Was ist TISAX®*?
Um einen einheitlichen Standard für Informationssicherheit in der Automobilindustrie zu gewährleisten, wurde 2017 TISAX® eingeführt. Dieser Standard wird durch einheitliche Prüf- und Austauschmechanismen und einer einheitlichen Anerkennung von Prüfergebnissen in Lieferantenaudits sichergestellt. TISAX® ist eine Online-Plattform zur Registrierung und zum Austausch der Audit Ergebnisse, welche von der ENX®* Association betrieben wird. Mit einem TISAX®-Zertifikat gewährleisten Sie hohe Sicherheitsstandards innerhalb des gesamten Planungs- und Herstellungsprozesses.
Wozu brauche ich eine TISAX Zertifizierung?
Wenn Sie als Zulieferer oder Dienstleister in der Automobilindustrie tätig sind und mit sensiblen Daten bzw. Informationen des Kunden arbeiten, benötigen Sie eine Zertifizierung nach TISAX. Mit diesem Zertifikat weisen Sie nach, dass Ihr Unternehmen über ein Informationssicherheitsmanagementsystem (ISMS) verfügt.
An dieser Stelle kommt der VDA-ISA-Katalog ins Spiel. Dieser Fragebogen beruht in den Grundzügen auf der internationalen Norm ISO/IEC 27001 und dient als Leitfaden für die Errichtung eines ISMS bzw. Erweiterung des bereits vorhandenen. Je nach Assessment-Level ändern sich die Voraussetzungen für die Zertifizierung.
Was kommt auf mich zu?
Wie kann die BWS Consulting Group helfen?
Gern können wir Sie auch in einer bereits laufenden Prüfungsvorbereitung bzw. in der Re-Zertifizierung unterstützen. Durch unsere Kundenprojekte und eigene Umsetzung von TISAX haben wir die nötige Erfahrung, um auch ihre Zertifizierung erfolgreich abzuschließen.
Grundsätzlich macht ein Nachweis über Ihre Sorgfaltspflicht und Ihren Umgang mit vertraulichen Daten Ihrer Kunden für jeden Sinn. In der Praxis hat die Einführung eines ISMS (wie z.B. TISAX®) ausschließlich positive Effekte. Sie bekommen einen klaren Überblick über Ihre Prozesse und erkennen mögliche Gefahren früher. TISAX® ist ein Branchenstandard der Autmobilindustrie. Daher ist eine Zertifizierung für jedes Unternehmen vorteilhaft, welches für oder mit der Automobilindustrie arbeitet. Das können Zulieferer, Ingenenieurbüros, Hochschulen und Universitäten, Softwareentwickler aber auch Logistik Partner sein.
Gerade im Umfeld von Universitäten, Hochschulen und mit ihnen in Verbindung stehenden Instituten gewinnt TISAX immer mehr an Bedeutung. Der Datenaustausch, besonders hinsichtlich Prototypen, werden zwischen Automobilunternehmen und Universitäten immer wichtiger. Damit die Hochschulen und Universitäten forschen können, sollten diese ihre Informationssicherheit, ihre Datenintegrität und ihren Datenschutz nachweisen können. Hierbei hilft eine Zertifizierung nach TISAX ungemein. Der Prüfmechanismus lässt sich anhand des definierten Geltungsbereiches und des standardisierten Prüfprozesses grundsätzlich in jedem Institut einsetzen. Außerdem ist die Umsetzung von TISAX aufgrund der klar definierten Abläufe einfacher, als die Einführung eines ISMS nach ISO 27001.
Hierbei haben wir als BWS Consulting Group bereits viele Universitäten und Hochschulen und deren Partner erfolgreich bei der Einführung und Umsetzung deutschlandweit unterstützt und betreut. Wir kennen die institutionellen Hürden und Probleme aus der Praxis und können auf viel Erfahrung in diesem Umfeld setzen. Wir stehen dabei stets in engem Austausch mit Ihnen und liefern Ihnen einen genauen Fahrplan. Sie sehen auf den ersten Blick, welche Aufwände auf Sie zukommen, wo welche Bedarfe sind und welche Fallstricke wir vorweg gemeinsam lösen müssen.
Unabhängig von TISAX kann die BWS Consulting Group Sie auch außerhalb der Automobilindustrie und ihren Standards im Bereich Informationssicherheit beraten.
Der Anforderungskatalog für die TISAX-Zertifizierung ist von der internationalen Norm ISO 27001 abgeleitet. Die internationale Norm ISO 27001 konkretisiert die Anforderung von Anforderungen für die Einrichtung, die Umsetzung und die Aufrechterhaltung sowie der fortlaufenden Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems. Ein weiterer wichtiger Bestandteil der ISO 27001 ist die Beurteilung und Behandlung von Informationssicherheitsrisiken. Sie wurde 2005 erstmals veröffentlicht und seit 2008 liegt sie auch in deutscher Sprache vor.
