YES!!
Wir sind frisch durch die TISAX gekommen und wurden gerade erst erneut zertifiziert.
Achso: Du kennst TISAX nicht?
Dann wollen wir das hier mal erläutern und auch erklären, warum wir das brauchen und warum wir so stolz darauf sind.
Was ist TISAX?
Nun, TISAX steht für TRUSTED INFORMATION SECURITY ASSESSMENT EXCHANGE. Das ist ein Prüf- und Austauschmechanismus für die Informationssicherheit im B2B. Es dient der sicheren Verarbeitung von vertraulichen Informationen, dem Schutz von Prototypen und dem Datenschutz gemäß Datenschutz-Grundverordnung (DSGVO).
Durch diese Zertifizierung wird eine gemeinsame Anerkennung von Prüfergebnissen zwischen den Teilnehmern möglich. TISAX ist vor allem in der Automobilindustrie verbreitet und wird durch den Verband der Automobilindustrie (VDA) definiert und gepflegt.
Der VDA hat TISAX im Jahr 2017 an die Norm ISO/ICE 270001 (Information Security Management System – ISMS) und deren Implementierung angelehnt. Die entsprechenden Prüfungen werden von „TISAX Prüfdienstleistern“ durchgeführt. Die Prüfanforderungen wurden seit der Einführung von TISAX bereits mehrmals überarbeitet. Der Stand 5.0 wurde im Oktober 2020 veröffentlicht.
Kurz gesagt stellt TISAX sicher, dass die damit zertifizierten Unternehmen verantwortungsvoll mit vertraulichen und/oder geheimen Daten umgehen können. Man kann bei einem solchen Unternehmen sicher sein, dass es mit Daten gewissenhaft umzugehen weiß und in der Lage ist sie vernünftig zu schützen.
Die Rollen im TISAX Verfahren
Welche Rollen gibt es denn beim TISAX Verfahren? Wer übernimmt dabei welche Aufgaben?
Wir stellen dir hier mal die wichtigsten Rollen vor.
1. ENX
Die Aufsicht über die TISAX-Organisation führt die ENX Association. Die ENX genehmigt zum Beispiel die Prüfdienstleister, überwacht die Qualität der Umsetzung und auch die Bewertungsergebnisse.
Der Verband der Deutschen Automobilindustrie (VDA) hat für diese Bewertung den VDA-ISA-Katalog erstellt.
2. VDA
Der Verband der Automobilindustrie (VDA) erstellt den Anforderungskatalog VDA Information Security Assessment (VDA ISA). Dieser Anforderungskatalog dient zur Bewertung der Informationssicherheit, der sich auf der internationalen Norm ISO/IEC 27001 stützt.
3. Prüfdienstleister
Der Prüfdienstleister muss von der ENX Association zugelassen sein, um das Audit beim Teilnehmer durchzuführen. Außerdem stellt der Prüfdienstleister dem geprüften Teilnehmer das Bewertungsergebnis zur Verfügung.
4. Teilnehmer
Ein bei TISAX registriertes Unternehmen, welches von einem Prüfdienstleister bewertet wird. Das sind dann z. B. wir, die KST innovations GmbH.
5. Partner
Der Partner ist das Unternehmen, welches das TISAX Zertifikat einfordert, um sicherzustellen, dass ein ausreichender Schutz von vertraulichen Informationen und Daten bei seinen Dienstleistern oder Lieferanten gegeben ist.
Die Stufen der Prüfungen – Level
Die Prüfungen heißen Assessments und können auf drei verschiedenen Leveln durchgeführt werden. Diese Level heißen Assessment Level AL 1 bis AL 3 und orientieren sich am sogenannten Schutzbedarf der Informationssicherheit im zu prüfenden Unternehmen.
1. Assessment Level 1
Das AL1 besteht aus einer Selbsteinschätzung eines zu prüfenden Unternehmens. AL1 hat in der Praxis keine Relevanz.
2. Assessment Level 2
AL2 bedeutet „hoher Schutzbedarf“ und schließt eine Plausibilitätsprüfung der Nachweise und Selbstauskünfte ein. Interviews finden per Telefon statt. Nur in bestimmten Fällen kommt es zu einer physischen Begehung/Prüfung vor Ort.
3. Assessment Level 3
AL3 bedeutet „sehr hoher Schutzbedarf“ und schließt eine umfangreiche Überprüfung der Nachweise und Selbstauskünfte ein. Außerdem findet in jedem Fall eine physische Begehung und Prüfung vor Ort statt.
