Wie Sie Ihre Chancen auf die TISAX®-Zertifizierung erhöhen können

Verstehen der TISAX®-Anforderungen

Um die Zertifizierung zu bestehen, müssen Sie sich mit den TISAX®-Anforderungen und Bewertungskriterien vertraut machen.

Wie ist der TISAX®-Standard (VDA® ISA) strukturiert?

Die offizielle Selbstbewertung umfasst drei Hauptmodule:

• Informationssicherheit

• Schutz von Prototypen

• Datenschutz

Je nach Umfang Ihres ISMS werden Sie unterschiedlichen Bewertungsverfahren (Assessment Level) unterzogen. Für das Assessment Level 1 müssen Sie nur eine Selbstbewertung mit dem TISAX® / VDA® ISA-Fragebogen für alle drei Module durchführen.

Die TISAX®-Assessments der Stufe 2 erfordert jedoch einen externen Prüfer, der von der ENX Association akkreditiert wurde. Diese bewerten Ihre Selbsteinschätzung und führen eine Plausibilitätsprüfung durch, die Sie bestehen müssen, bevor sie Ihr ISMS und Ihre TISAX®-Implementierung überprüfen.

Für das höchste Schutzniveau (Assessment Level 3) muss der externe Prüfer bei Ihrer Bewertung vor Ort sein.

Ziele der TISAX®-Bewertung

Bei der Festlegung des Geltungsbereichs Ihres ISMS müssen Sie die TISAX®-Bewertungsziele berücksichtigen. Sie müssen mindestens ein Ziel auswählen, das Sie dann als Maßstab für Ihr Informationssicherheitssystem verwenden können.

Hier sind die Ziele der TISAX®-Bewertung:

• Umgang mit Informationen mit hohem Schutzbedarf

• Umgang mit Informationen mit sehr hohem Schutzbedarf

• Schutz von Prototypenbauteilen und -Komponenten

• Schutz von Prototypenfahrzeugen

• Umgang mit Erprobungsfahrzeugen

• Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings

• Datenschutz

• Datenschutz mit besonderen Kategorien personenbezogener Daten

Wählen Sie Ziele, die für Ihr Unternehmen relevant sind. Oder wenn ein Geschäftspartner von Ihnen verlangt, ein bestimmtes TISAX®-Label zu erhalten, wählen Sie das entsprechende Ziel aus. Wenn Sie zum Beispiel das Ziel “Umgang mit Informationen mit hohem Schutzbedarf” wählen, erhalten Sie nach bestandener Zertifizierung ein TISAX®-Siegel mit derselben Bezeichnung.

Welche TISAX®-Anforderungen müssen Sie in Ihrem ISMS umsetzen?

Die TISAX®-Anforderungen können je nach dem von Ihnen gewählten Bewertungsziel leicht abweichen, aber im Allgemeinen sind die meisten Richtlinien auch in der ISO® 27001-Norm enthalten.

Im Folgenden finden Sie eine kurze Liste einiger TISAX®-Anforderungen, die Sie beachten sollten:

• Aufbau und Umsetzung eines ISMS

• Durchführung von Risikobewertungen und Erstellung von Plänen zur Risikobehandlung

• Erstellung von Notfallplänen zur Abwehr künftiger Sicherheitsbedrohungen

• Aufbau einer sicheren Infrastruktur und Anwendung bewährter Verfahren für die Informationssicherheit

• Umsetzung wirksamer Sicherheitsmaßnahmen und -verfahren

• Durchführung regelmäßiger ISMS-Bewertungen und Verfolgung der Leistung

• Einhaltung der gesetzlichen Vorschriften zur Informationssicherheit

Bereiten Sie die Anforderungen Ihres Unternehmens vor

Ermitteln Sie, welche TISAX®-Anforderungen in Ihrem Unternehmen umgesetzt werden müssen und treffen Sie die notwendigen Vorbereitungen. Wenn Sie noch kein geeignetes ISMS eingerichtet haben, sollten Sie die ISO®-Norm 27001 nutzen, um ein wirksames Sicherheitssystem zu entwickeln. Dies dient auch als gute Grundlage für die TISAX®-Zertifizierung.