Der VDA und die ENX Association haben die ISO 27001 um weitere Bereiche ergänzt, die für die Automobilindustrie wichtig sind. Dazu gehören beispielsweise die Einbindung von Zulieferern in die eigene IT-Abteilung, der Datenschutz und der Umgang mit sensiblen Daten des Prototypenschutz. Unterschiede zwischen TISAX und der ISO 27001 bestehen außerdem im Prüfprozess, der Qualifizierung der empfohlenen Maßnahmen sowie des definierten Geltungsbereiches. Der Geltungsbereich definiert, welche Bereiche des Unternehmens in der Zertifizierung unter die Lupe genommen werden. Bei TISAX wird dieser Geltungsbereich (auch Scope genannt) klar festgelegt (Standard-Scope). Bei der Zertifizierung nach ISO 27001 wird dieser Scope vom Unternehmen selbst bestimmt.
Eine genaue und verlässliche Einschätzung der Aufwände für die Einführung von TISAX lässt sich ohne tieferen Einblick in Ihre Strukturen und Abläufe nicht zu 100% sagen.
Wir können jedoch die Beratertage und die Umsetzungsdauer in Tagen wie folgt einschätzen:
Größe des Unternehmens [Mitarbeiter] | Tage durch Berater | Tage internes Personal | Dauer der Umsetzung [Monate] |
---|---|---|---|
25- 250 | ca. 20-60 | ca. 20-60 | ca. 6-12 |
251- 5.000 | ca. 80-160 | ca. 20-60 | ca. 10-12 |
TISAX® wird alle Prozesse und Abläufe Ihres Unternehmens unter die Lupe nehmen. Daher werden wir Geschäftsführung, Personalabteilung, Rechtsabteilung, den Einkauf, das Projektmanagement und besonders ihre IT-Abteilung in dem Projekt einbinden.
Im VDA-ISA-Prüfungskatalog werden in vier Modulen festgelegt, welche Anforderungen Ihr Unternehmen erfüllen muss, um eine TISAX®-Zertifizierung zu erhalten.
1.Informationssicherheit
2. Anbindung Dritter
3. Datenschutz
4. Prototypenschutz
Das Hauptmodul Informationssicherheit wird allerdings bei jedem Assesment geprüft. Dieses orientiert sich an den Anforderungen aus ISO 27001, ISO 27002 und ISO 27017 (Anforderungen an Sicherheit in der Cloud). Der gesamte TISAX-Fragenkatalog bezieht sich auch direkt auf die ISO-Norm. Die Sondermodule Anbindung Dritter, Datenschutz und Prototypenschutz werden nach Bedarf und anhand der ausgewählten Level (2 und 3) geprüft.
Unsere IT-Sicherheitsberater helfen Ihnen bei der Auswahl anhand Ihres Bedarfs gern weiter und können Ihnen eine faktenbasierte Einschätzung zur Sinnhaftigkeit geben.
Welches Assesment-Level für Ihr Unternehmen ausschlaggebend ist, bestimmen Sie selbst. Sie sollten Ihr Assesment-Level von Ihrem Schutzbedarf abhängig machen. Unterschieden wird hierbei unter
Level 1 Assesment- Schutzbedarf normal
Level 2 Assesment- Schutzbedarf hoch
Level 3 Assesment- Schutzbedarf sehr hoch
Das Audit zur Zertifizierung nach TISAX wird durch einen externen Prüfer durchgeführt. Dieser muss unabhängig von uns beauftragt werden. Gern können wir Sie aber bei der Auswahl und der Beauftragung beratend unterstützen.
Nach erfolgreicher TISAX Prüfung erhalten Sie kein herkömmliches Zertifikat, wie z.B. bei der Absolvierung einer ISO-Zertifizierung. Sie bekommen einen Leitfaden zur Nutzung des „TISAX Results Available“ auf Ihrer Homepage. Dies umfasst die Logo-Datei und eine Anleitung. Dieser Mechanismus soll streng vertrauliche Daten über Ihr Unternehmen nur für registrierte Nutzer verfügbar machen.
Wenn Sie folgende Kriterien erfüllen, können Sie das Förderprogramm go-digital des BMWI nutzen, um Zuschüsse zu erhalten:
Go-Digital fungiert als Förderprogramm für kleine und mittlere Unternehmen (KMU) und Handwerksbetriebe, die Ihre Geschäftsprozesse mit Hilfe der Digitalisierung optimieren wollen.
Die TISAX® Beratung fällt unter das Modul „IT-Sicherheit“. Außerdem gibt es noch die Module „Digitalisierte Geschäftsprozesse" und "Digitale Markterschließung".
Sowohl bei der Beantragung als auch bei der Abrechnung und der Verwendungsnachweisprüfung helfen wir Ihnen.
Mehr Informationen zu go-digital finden Sie hier: go-digital
Nähere Informationen zum Ablauf (z.B. wie hoch der Aufwand für die Einführung ist, Ihre Zeitaufwände im Betrieb u.Ä.) liefert Ihnen gerne unser Vertriebsexperte
Jan Philip Faltin.
Tel.: +49 5308 7070 0
Mail: vertrieb@bws-group.de
Die BWS Consulting Group GmbH ist ihr spezialisierter Partner aus Norddeutschland. Wir betreuen erfolgreich Kunden in Wolfsburg, Hannover, Hamburg, Magdeburg und Braunschweig in diversen Projekten und unterschiedlichen Größenordnungen. Wir entwickeln Software, die Ihre Produktivität steigert.