Der Umfang der Prüfungen – Scopes
Jedes Unternehmen, das geprüft werden möchte, muss vor Beginn der TISAX Prüfung seinen sogenannten „Prüf-Scope“ definieren und registrieren. Das bedeutete für uns, dass wir den Umfang (scope) unserer Prüfung selbst festlegen mussten. Wir mussten für jede Abteilung unseres Unternehmens, die mit vertraulichen Daten in Berührung kommt, festlegen wie umfangreich die Prüfung sein sollte.
Die Ziele der Prüfung – Label
Außerdem mussten wir vor Beginn der Prüfung unsere Prüfziele festlegen. Dabei unterscheidet man nach dem Umgang mit der Informationssicherheit, dem Datenschutz oder dem Prototypenschutz. Innerhalb dieser Ziele unterscheidet man dann noch nach unterschiedlichen Stufen der Sicherheitsanforderung.
Unsere Ziele konnten wir selbst wählen, aber es kann natürlich auch sein, dass ein Kunde ein bestimmtes Prüfziel für die Zusammenarbeit einfordert.
Die Kategorie „Prototypenschutz“ muss nur geprüft werden, wenn das zu prüfende Unternehmen tatsächlich mit physischen Prototypen (-teilen) arbeiten will oder wird. Das mussten wir deshalb nicht.
Nach der erfolgreichen Prüfung verwandelt sich das Prüfziel in ein „Label“. Das Label ist also das Prüfergebnis.
Wie kann ich mich prüfen lassen?
Um eine TISAX Prüfung anzustoßen muss man sich zunächst mal über das Internetprotal des ENX mit den zu prüfenden Scopes anmelden. Anschließend muss man einen geeigneten Prüfdienstleister für die Prüfung finden. Die findet man auf der Seite des ENX, denn dort sind die aktuell zugelassenen Prüfdienstleister aufgelistet.
Nach der erfolgreichen Prüfung dürfen wir das Ergebnis der Prüfung mit unseren Partnern teilen. Das geschieht durch eine standardisierte Zusammenfassung (TISAX-Report) und der wird ausschließlich registrierten Unternehmen und nach ausdrücklicher Freigabe des Prüflings bereitgestellt.
Die Dauer des Verfahrens
Für den gesamten Prozess sollte man bis zu 9 Monate einplanen. Wenn man bisher noch kein Informationsmanagement System hat und dieses erst noch einführen muss, kann der Prozess auch länger dauern.
Unter Umständen ist es ratsam, ein Beratungsunternehmen für den Aufbau eines ISMS und für die Vorbereitung auf das Tisax Audit hinzuzuziehen.
Die Gültigkeit des Zertifikats
Ein Tisax Zertifikat ist 3 Jahre lang gültig. Danach muss der Prozess erneut begonnen werden. Wichtig dabei ist, dass der VDA ISA Katalog regelmäßig überarbeitet wird. So wurde beispielweise in der Version 5.0 die Kategorie „Anbindung Dritter“ in die „Informationssicherheit“ integriert. Generell kann man aber sagen, dass die Anforderungen ständig höher werden.
Warum wir das alles machen
Über das Ergebnis unserer Prüfung dürfen wir natürlich nichts verraten, außer, dass wir sie mit Bravour bestanden haben. Für uns bedeutet das Zertifikat aber, dass wir dadurch erst in der Lage sind bestimmte Projekte für unsere Kunden durchführen zu dürfen.
Aktuell könnte man das Zertifikat mit einem Impfnachweis vergleichen. Das Zertifikat versetzt uns erst in die Lage, überhaupt für eine Zusammenarbeit mit unseren Partnern infrage zu kommen. Aus diesem Grund ist dieses Zertifikat für uns von extrem hoher Bedeutung und wir sind auch stolz darauf, es zu besitzen.
Autorin: Paula Ehrhardt (Softwareentwicklerin bei der KSTi)
Quellen:
TISAX® einfach erklärt – Teil 2: Labels und Prüfziele, 12.10.2021
https://youtu.be/uzkPQ9WS96M
TISAX® einfach erklärt – Teil 3: Assessment Levels: Labels und Prüfziele, 12.10.2021
https://youtu.be/SVgkeRsUaBM
ENX Portal, über Tisax, 12.10.2021
https://portal.enx.com/de-DE/TISAX/
TISAX® - VDA Information Security Assessment (dqs.de), 12.10.2021
https://www.dqs.de/de/audits/tisax/tisax-vda-information-security-assessment/
TISAX – Wikipedia, 12.10.2021
https://de.wikipedia.org/wiki/TISAX