Interne Beurteilungen durchführen

Führen Sie regelmäßig interne Audits durch, um Schwachstellen in Ihrem Informationssicherheitssystem aufzudecken und die Einhaltung von TISAX® zu überprüfen. Auf diese Weise sind Sie in der Lage, kontinuierlich Wege zur Verbesserung Ihres ISMS zu finden und sicherzustellen, dass Sie Ihre gewählten TISAX®-Ziele erreichen. Sie können diese Selbstbeurteilungen auch zur Vorbereitung auf die offizielle Prüfung durchführen.

Dokumentation vorbereiten

Vergewissern Sie sich, dass Sie alle notwendigen Dokumente, einschließlich Richtlinien und Verfahren, erstellen, um Ihre TISAX®-Einführung zu belegen. Ihre Unterlagen sollten klar und prägnant sein, da der externe Prüfer sie während Ihrer Bewertung überprüfen wird.

Lückenanalyse durchführen

Führen Sie eine Lückenanalyse (GAP-Analyse) durch, um festzustellen, welche Bereiche Ihres ISMS noch verbessert werden müssen, um die erforderlichen TISAX®-Anforderungen (einschließlich Ihrer Bewertungsziele) zu erfüllen. Sie werden Ihre Verfahren zur Informationssicherheit anhand des TISAX®-Standards bewerten, um Lücken zwischen den beiden Standards zu ermitteln.

Bei der Durchführung Ihrer Lückenanalyse sollten Sie Folgendes beachten:

• ISMS-Reife und -Wirksamkeit: Werfen Sie einen Blick auf den Reifegrad und die Wirksamkeit Ihres ISMS. Wird sie richtig umgesetzt? Gibt es Bereiche, die gestärkt werden müssen?

• TISAX®-Bereitschaft: Vergewissern Sie sich, dass Ihr ISMS TISAX®-ready ist, d. h. dass es den Anforderungen des Standards entspricht.

Implementierung von Informationssicherheitsmaßnahmen

Entwerfen und implementieren Sie Informationssicherheitsmaßnahmen in Ihr ISMS gemäß Ihren TISAX®-Anforderungen. Dies kann eine Änderung Ihrer Richtlinien, Verfahren und Risikominderungspläne erforderlich machen, also achten Sie darauf, alles zu dokumentieren. Ihre Mitarbeiter sollten im Rahmen von Programmen zur Sensibilisierung für Sicherheitsfragen auch in der Verwendung der neuen Maßnahmen geschult werden.

Alle Sicherheitsmaßnahmen, für die Sie sich entscheiden, sollten dazu dienen, die Qualität Ihres Datenschutzes/Informationssicherheit zu verbessern und Schwachstellen in Ihrem System zu minimieren oder zu beheben.

Findings ansprechen und Lücken beheben

Wenn Sie nach einer Lückenanalyse Lücken in Ihrem ISMS festgestellt haben, notieren Sie Ihre Ergebnisse und beginnen Sie, diese zu beheben. Überlegen Sie, wie Sie diese Lücken schließen und Ihr Unternehmen der TISAX®-Konformität näher bringen können.

Mit ISMS Connect erhält Ihr Unternehmen Zugang zu detaillierten Anleitungen für die TISAX®-Zertifizierung, die Ihnen helfen, sich besser auf die Bewertung vorzubereiten. Sie können sich auch an unser Team von Fachberatern wenden, die Sie bei Bedarf persönlich beraten.

Wie finde ich den richtigen Partner, der mir bei der TISAX®-Zertifizierung hilft?

• Suche nach verschiedenen Partnern: Suchen Sie online nach TISAX®-Beratern und vergleichen Sie verschiedene Agenturen.

• Ermitteln Sie Ihren Bedarf: Stellen Sie fest, welche Art von Unterstützung Sie von Ihrem Berater benötigen und ob die von Ihnen untersuchten Agenturen diese Anforderungen erfüllen.

