionelle Bearbeitung für eine sinnvollere Ressourcenauslastung. Kurzum, Sie erfüllen gesichert die Anforderungen. Sie verwenden nicht die eigenen Ressourcen, um sich in ein neues, vermutlich sogar fremdes Themengebiet einarbeiten zu müssen. Sie vermeiden Kosten für teure Qualifikationen der eigenen Mitarbeiter.

Das Assessment zur TISAX^®* kann nur ein offiziell über die ENX-Plattform beauftragter Prüfdienstleister abnehmen. Alle anderen Unternehmen können Sie ausschließlich auf die Rahmenbedingungen für eine erfolgreiche Prüfung vorbereiten. Eine Liste der offiziellen Prüfdienstleister finden Sie unter: portal.enx.com

Nach der erfolgreichen Auditierung muss das TISAX^®*-Label nach 3 Jahren rezertifiziert werden. Aus diesem Grund empfiehlt es sich, sein Informationssicherheitssystem kontinuierlich zu pflegen und frühzeitig auf Änderungen im VDA-ISA Katalog zu reagieren. So werden aufwändige Maßnahmen zur Rezertifizierung vermieden.

Grundsätzlich ist die Zertifizierung nach TISAX^®* eine branchenspezifische Erweiterung der ISO 27001, um auf spezifische Anforderungen der Automobilindustrie reagieren zu können. Mit einer Zertifizierung nach der ISO 27001 können Sie nach derzeitigem Stand keine Zertifizierung nach TISAX^®* ersetzen, haben jedoch den Vorteil, sehr schnell den Labelungsprozess starten zu können, da ein Großteil der Normforderungen bereits umgesetzt sind.

Es existieren unterschiedliche Herangehensweisen, um eine Zertifizierung nach TISAX^®* zu erreichen. Den kritischen Absprungpunkt signalisiert aber in jedem Fall eine genaue GAP Analyse des Unternehmens gegen die Normforderungen der VDA-ISA. Dort ist es sinnvoll, ungeachtet der Tatsache, ob Sie in Eigenleistung arbeiten wollen oder sich ein TISAX^®* fähiges Informationssicherheitsmanagementsystem (ISMS) erarbeiten lassen, ein professionelles GAP Audit von einem externen Experten durchführen zu lassen. Dieser ermöglicht Ihnen den besten Start in die Vorbereitungen zur Zertifizierung nach TISAX^®*. In der Regel werden Sie viel Zeit in die Erstellung von Dokumenten und Prozessen investieren, die Sie bei Bedarf aus vorgefertigten Prozessschablonen übernehmen können. Die Experten der DOS können Sie auf Ihrem individuellen Weg begleiten und mit Ihnen das TISAX^®*-Label erreichen. Sprechen Sie uns an, mit welchen modularen Leistungen wir Sie unterstützen können.