Für Prüfungen der Informationssicherheit gemäß VDA ISA ist seit 2017 mit TISAX®, dem Trusted Information Security Assessment Exchange, ein Prüf- und Austauschmechanismus etabliert, der bereits von 2.500 Unternehmen in 40 Ländern genutzt wird.
Dem Prüfverfahren liegt der Anforderungskatalog zur Informationssicherheit VDA Information Security Assessment (VDA ISA) zu zu Grunde. Dieser stützt sich auf die wesentlichen Aspekte der internationalen Norm ISO/IEC 27001 - Informationssicherheits-Managementsysteme.
Der Anforderungskatalog wird von Unternehmen sowohl für interne Zwecke als auch für Prüfungen bei Lieferanten und Dienstleistern, die sensible Informationen aus den jeweiligen Häusern verarbeiten, verwendet.
Prüfungen nach VDA TISAX, insbesondere bei Dienstleistern und Lieferanten, werden von sogenannten „TISAX Prüfdienstleistern“ durchgeführt.
Die ENX Association agiert in dem System als Governance-Organisation. Sie lässt die Prüfdienstleister zu und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse.
So soll sichergestellt werden, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen als auch die Rechte und Pflichten der Teilnehmer gewahrt werden.
Damit kann ein Unternehmen entscheiden, ob der sich ergebende Reifegrad des Dienstleisters oder Lieferanten den Anforderungen des Käufers entspricht.
Die Prüfanforderungen wurden bereits mehrfach überarbeitet. Im Oktober 2020 wurde der Stand 5.0 veröffentlicht.
Um diese Frage zu beantworten, beginnen wir mit Überlegungen zum Schutz von Informationen.
Stellen Sie sich Ihren Partner vor. Er hat vertrauliche Informationen. Er will sie mit Ihnen teilen. Die Zusammenarbeit zwischen Ihnen und Ihrem Partner schafft Werte.
Die Zusammenarbeit zwischen Ihnen und Ihrem Partner schafft Werte, die geschützt werden müssen.
Die Informationen, die Ihr Partner mit Ihnen teilt, sind ein wichtiger Teil dieser Wertschöpfung. Deshalb will er sie angemessen schützen. Und er möchte sicher sein, dass Sie seine Informationen mit der gleichen Sorgfalt behandeln.
Standards wie ISO/IEC 27001 (über Informationssicherheitsmanagementsysteme, ISMS) und deren Implementierung, stellen die anerkannteste Art der sicheren Verarbeitung von vertraulichen Informationen dar.
Die VDA Arbeitsgruppe, die sich mit Informationssicherheit beschäftigt, hat aus den bestehenden Standards für das Informationssicherheitsmanagement einen Fragebogen erarbeitet. Dieser deckt die branchenweit akzeptierten Anforderungen der Automobilindustrie an die Informationssicherheit ab.
Er wird als „VDA Information Security Assessment“ (ISA) bezeichnet und ist die Grundlage des TISAX Prüfprozesses.
Die Teilnehmer des TISAX®-Verfahrens tauschen über ein gemeinsames Online-Portal Informationen zum Status der Informationssicherheit untereinander aus. Die Registrierung auf dem Portal ist Pflicht für die Teilnahme an einem TISAX®-Verfahren. Neben dem Austausch von Assessmentdaten ermöglicht das Portal auch die Kontaktaufnahme zwischen Teilnehmern und Prüfdienstleistern. Innerhalb des Austausch-Modells gibt es zwei Rollen, die jedes Unternehmen nach Bedarf einnehmen kann.
Passive Teilnehmer
Passive Teilnehmer sind z.B. Fahrzeughersteller. Diese fordern ein anderes Unternehmen (z.B. seinen Lieferanten) dazu auf, bestimmte TISAX®-Labels nachzuweisen und damit ein Assessment mit den geeigneten Prüfzielen durchzuführen und erbitten Zugang zu den Prüfungsergebnissen.
Aktive Teilnehmer
Aktive Teilnehmer oder Auditees sind bspw. Lieferanten: Ein Unternehmen wird entweder durch ein anderes Unternehmen dazu aufgefordert, sich im Hinblick auf den Kriterienkatalog prüfen zu lassen oder unterzieht sich auf eigene Initiative einer Prüfung. Nach erfolgter Prüfung entscheidet der aktive Teilnehmer wer im TISAX®-Netzwerk Zugang zu seinen Prüfungsergebnissen erhält.
Die Prüfqualität und Ergebnisse sind homogen und hoch
Die Prüf- und Berichtsverfahren sind standardisiert
Die Vergleichbarkeit und Aussagekraft der Ergebnisse sind hoch
Ein Risikomanagement wird etabliert
Es besteht breite Akzeptanz, vor allem im Automobilsektor
Es besteht eine konsequente Ausrichtung auf Kundenbedürfnisse