Lektion 1, Thema 1
In Bearbeitung

Organisatorische Aufgaben und Zeitplan

Organisatorische Aufgaben

Da sie Ihr Prüfziel bereits festgelegt haben, sollten Sie sich auch ihrer Prüftiefe (Assessment Level) bewusst werden. Dazu können Sie in der folgenden Tabelle sehen, welches AL (Assessment Level) ihr Prüfziel bedingt.

InformationssicherheitInfo HighAL 2
Info very HighAL 3
PrototypenschutzProto PartsAL 3
Proto VehiclesAL 3
Test VehiclesAL 3
Events & ShootingsAL 3
DatenschutzDataAL 2
Data HighAL 3

Hier folgt noch eine Erklärung zu den Assessment Leveln:

  • Assessment Level 1 (AL 1)
    • Nur für interne Zwecke geeignet (Self-Assessment)
    • Es wird nur die Vollständigkeit des Self-Assessment geprüft
    • Es besteht kein Zugriff auf den Inhalt des Self-Assessments
    • Keine Kontrolle durch Nachweise
  • Assessment Level 2 (AL 2)
    • Plausibilitätsprüfung des Self-Assessments für alle Standorte die im Scope eingenommen sind
    • Fungiert als eine Stichproben-Prüfung durch Interviews von Mitarbeitern und durch Kontrolle der Nachweise
    • In der Regel wird diese Prüfung nur per Fernzugriff (Telefonkonferenz, Videokonferenzen oder ähnliches) abgehalten
    • Wenn gewünscht oder gefordert, ist hier eine Vor-Ort Prüfung möglich
  • Assessment Level 3 (AL 3)
    • Geprüft werden alle Controls des VDA ISA Katalogs
    • Genaue Kontrolle des Self-Assessments
    • Immer Vor-Ort Prüfung
    • Tief gehende Kontrolle mit Mitarbeitergesprächen

Damit haben Sie alle bisher nötigen Informationen zusammen und Sie können die Registrierung als TISAX Teilnehmer starten. Dabei wählen Sie ihr Scope sowie die Prüftiefe (Assessment Level) aus. Nach erfolgreicher Registrierung erhalten Sie per E-Mail eine Liste mit allen akkreditierten Prüfdienstleistern und können hieraus einen Auswählen.

Hinweis: Die Registrierung sollte nach Möglichkeit in einem Zug durchgeführt werden, da ein Abbruch oder Unvollständigkeit zu einer fehlerhaften Registrierung führt. Die nötige Zeit ist dabei von dem Scope und den Standorten abhängig. So benötigt man für ein Scope mit einem Standort mindestens 20 Minuten.

Die Schritte sehen nun wie folgt aus:

  1. Registrieren
    – Registrieren Sie sich als “TISAX Teilnehmer” auf der ENX Association Plattform
    – Sie sind damit nicht automatisch der Ansprechpartner des Unternehmens für TISAX, sondern hiermit haben Sie das Recht zur Verwaltung im ENX Association Portal
  2. Teilnehmerregistrierung und Ansprechpartner
    – Registrieren Sie das Unternehmen als TISAX-Teilnehmer
    – Benennen Sie den Hauptansprechpartner für TISAX in ihrem Unternehmen (min. eine Person, jedoch mehrere als Vertretung immer sinnvoller)
    – Sie können jederzeit noch Ansprechpartner hinzufügen
  3. Legen Sie ihren TISAX Assessment Scope fest (Narrowed, Standard, Extended)
    – Sie müssen einen Name für den Prüf-Scope vergeben
    – Den Prüf-Scope-Typ auswählen (Narrowed, Standard, Extended)
    – Prüfziel/ Prüfziele wählen
    – Standort/ Standorte zu dem Prüf-Scope hinzufügen (entfernen und hinzufügen ist bis zur Prüfung noch möglich)
    – Optional: Veröffentlichung einrichten und Freigabe-Erlaubnis vergeben (jederzeit festlegbar, wenn etwas veröffentlicht wurde ist kein Widerruf mehr möglich)
    – Den Rechnungsempfänger angeben
  4. Wählen Sie den TISAX Assessment Level, also die Prüftiefe fest bzw. hängt dies von den Prüfzielen ab
    – Hängt direkt mit dem Prüfziel zusammen (siehe Tabelle oben)
  5. Wählen Sie einen Prüfdienstleister aus. Achten Sie drauf dies rechtzeitig zu tun, da i.d.R. die Prüfdienstleister eine Vorlaufzeit von ca. 6 Monaten haben

Hinweis: Im ENX Association Handbuch für Teilnehmer geht es im kompletten Kapitel 4 um die Registrierung und wen Sie kontaktieren können, falls es zu Komplikationen kommt oder Sie beispielsweise ein angelegtes Prüf-Scope löschen möchten. Ebenfalls sind dort Sonderfälle wie z.B. vereinfachte Gruppenprüfungen erklärt (ab 3 Standorten möglich und bei besonders vielen Standorten sehr rentabel).

Nach erfolgreicher Registrierung erhalten Sie innerhalb von drei Tagen (nach sieben Tagen ohne Rückmeldung sollten Sie kontrollieren, ob Sie alle Angaben getätigt haben) die Bestätigungs-E-Mail mit der Liste der Prüfdienstleister. Außerdem erhalten Sie ein PDF-Anhang mit dem Titel “TISAX Scope Excerpt”. Dort sind die Informationen welche in der Datenbank gespeichert wurden enthalten. Ebenso ist dort ihre Participant-ID (Teilnehmer Identifikationsnummer) und ihre Scope-ID (Anwendungsbereich Identifikationsnummer).

Zeitplan

Der Zeitplan bis zum Erhalt des Labels hängt immer von vielen Faktoren ab und nicht zuletzt auch an den zu verfügung stehenden Ressourcen. Der im folgenden dargestellte Zeitplan dient daher zur Orientierung und zeigt die Möglichkeit auf.

Das abschließende Gespräch ist rot eingerahmt, da ab hier die Nachholfrist von 9 Monaten beginnt, sofern Korrekturmaßnahmen gefordert sind.

Hinweis: Im Gegensatz zur ISO 27001 werden bei TISAX während der Label Gültigkeit (3 Jahre) keine Kontrollprüfungen durchgeführt. Nur sollten Sie frühzeitig (ca. 3 Monate vor Ablauf) an die Reauditierung denken.