Umfassende Informationen & Hilfe zum Datenschutz (DSGVO & BDSG-neu)
erhalten Sie auf unserer Spezialseite
Erfüllt ISO 9001 | ISO 27001 | ISO 22301 | DSGVO Siegel
         ISO 31000 i.V. mit ONR 49001

Wir helfen Ihnen - pragmatisch, kompetent und schnell

Direkt zum Seiteninhalt

TISAX - was ist das?

TISAX®
TISAX - suchen Sie Informationen, Beratung, Lösungen oder Unterstützung zu Umsetzung der Anforderungen des TISAX (Trusted Information Security Assessment Exchange) Prüfverfahren dann sind Sie hier richtig.

Sucht man im Internet nach dem Begriffe "TISAX" stößt man einmal auf TISAX im Zusammenhang mit der größten elektronischen Börse in den USA - der Nasdaq und erfährt dort, dass es sich bei TISAX um einen amerikanischen Börsen Ticker handelt. Also ist die älteste Bezeichnung "TISAX" ein Börsenticker.

Des Weiteren wird einem "TISAX" bei der Internetrecherche im Zusammenhang mit einem neuen Standard der Automobilbranche für Informationssicherheit aufgelistet.

Seit vielen Jahren müssen sich Zulieferer der Automobilindustrie sogenannten "Lieferantenassessment" für Informationssicherheit unterziehen. Das macht sehr viel Aufwand - und beim Wechsel zu einem anderen Automobilhersteller mussten die Assessments oftmals neu - also mehrmals - durchlaufen werden. Diese Assessments beruhten bisher auf dem VDA Information Security Assessment (ISA).

Im Jahr 2000 wurde federführend durch den VDA ein europäischer Verband ENX der Automobilindustrie gegründet.

Seit 2017 ist das Trusted Information Security Assessment Exchange (TISAX) Prüfverfahren von der ENX eingerichtet worden. TISAX® und ENX® sind eingetragene Marken der ENX.  

BMW und VW machen dieses Prüfverfahren zwingend als Aufnahmekriterium für die Lieferantenzulassung, wo die Lieferanten mit sensiblen Daten des OEM arbeiten. Andere Mitglieder des VDA folgen.

Neu ist somit, dass sich ein Lieferant nur noch einmal durch eine Prüfungsorganisation sein "TISAX Level" bestätigen läßt.  Seinen erreichten "TISAX Level" wird auf einer gemeinsamen Plattform hinterlegt und veröffentlicht. Das erreichte "TISAX Level" wird durch alle dem TISAX Verfahren angeschlossenen Unternehmen anerkannt.

Interessant ist, dass TISAX evtl. auch für die Pharmaindustrie und Finanzbranche eingesetzt werden soll. Siemens und Telekom gehen evtl. auch diesen Weg. Die Telekom Cloud besitzt bereits ein TISAX Label als Prüfungsnachweis, Amazon Cloud ebenfalls. Damit unterwirft sich die Cloud Industrie diesem Verfahren. Weitere IT und TK Dienstleister werden bald folgen.

Nach was wird geprüft?

Grundlage für die TISAX-Prüfung sind die VDA Information Security Assessment (VDA-ISA) Prüfkataloge für die 4 Prüfgebiete. Diese sind eng an die Anforderungen von ISO 27001 bzw. ISO 27002 geknüpft - ergänzen diese aber um spezifische Anforderungen im Bereich der Prüfgebiete Information , Anbindung Dritter,  Protoypenschutz, Datenschutz (Auftragsverarbeiter) und legen Messparameter Key Performance Indikatoren (KPI) fest.

Die Prüfkataloge - zusammengefasst in einer Datei - sind hier einsehbar:
 

Was ist das Ziel des TISAX Prüfverfahren
 
Zielsetzung sind Bewertungen in den vier Kategorien bzw. Prüfgebieten (Information, Anbindung Dritter,  Protoypenschutz, Datenschutz) und in den zwei Schutzzielen (hoch und sehr hoch). Als Ergebnis erhält das Unternehmen TISAX-Labels.
Auf Basis dieser Labels kann ein Auftraggeber die Einstufung und Tauglichkeit eines Lieferanten bewerten bzw. dessen Eignung feststellen.

Wann benötigt das Unternehmen ein solches TISAX Label?

Spätestens wenn ein Auftraggeber dies einfordert oder wenn man sich als Lieferant bei einem Unternehmen - das TISAX fordert - als Lieferant registrieren lassen will. Auf einigen Informationsseiten wird dargestellt, dass alle Lieferanten nun TISAX Labels zur Lieferantenlistung benötigen. Das ist nicht ganz richtig.

Richtig ist, arbeitet ein Lieferant mit senisiblen Daten des OEM, dann wird er die Sicherheit der Daten des OEM nachweisen müssen. Derzeit befinden sich in den Einkaufsbedingungen der OEM die Forderung nach Zertifikaten wie ISO27001 oder TISAX.

