Kompetenz. Expertise. Sicherheit.

Beratungspaket
TISAX® VDA/ISA

Bactrya – An Expert in Security Management.

& VDA ISA​

Der VDA ISA-Fragenkatalog wird verwendet, wenn Sie als Dienstleister oder Zulieferer der Automobilindustrie nachweisen müssen, dass Sie die Anforderungen Ihrer Kunden an die Informationssicherheit erfüllen. Ende 2017 erhielt der VDA ISA-Fragenkatalog eine global vernetzte Austauschplattform names TISAX® (Trusted Information Security Assessment Exchange).

Unter dem Dach der ENX Association wird auf der Grundlage eines einheitlichen Prüfstandards der unternehmensübergreifender Austausch von Assessments zwischen Automobilherstellern und -zulieferern ermöglicht. Als Basis für das TISAX® Assessment dient der VDA ISA-Fragenkatalog, der im Wesentlichen auf der Norm ISO/IEC 27001 basiert. Mit Hilfe eines integrierten Reifegradmodells kann der Status der Informationssicherheit von Unternehmen bewertet werden.

Den Kern des Ganzen bildet das ISMS (Information Security Management System oder Informationssicherheitsmanagementsystem), das nach den Anforderungen des VDA ISA-Fragenkatalogs TISAX® konform aufgebaut und betrieben werden muss.

Die TISAX® Prüfung führt eine Zertifizierungsstelle durch. Sie muss alle drei Jahre wiederholt werden. Nach erfolgreicher Prüfung erstellt die ENX ein TISAX® Label für Ihr Unternehmen und veröffentlicht die Bewertung in ihrer Datenbank. Somit können alle Fahrzeughersteller wie Volkswagen, BMW oder Audi Ihr geprüftes Informationssicherheitsniveau sehen und die gesonderte Prüfung durch jeden einzelnen Kunden entfällt.

TISAX® steht für Trusted Information Security Assessment Exchange. Dienstleister und Zulieferer der Automobilindustrie müssen sich seit Anfang 2018 nach TISAX® zertifizieren lassen. TISAX® ist ein VDA-Standard, der die Informationssicherheit der Lieferanten und Kunden behandelt. Der VDA ISA Katalog basiert auf der Norm ISO 27001 mit branchenspezifischen Erweiterungen.

Das VDA Information Security Assessment ist ein Prüfkatalog, der die Kernaspekte von der internationalen Norm ISO/IEC 27001 ableitet. Er definiert die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) und ausgewählte Sicherheitsmaßnahmen.

TISAX® ist das Austauschverfahren, über das die die Ergebnisse der Assessments an die Teilnehmer des Netzwerks verteilt werden.

Neu bei TISAX® ist, dass die regelmäßigen Audits nun von akkreditierten Prüfdienstleistern durchgeführt werden. Dadurch kann eine Bewertung nach TISAX® die Anforderung mehrerer Kunden bedienen und es ist nicht mehr erforderlich für jeden Kunden eine eigene Prüfung durchzuführen.

Lieferanten und Dienstleister der Automobilindustrie, die Informationen der Kunden verarbeiten, müssen die jeweiligen Kundenanforderungen an die Informationssicherheit einhalten. Dies beutetet, dass jeder Kunde ein Interesse daran hat, dies durch sog. Lieferantenaudits zu überprüfen. Somit müssen sich die Lieferanten und Dienstleister mehreren externen Prüfungen unterziehen. TISAX löst dieses Problem, indem es den Unternehmen ein Modell für den Austausch von Prüfinformationen zu Verfügung stellt. Die Prüfinformationen können durch TISAX an alle Kunden aus der Automobilbranche weitergeleitet werden. Somit müssen Sie sich trotz unterschiedlicher Kunden nur einem regelmäßigen Audit unterziehen.

Es gibt sicherlich unterschiedliche Ansichten darüber, was „sicher“ bedeutet. Bevor man das Rad neu erfindet, kann man auf Standards und Normen zurückgreifen. Die Herangehensweise der Standards basiert auf dem „Best-Practice“ Prinzip. Ein Standard ist die verdichtete Form aller bewährten Best-Practice Methoden für einen bestimmten Problembereich. Daher legen sich die meisten Unternehmen auf Standards fest.

Im Fall TISAX bzw. VDA ISA heißt der Standard ISO 27001 (Informationssicherheitsmanagementsysteme, ISMS). Die Implementierungen von ISO 27001 ermöglicht eine Lösung nach dem Stand der Technik für den sicheren Umgang mit vertraulichen Informationen. Des Weiteren stellt der Standard eine gemeinsame Basis für zwei Unternehmen, die vertrauliche Daten austausche müssen, sicher.

Für die Durchführung Assessments nach TISAX® sind nur akkreditierte Prüforganisationen zugelassen. Diese müssen sich einem Akkreditierungsverfahren durch TISAX® unterziehen. Das Prüfungsergebnis durch die ENX Association ausgestellt. 

Vor-Audits, die als Selbstbeurteilung vor der Prüfung durchgeführt werden müssen, können jedoch auch von anderen Unternehmen wie z.B. durch uns durchführt werden.

Der Level ist der Reifegrad der umgesetzten Anforderungen. Es gibt folgende Reifegrade für die Anforderungen:

0 – Unvollständig: Es gibt keinen Prozess

1 – Durchgeführt: Es wird ein undokumentierter Prozess gelebt

2 – Gesteuert: Es wird ein dokumentierter Prozess gelebt

3 – Etabliert: Der gesteuerte Prozess ist in das Unternehmenssystem integriert. Aufzeichnung belegen seine die Effektivität.

4 – Vorhersagbar: Die Leistung des etablierte Prozesses wird mit Hilfe von KPIs überwacht.

5 – Optimierend: Maßnahmen für die kontinuierliche Verbesserung des vorhersagbaren Prozesses sind umgesetzt.

Die meisten Unternehmen müssen den Reifegrad/Level 3 erreichen.

Unsere Leistungen

Unser Beratungsprozess

01.

Erstgespräch

Wir hören Ihnen ganz genau zu, um herauszufinden, wo Ihre Probleme liegen. 

02.

Anfoderungsanalyse

Mit Hilfe eines Fragenkatalogs erörtern wir Ihre Anforderungen und erstellen einen Plan.

03.

Umsetzung

Ihre Anforderungen werden umgesetzt und Ihr Feedback wird zyklisch eingeholt. 

04.

Review

Das Ergebnis wird mit Ihnen zusammen abgenommen und freigegeben.

Paketpreise

Geschätzte Kosten bei normalen Umständen

Small Business

12.500
  • 1 Standort
  • bis zu 25 Mitarbeiter
  • inkl. 80 Beraterstunden Kontingent

Medium Business

18.750
  • 1 Standort
  • bis zu 80 Mitarbeiter
  • inkl. 120 Beraterstunden Kontingent

Large Business

auf Anfrage
  • 1 oder mehrere Standorte
  • ab 81 Mitarbeiter
  • Paketpreis nach Abschätzung