• Holen Sie Angebote von mehreren potenziellen Partnern ein: Verhandeln Sie die Preise mit mehreren Agenturen und vergleichen Sie sie, um herauszufinden, welche Agentur Ihrem Budget entspricht. Sie können auch über ihre Dienstleistungen sprechen, um sich ein Bild von ihrer Methodik zu machen.

• Fragen Sie nach Empfehlungen: Wenn Sie Schwierigkeiten haben, einen geeigneten TISAX®-Berater zu finden, fragen Sie jemanden, der die Zertifizierung erlebt hat, nach Empfehlungen.

• Befragen Sie die potenziellen Partner: Sobald Sie eine Liste potenzieller Kandidaten haben, befragen Sie diese, um mehr über ihr Fachwissen über die TISAX®-Zertifizierung zu erfahren und um herauszufinden, wie sie Ihnen bei der Einhaltung der Vorschriften helfen könnten.

• Notieren Sie sich die Details: Nachdem Sie sich für einen TISAX®-Berater entschieden haben, sollten Sie Einzelheiten über dessen Gebühren, Dienstleistungen und Zeitplan besprechen und notieren, um spätere Unklarheiten zu vermeiden.

Worauf Sie bei einem TISAX®-Beratungspartner achten sollten

• Sehr gute Kenntnisse und Erfahrungen mit der TISAX®-Zertifizierung

• Berufserfahrung oder Kenntnisse im Bereich der Informationssicherheit

• Einschlägige Zeugnisse oder Qualifikationen

• Persönliche Beratung, die auf Ihre spezifischen Bedürfnisse zugeschnitten ist

• Hochwertige Referenzen und Zeugnisse (positiver Ruf)

• in der Lage sein, über geeignete Kommunikationskanäle kontinuierliche Unterstützung zu leisten

• Hilft Ihnen, sich innerhalb eines bestimmten Zeitraums auf die TISAX®-Zertifizierung vorzubereiten

TISAX®-Zertifizierungsprozess

• Online-Registrierung (einschließlich Registrierung Ihres Bewertungsbereichs)

• Selbsteinschätzung (analysieren Sie die Ergebnisse, um Ihre TISAX® Bereitschaft zu bestimmen)

• Kontaktieren Sie die Anbieter von TISAX®-Audits und fordern Sie deren Dienste an

• Wählen Sie einen Prüfer und halten Sie eine Auftaktsitzung ab, um die Einzelheiten der Bewertung zu besprechen.

• Erste Bewertung

• Erstellung eines Plans für Abhilfemaßnahmen (falls Lücken gefunden werden)

• Übermittlung des Plans an einen Prüfer zur Genehmigung (auch bekannt als Bewertung des Plans für Korrekturmaßnahmen)

• Bewertung der Folgemaßnahmen

• Austausch (Austausch von Bewertungsergebnissen mit Geschäftspartnern – nur anwendbar, wenn Ihre Partner registrierte TISAX®-Teilnehmer sind)

Kosten verstehen

Die Kosten für eine TISAX®-Zertifizierung hängen von einigen Faktoren ab, darunter:

• Honorare für Berater

• Honorare für externe Prüfer (plus Reisekosten für Prüfungen vor Ort)

• Prüfungsgebühren (einschließlich Folgeprüfungen, falls erforderlich)

• Der Umfang der Bewertung

…und so weiter.

Im Durchschnitt liegen die Preise zwischen 10.000€ für kleinere Unternehmen bis zwischen 50.000 zu 200.000€. Es gibt jedoch Möglichkeiten, diese Kosten zu minimieren, z. B. durch eine gute Vorbereitung auf die Bewertung (um Korrekturpläne und Folgeaudits zu vermeiden) und die Wahl eines Prüfers in der Nähe Ihres Unternehmens (um Reisekosten zu sparen).

Unser Artikel zu den Kosten: Überblick über die Kosten der TISAX®-Zertifizierung – Ein einfacher Leitfaden