Beratung zur Umsetzung des TISAX-Standards

Icon Maschinenbau, © NESEC GmbH

Der Trusted Information Security Assessment Exchange, kurz TISAX ist ein speziell auf die Automobilindustrie zugeschnittener Standard der Prüfung der Informationssicherheit sowie eine damit verbundene Plattform zum Austausch der Zertifizierungen.

Hersteller, Zulieferer und Dienstleister können sich auf der TISAX-Plattform registrieren und nach den Vorgaben von TISAX zertifizieren lassen. Durch die TISAX-Zertifizierung (TISAX-Label) wird ein hohes Maß an Informationssicherheit, aber auch Datenschutz und speziell Prototypenschutz erreicht, weshalb die TISAX-Zertifizierung von der gesamten Automobilbranchen akzeptiert wird.

Das TISAX-Label basiert auf dem Fragekatalog der VDA ISA sowie einer Bewertung des Reifegrads der umgesetzten Maßnahmen. Der Fragekatalog orientiert sich dabei am internationalen Standard ISO 27001, der die Basis für die Einführung eines Informationssicherheits-Managementsystems (ISMS) bildet.

VDA ISA Katalog

Basis von TISAX ist der Fragenkatalog der VDA ISA mit den vier Bereichen Informationssicherheit, Anbindung Dritter, Datenschutz und Prototypenschutz.

Zu jeder Frage im Fragenkatalog gibt es eine Zielstellung, die das gewünschte Resultat der zu erfüllenden Anforderung beschreibt. Anforderungen selbst werden nach Muss-, Sollte- und Kann-Anforderungen unterschieden:

  • Muss: eine Muss-Anforderung muss zwingend erfüllt werden
  • Sollte: eine Sollte-Anforderung muss ebenfalls umgesetzt werden. Jedoch besteht anders als bei einer Muss-Anforderung die Möglichkeit, diese im begründeten Einzelfall zu übergehen. Begründungen müssen dokumentiert werden und nachvollziehbar sein
  • Kann: eine Kann-Anforderung muss nicht zwingend erfüllt sein

Zu jeder Anforderung muss außerdem verpflichtend der Reifegrad angegeben werden. Der VDA ISA Katalog gibt für jede Anforderung einen Zielreifegrad vor. Liegt der erreichte Reifegrad unter der Vorgabe des VDA ISA Katalogs kann kein TISAX Label erteilt werden.

  • Level 0: Unvollständig
  • Level 1: Durchgeführt
  • Level 2: Gesteuert
  • Level 3: Etabliert
  • Level 4: Vorhersagbar
  • Level 5: Optimierung

Die meisten Fragen sind mit einem Zielreifegrad von drei vorgegeben. Einzelne Fragen besitzen jedoch auch einen Zielreifegrad von zwei oder vier.

Bei der ersten Selbsteinschätzung empfiehlt es sich, kritisch mit den einzelnen Anforderungen umzugehen und deren Erfüllungsgrad vorsichtig einzustufen.

Prüfziele

TISAX besteht aus einem Prüfziel "Informationen mit hohem Schutzbedarf", die das Minimum darstellt. Weitere Prüfziele sind optional und hängen von den Anforderungen des Kunden ab, der ein Prüfziel vorgeben kann. Optionale Module enthalten die Anbindung Dritter, den Datenschutz sowie den Schutz von Prototypen, der in verschiedene Unterpunkte gegliedert ist. Optionale Prüfziele mit hohem Schutzbedarf benötigen immer auch das Prüfziel "Informationen mit hohem Schutzbedarf", optionale Prüfziele mit sehr hohem Schutzbedarf das Prüfziel "Informationen mit sehr hohem Schutzbedarf".

Übersicht TISAX Label, © NESEC GmbH

Assessment Level

TISAX definiert drei Assessment Level, die unterschiedliche Prüfungen festlegen.

  • AL1: der Assessment Level 1 besteht lediglich aus einer eigenen Selbsteinschätzung auf Basis der VDA ISA. Diese Selbsteinschätzung ist lediglich für interne Zwecke geeignet und kann der Vorbereitung eines externen Assessments dienen
  • AL2: der Assessment Level 2 besteht aus einer Plausibilitätsprüfung der Nachweise sowie einer Telefonkonferenz mit Interviews zur VDA ISA. Eine Vor-Ort-Prüfung ist nur in einzelnen Fällen vorgesehen. Der Assessment Level 2 ist nur für einen niedrigen Schutzbedarf geeignet
  • AL3: der Assessment Level 3 besteht aus einer eingehenden Vor-Ort-Prüfung auf Basis der VSA ISA entsprechend des angestrebten TISAX Labels. Assessment Level 3 ist der zur Veröffentlichung angestrebte Standard

Unsere Leistung

Wir prüfen den Reifegrad Ihres ISMS und Ihrer IT-Infrastruktur. Anschließend helfen wir Ihnen, die Anforderungen des VDA ISA Katalog zu verstehen und zu erfüllen.

Außerdem bereiten wir Sie bei Bedarf auf das Assessment vor.

 

TISAX® ist eine eingetragene Marke der ENX Association (European Network Exchange Association).