TISAX – DER INFORMATIONSSICHERHEITSSTANDARD DER AUTOMOBILINDUSTRIE

Für Prüfungen der Informationssicherheit gemäß VDA ISA ist seit 2017 mit TISAX®, dem Trusted Information Security Assessment Exchange, ein Prüf- und Austauschmechanismus etabliert, der bereits von 2.500 Unternehmen in 40 Ländern genutzt wird.

Was ist TISAX®?

Dem Prüfverfahren liegt der Anforderungskatalog zur Informationssicherheit VDA Information Security Assessment (VDA ISA) zu zu Grunde. Dieser stützt sich auf die wesentlichen Aspekte der internationalen Norm ISO/IEC 27001 - Informationssicherheits-Managementsysteme.

Der Anforderungskatalog wird von Unternehmen sowohl für interne Zwecke als auch für Prüfungen bei Lieferanten und Dienstleistern, die sensible Informationen aus den jeweiligen Häusern verarbeiten, verwendet.

Prüfungen nach VDA TISAX, insbesondere bei Dienstleistern und Lieferanten, werden von sogenannten „TISAX Prüfdienstleistern“ durchgeführt.

Die ENX Association agiert in dem System als Governance-Organisation. Sie lässt die Prüfdienstleister zu und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse.

So soll sichergestellt werden, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen als auch die Rechte und Pflichten der Teilnehmer gewahrt werden.

Damit kann ein Unternehmen entscheiden, ob der sich ergebende Reifegrad des Dienstleisters oder Lieferanten den Anforderungen des Käufers entspricht.

Die Prüfanforderungen wurden bereits mehrfach überarbeitet. Im Oktober 2020 wurde der Stand 5.0 veröffentlicht.

Warum Informationssicherheit?

Um diese Frage zu beantworten, beginnen wir mit Überlegungen zum Schutz von Informationen.

Stellen Sie sich Ihren Partner vor. Er hat vertrauliche Informationen. Er will sie mit Ihnen teilen. Die Zusammenarbeit zwischen Ihnen und Ihrem Partner schafft Werte.

Die Zusammenarbeit zwischen Ihnen und Ihrem Partner schafft Werte, die geschützt werden müssen.

Die Informationen, die Ihr Partner mit Ihnen teilt, sind ein wichtiger Teil dieser Wertschöpfung. Deshalb will er sie angemessen schützen. Und er möchte sicher sein, dass Sie seine Informationen mit der gleichen Sorgfalt behandeln.

Standards wie ISO/IEC 27001 (über Informationssicherheitsmanagementsysteme, ISMS) und deren Implementierung, stellen die anerkannteste Art der sicheren Verarbeitung von vertraulichen Informationen dar.

Die VDA Arbeitsgruppe, die sich mit Informationssicherheit beschäftigt, hat aus den bestehenden Standards für das Informationssicherheitsmanagement einen Fragebogen erarbeitet. Dieser deckt die branchenweit akzeptierten Anforderungen der Automobilindustrie an die Informationssicherheit ab.

Er wird als „VDA Information Security Assessment“ (ISA) bezeichnet und ist die Grundlage des TISAX Prüfprozesses.

Wie funktioniert das TISAX® Prüfverfahren?

Die Teilnehmer des TISAX®-Verfahrens tauschen über ein gemeinsames Online-Portal Informationen zum Status der Informationssicherheit untereinander aus. Die Registrierung auf dem Portal ist Pflicht für die Teilnahme an einem TISAX®-Verfahren. Neben dem Austausch von Assessmentdaten ermöglicht das Portal auch die Kontaktaufnahme zwischen Teilnehmern und Prüfdienstleistern. Innerhalb des Austausch-Modells gibt es zwei Rollen, die jedes Unternehmen nach Bedarf einnehmen kann.

Passive Teilnehmer
Passive Teilnehmer sind z.B. Fahrzeughersteller. Diese fordern ein anderes Unternehmen (z.B. seinen Lieferanten) dazu auf, bestimmte TISAX®-Labels nachzuweisen und damit ein Assessment mit den geeigneten Prüfzielen durchzuführen und erbitten Zugang zu den Prüfungsergebnissen.

Aktive Teilnehmer
Aktive Teilnehmer oder Auditees sind bspw. Lieferanten: Ein Unternehmen wird entweder durch ein anderes Unternehmen dazu aufgefordert, sich im Hinblick auf den Kriterienkatalog prüfen zu lassen oder unterzieht sich auf eigene Initiative einer Prüfung. Nach erfolgter Prüfung entscheidet der aktive Teilnehmer wer im TISAX®-Netzwerk Zugang zu seinen Prüfungsergebnissen erhält.

Die Vorteile eines Informationssicherheitsmanagements

Die Prüfqualität und Ergebnisse sind homogen und hoch

  • Grundlage ist VDA-ISA Kriterienkatalog der auf dem ISO27001 Standard basiert

Die Prüf- und Berichtsverfahren sind standardisiert

  • Die ENX Association agiert in dem System als Governance-Organisation. Sie lässt die Prüfdienstleister zu und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse

Die Vergleichbarkeit und Aussagekraft der Ergebnisse sind hoch

Ein Risikomanagement wird etabliert

  • Risiken werden systematisch analysiert und reduziert

Es besteht breite Akzeptanz, vor allem im Automobilsektor

  • Die etablierten Sicherheitsmechanismen zum Schutz ihrer Daten und Informationen funktionieren aber auch branchenunabhängig

Es besteht eine konsequente Ausrichtung auf Kundenbedürfnisse

  • Der VDA-ISA wird von der Industrie kontinuierlich überprüft und an die Anforderungen der Informationssicherheit angepasst.

Mehr aus unserem Blog

Managed Backup | Brauchen Sie den IT-Service wirklich?

Wie oft im Leben denken wir: “Ach, das passiert mir...
Mehr lesen

Server-Monitoring | Überprüfen & checken Sie Ihre Server

Was ist Server-Monitoring? Warum sollten Sie die Server Ihres kleinen...
Mehr lesen

IT-Support im IT Service Desk - IT endlich verständlich

“Bitte nennen Sie Ihren Namen”. “Thomas Meier”. “Wie können wir...
Mehr lesen