Kompetenz. Expertise. Sicherheit.
Beratungspaket
TISAX® VDA/ISA
Bactrya – An Expert in Security Management.
TISAX® & VDA ISA
Der VDA ISA-Fragenkatalog wird verwendet, wenn Sie als Dienstleister oder Zulieferer der Automobilindustrie nachweisen müssen, dass Sie die Anforderungen Ihrer Kunden an die Informationssicherheit erfüllen. Ende 2017 erhielt der VDA ISA-Fragenkatalog eine global vernetzte Austauschplattform names TISAX® (Trusted Information Security Assessment Exchange).
Unter dem Dach der ENX Association wird auf der Grundlage eines einheitlichen Prüfstandards der unternehmensübergreifender Austausch von Assessments zwischen Automobilherstellern und -zulieferern ermöglicht. Als Basis für das TISAX® Assessment dient der VDA ISA-Fragenkatalog, der im Wesentlichen auf der Norm ISO/IEC 27001 basiert. Mit Hilfe eines integrierten Reifegradmodells kann der Status der Informationssicherheit von Unternehmen bewertet werden.
Den Kern des Ganzen bildet das ISMS (Information Security Management System oder Informationssicherheitsmanagementsystem), das nach den Anforderungen des VDA ISA-Fragenkatalogs TISAX® konform aufgebaut und betrieben werden muss.
Die TISAX® Prüfung führt eine Zertifizierungsstelle durch. Sie muss alle drei Jahre wiederholt werden. Nach erfolgreicher Prüfung erstellt die ENX ein TISAX® Label für Ihr Unternehmen und veröffentlicht die Bewertung in ihrer Datenbank. Somit können alle Fahrzeughersteller wie Volkswagen, BMW oder Audi Ihr geprüftes Informationssicherheitsniveau sehen und die gesonderte Prüfung durch jeden einzelnen Kunden entfällt.
Das VDA Information Security Assessment ist ein Prüfkatalog, der die Kernaspekte von der internationalen Norm ISO/IEC 27001 ableitet. Er definiert die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) und ausgewählte Sicherheitsmaßnahmen.
TISAX® ist das Austauschverfahren, über das die die Ergebnisse der Assessments an die Teilnehmer des Netzwerks verteilt werden.
Neu bei TISAX® ist, dass die regelmäßigen Audits nun von akkreditierten Prüfdienstleistern durchgeführt werden. Dadurch kann eine Bewertung nach TISAX® die Anforderung mehrerer Kunden bedienen und es ist nicht mehr erforderlich für jeden Kunden eine eigene Prüfung durchzuführen.
Lieferanten und Dienstleister der Automobilindustrie, die Informationen der Kunden verarbeiten, müssen die jeweiligen Kundenanforderungen an die Informationssicherheit einhalten. Dies beutetet, dass jeder Kunde ein Interesse daran hat, dies durch sog. Lieferantenaudits zu überprüfen. Somit müssen sich die Lieferanten und Dienstleister mehreren externen Prüfungen unterziehen. TISAX löst dieses Problem, indem es den Unternehmen ein Modell für den Austausch von Prüfinformationen zu Verfügung stellt. Die Prüfinformationen können durch TISAX an alle Kunden aus der Automobilbranche weitergeleitet werden. Somit müssen Sie sich trotz unterschiedlicher Kunden nur einem regelmäßigen Audit unterziehen.
Es gibt sicherlich unterschiedliche Ansichten darüber, was „sicher“ bedeutet. Bevor man das Rad neu erfindet, kann man auf Standards und Normen zurückgreifen. Die Herangehensweise der Standards basiert auf dem „Best-Practice“ Prinzip. Ein Standard ist die verdichtete Form aller bewährten Best-Practice Methoden für einen bestimmten Problembereich. Daher legen sich die meisten Unternehmen auf Standards fest.
Im Fall TISAX bzw. VDA ISA heißt der Standard ISO 27001 (Informationssicherheitsmanagementsysteme, ISMS). Die Implementierungen von ISO 27001 ermöglicht eine Lösung nach dem Stand der Technik für den sicheren Umgang mit vertraulichen Informationen. Des Weiteren stellt der Standard eine gemeinsame Basis für zwei Unternehmen, die vertrauliche Daten austausche müssen, sicher.
Für die Durchführung Assessments nach TISAX® sind nur akkreditierte Prüforganisationen zugelassen. Diese müssen sich einem Akkreditierungsverfahren durch TISAX® unterziehen. Das Prüfungsergebnis durch die ENX Association ausgestellt.
Vor-Audits, die als Selbstbeurteilung vor der Prüfung durchgeführt werden müssen, können jedoch auch von anderen Unternehmen wie z.B. durch uns durchführt werden.
Der Level ist der Reifegrad der umgesetzten Anforderungen. Es gibt folgende Reifegrade für die Anforderungen:
0 – Unvollständig: Es gibt keinen Prozess
1 – Durchgeführt: Es wird ein undokumentierter Prozess gelebt
2 – Gesteuert: Es wird ein dokumentierter Prozess gelebt
3 – Etabliert: Der gesteuerte Prozess ist in das Unternehmenssystem integriert. Aufzeichnung belegen seine die Effektivität.
4 – Vorhersagbar: Die Leistung des etablierte Prozesses wird mit Hilfe von KPIs überwacht.
5 – Optimierend: Maßnahmen für die kontinuierliche Verbesserung des vorhersagbaren Prozesses sind umgesetzt.
Die meisten Unternehmen müssen den Reifegrad/Level 3 erreichen.
Unsere Leistungen
- GAP Analyse
- Erstellung eines Implementierungsplans
- Einführung eines ISMS nach TISAX® ISA5
- Erstellung von Richtlinien- und Prozessvorlagen
- Asset Management Workshop
- Risk Management Workshop
- Maßnahmenmanagement
- Sensibilisierung der Mitarbeiter
Unser Beratungsprozess
Erstgespräch
Wir hören Ihnen ganz genau zu, um herauszufinden, wo Ihre Probleme liegen.
Anfoderungsanalyse
Mit Hilfe eines Fragenkatalogs erörtern wir Ihre Anforderungen und erstellen einen Plan.
Umsetzung
Ihre Anforderungen werden umgesetzt und Ihr Feedback wird zyklisch eingeholt.
Review
Das Ergebnis wird mit Ihnen zusammen abgenommen und freigegeben.
Paketpreise
Geschätzte Kosten bei normalen Umständen
Small Business
-
1 Standort
-
bis zu 25 Mitarbeiter
-
inkl. 80 Beraterstunden Kontingent
Medium Business
-
1 Standort
-
bis zu 80 Mitarbeiter
-
inkl. 120 Beraterstunden Kontingent
Large Business
-
1 oder mehrere Standorte
-
ab 81 Mitarbeiter
-
Paketpreis nach Abschätzung