So findet man zum Beispiel bei BMW in den Einkaufsbedingungen folgende Festlegung:

(17.3) Je  nach  Art  und  Schutzbedarf  der  betreffenden  Daten des  Käufers oder  der  Bedeutung  der Warenlieferungendes Verkäufers für den Geschäftsbetrieb der BMW Group kann der Käufer vom Verkäuferein angemessenes Maß an Sicherungsmaßnahmen sowie einen von BMW vorgegebenen Nachweis  über  ein  angemessenes  Informationssicherheitsniveau  im  Betrieb  des Verkäufersverlangen, insbesondere durch Vorlage geeigneter Zertifikate (z.B. ISO/IEC 27001 „Informationstechnik-IT-Sicherheitsverfahren-Informationssicherheits-ManagementsystemeAnforderungen“) oder einer Testierung nach dem VDA-Modell „TISAX“ („Trusted Information Security Assessment Exchange“). Die  Parteien  können  für  die  erstmalige  Testierung eines Standorts nach „TISAX“ eine angemessene Frist vereinbaren.

Quelle: veröffentlicht von BMW als BMW GroupInternationale Einkaufsbedingungenfür Produktionsmaterial und Kraftfahrzeugteile(IPC) Stand 31.3.2018 im Internet unter folgendem Link: https://b2b.bmw.com/documents/14402/7502029/180331_IPC+2018_DE_clean.pdf/9961a9c3-79b4-6c8e-4457-36852ebc2d97

Strategisch kann man davon ausgehen, dass zukünftig die OEM ausschließlich TISAX verlangen werden. Hierfür wurde das TISAX Prüfungsverfahren von den VDA Mitgliedern ins Leben gerufen. Aktuell werden bereits viele Lieferanten mit der Verabeitung sensibler Daten direkt vom Einkauf oder der Fachabteilung auf die Notwendigkeit von TISAX Labels angesprochen.

Wie läuft das Prüfverfahren (Assessment) ab?

Schritt 1 - ist die Registrierung auf dem TISAX-Portal. Hier sind von dem Unternehmen unterschiedliche Daten einzugeben:

  • Art des Unternehmens (Agentur, Consulting, Entwicklung, Spedition .....) und die Standorte
  • Scope, Prozesse und Systeme
  • Prüfziele - entsprechend den  geforderten Labels. Dabei kann es sich um ein Label mehrere oder auch um alle Labels handeln, die gefordert werden. Ein Unternehmen, das nicht im Prototypenbereich arbeitet, benötigt auch kein Prototypen-Label und muss somit keine Prüfziele diese Prüfkatalogs erfüllen.

Schritt 2 - Self-Assessment nach VDA-ISA durch das Unternehmen durchführen (dies wird zum Audit benötigt).

Für ein Self-Assessment sollte ein Reifegrad von 3-5 vorliegen.
 
Ein Prüfdienstleister darf hierbei nicht unterstützen, denn sonst ist er von der Prüfung ausgeschlossen. Hier benötigen Unternehmen meistens eine externe Beratung.

Hier kommen wir ins Gespräch - da wir Ihnen bei der TISAX Umsetzung pragmatisch helfen können.

Schritt 4 - Auswahl eines Prüfungsunternehmens

Bei der ENX können sich Prüfungsunternehmen akkreditieren lassen. Das Unternehmen kann eines dieser Prüfunternehmen mit dem Audit beauftragen.

Schritt 5 - Prüfung durch Prüfungsunternehmen

Der Prüfer führt verschiedene Schritte durch:

  • Kick-Off Meeting         
  • Bestandsaufnahme
  • Prüfung (Assessment)
  • Erstellung Assessment Bericht

Bei TISAX erfolgt kein Audit, sondern ein Assessment. Es gibt 3 Assessment-Level (AL). AL1 stellt die Selbstbewertung dar und ist eigentlich für interne Zwecke gedacht. AL2 wird meist über Telefoninterviews durchgeführt. Bei einem Sicherheitsziel "sehr hoch" ist immer das AL3 notwendig. Dieses wird Vor-Ort durchgeführt. Dabei werden die Ergebnisse gründlich überprüft. Sollte das Assessment ergeben, dass das TISAX-Managementsystem noch nicht vollständig konform ist, kann das geprüfte Unternehmen einen Korrekturplan vorlegen. Dieser kann von dem Prüfungsunternehmen anerkannt werden. In diesem Falle können temporäre TISAX-Labels vom Prüfungsunternehmen vergeben werden. Im Nachassessment können zu einem späteren Zeitpunkt diese in permanente Labels umgewandelt werden. Der TISAX Prüfprozess muss in 9 Monaten abgeschlossen sein. Die Laufzeit der TISAX Level beträgt 3 Jahre. Nach 3 Jahren ist der Prüfprozess von Anfang an wieder zu durchlaufen.

Das Assessment Ergebnis wird dann auf der TISAX-Plattform der ENX in Form von TISAX Labels für alle Teilnehmer oder nur ausgewählte Geschäftspartner durch das geprüfte Unternehmen veröffentlicht. Hierbei entscheidet das geprüfte Unternehmen selbst was dokumentiert und veröffentlicht werden soll und kann so die Detailtiefe für die Ansicht für Dritte festgelegen. TISAX wird nicht in einem Zertifikat bestätigt - sondern in TISAX Labels in der Plattform.
T

ISAX TISAX TISAS TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX  ISAX TISAX TISAS TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX
TISAX TISAX TISAS TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAS TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX TISAX
+49 7031 4181 860


CONSUVATION GmbH
Ziegelstraße 20
71063 Sindelfingen
Zurück zum Seiteninhalt