TISAX® - Informationssicherheit in der Automobilindustrie
Schutz vertraulicher Informationen, Schutz der Markenreputation und Aufbau von Kundentreue.
In einem extrem innovativen Umfeld, welches bei seinem Erfolg auf mehrere Akteure angewiesen ist, ist der sichere Austausch von Informationen unerlässlich. Die Automobilindustrie verlangt einen "ökosystematischen" Informationssicherheitsansatz innerhalb ihrer langen und komplexen Lieferketten.
In unserem digitalen Zeitalter erstreckt sich der Bedarf an Informationssicherheit nicht nur auf die Automobilzulieferer, sondern auch auf Marketingunternehmen und andere Beteiligte. In erster Linie geht es darum, Informationen zu schützen:
- Projekte oder Designinformationen, Prototypen oder geheime Investitionspläne,
- Big Data und Prozessdaten, die mit den neuen Konzepten der Digitalisierung für die Entwicklung von Komponenten zum autonomen Fahren verbunden sind,
- digitale Vernetzungen innerhalb des Lieferkettennetzwerks,
- und die persönlichen Kundendaten.
Was ist TISAX®?
TISAX® (Trusted Information Security Assessment eXchange) ist ein globaler Standard für die Informationssicherheit in der Automobilindustrie. Es handelt sich um einen reifebasierten Ansatz zur Bewertung der Informationssicherheit, der auf die Bedürfnisse der Automobilindustrie zugeschnitten ist. Er gilt in erster Linie für 1st- und 2nd-Tier-Zulieferer, kann aber auch auf komplexere Lieferketten ausgedehnt werden, da die Bewertung von bestimmten OEMs gefordert wird.
Warum TISAX®?
Das Ziel des Systems ist es:
- Schaffung eines gemeinsamen Sicherheitsniveaus für die Automobilindustrie;
- Kosten, Aufwand und Komplexität für Hersteller und Zulieferer zu reduzieren;
- Die Vergleichbarkeit und Qualität der Prüfungen zu gewährleisten;
- Bewährte Praktiken und Erfahrungen auszutauschen;
- Jeder Teilnehmer entscheidet, wem und in welchem Detaillierungsgrad die Ergebnisse offengelegt werden.
TISAX® kombiniert das etablierte VDA Information Security Assessment (VDA ISA) inklusive der umfangreichen Prüfkriterien für Prototypen des deutschen Verbandes der Automobilindustrie e.V. (VDA) mit dem Anhang A (Technical Controls) der ISO/IEC 27001 sowie einigen Datenschutzanforderungen.
Haben Sie Fragen oder möchten Sie ein Angebot?
TISAX® vs. ISO/IEC 27001
TISAX®-Assessments bauen auf den Schlüsselelementen der Norm ISO/IEC 27001 für Informationssicherheits-Managementsysteme auf und konzentrieren sich dabei auf Elemente, die speziell in der Automobilindustrie wichtig und relevant sind.
Die wesentlichen Unterschiede sind:
ISO/IEC 27001 | TISAX® |
Managementsystem-Standard | Deckt Informationssicherheitsprozesse und Bereiche ab, die für Partner in der Automobilindustrie relevant sind |
On/Off-Ansatz | Reifegrad-Ansatz |
Umfang (Scope) wird vor der Zertifizierung definiert | Umfang ist “fix” |
Zertifizierungsstelle stellt Zertifikat aus | ENX erteilt Label und Registrierung für den Austausch |
Periodische Audits und Rezertifizierung nach 3 Jahren | 3-Jahres-Gültigkeit, keine periodischen Audits |
Vorteile des Assessments
TISAX®-Assessments sind nicht nur eine Voraussetzung für den Handel mit bestimmten Herstellern, sondern tragen auch zur Vertrauensbildung in der Lieferkette bei. Teilnehmende Lieferanten können davon profitieren, indem sie:
- von den Automobilherstellern anerkannt werden,
- Verstöße gegen die Informationssicherheit und Cyber-Angriffe verhindern,
- Kundenvertrauen gewinnen,
- Risiken identifizieren und bewältigen,
- Anerkennung für ordnungsgemäße Informationssicherheitsprozesse erhalten,
- Prüfergebnisse über die Austauschplattform auf dem ENX-Portal teilen.
Erste Schritte – wie wird man geprüft?
Unternehmen, die dem Programm beitreten, müssen sich bei ENX als Teilnehmer registrieren.
Prozess wird in Stufen aufgebaut:
- Aufmerksamkeit
Lernen Sie die TISAX®-Anforderungen kennen. Bestimmen Sie Ihre Standorte sowie die zugehörigen Schutzziele. - Vorbereitung
Registrieren Sie sich beim TISAX®-Portal, suchen Sie sich Ihren Prüfdienstleister aus und bereiten Sie sich auf das Audit vor. Dazu gehört auch eine Selbsteinschätzung, um Ihre Konformität und Bereitschaft zu messen. - Assessment
Wie das Assessment durchgeführt wird, hängt davon ab, ob Sie sich für eine Remote-Prüfung (Level 2) oder eine Prüfung vor Ort (Level 3) qualifizieren. Die Prüfung selbst besteht aus Befragungen, einer Dokumentenprüfung, der Klärung möglicher Feststellungen und den nächsten Schritten. - Reporting
Nach dem Assessment wird ein umfassender Report verfasst und an ENX geliefert. - Corrective Action Plan (CAP) and Follow-Up
Bereiten Sie einen Maßnahmenplan (Corrective Action Plan) vor, um Feststellungen zu beheben und Lücken zu schließen. Dieser wird dem Prüfdienstleister vorgelegt. Der CAP wird durch ein Follow-up (oder mehr, falls erforderlich) geprüft und der TISAX®-Report wird vervollständigt und wiederum an ENX übermittelt. - TISAX®-Label und Austausch der Ergebnisse
Der Prüfdienstleister lädt den TISAX®-Report auf die Plattform. Das geprüfte Unternehmen entscheidet, mit wem es die Ergebnisse teilt. ENX erteilt dem geprüften Unternehmen das TISAX®-Label.
Wie kann DNV Sie unterstützen?
DNV ist ein von der ENX Association zugelassener Prüfdienstleister. Über unser Netzwerk lokaler Büros und Auditoren können wir weltweit TISAX®-Assessments anbieten.
Interessenten können sich unseren Flyer herunterladen und jederzeit direkt an unsere Experten unter tisax.sales@dnv.com wenden.