current language
Deutschland verfügbar in folgenden Sprachen:
oder wählen Sie Ihr TÜV Rheinland Land / Ihre Region aus:

TISAX® Assessment

Geprüfte Informationssicherheit in der Automobilindustrie – TISAX® Label | TÜV Rheinland

Mehr Informationssicherheit in der Automobilindustrie dank TISAX® Label

Mit TISAX® (Trusted Information Security Assessment Exchange) haben der VDA (Verband der Automobilindustrie) und die ENX Association einen einheitlichen Qualitätsstandard für mehr Informationssicherheit ins Leben gerufen. Dieser regelt die Prüfkriterien, Prüfmethoden sowie den Standard zum Austausch von Prüfinformationen entlang der gesamten Wertschöpfungskette eines Automobils und ist somit für alle Beteiligten gültig.

Als gemeinsamer Prüf- und Austauschmechanismus unter der Trägerschaft von ENX gilt TISAX® als Vertrauensanker in der Automobilindustrie.

Das TISAX® Assessment erfolgt auf Basis des VDA ISA Anforderungskatalogs hinsichtlich Prüfkriterien, -methoden sowie dem Standard zum Austausch von Prüfinformationen. Die Relevanz des Standards und seine hohen Qualitätsansprüche an die Informationssicherheit zeigen sich darin, dass der VDA ISA Anforderungskatalog die Grundlage wesentlicher Aspekte der international anerkannten Norm ISO / IEC 27001 bildet.

Das TISAX® Assessment wird von vielen Automobilherstellern mittlerweile verpflichtend für Dienstleister und Zulieferer vorgegeben und muss alle drei Jahre durchgeführt werden. Darüber hinaus bietet es für Lieferanten und Dienstleistern weitere Vorteile:

  • Dank internationaler, branchenweiter Anerkennung können identische Prüfungen in kurzen Abständen vermieden werden
  • Hohe Informationssicherheit im eigenen Unternehmen
  • Aufbau einer verlässlichen Vertrauensbasis mit Geschäftspartnern
  • Positive Reputation und hohe Glaubwürdigkeit
  • Ausbau bestehender und neuer Kundenbeziehungen und Marktchancen in der Automobilindustrie

Profitieren Sie von den TISAX® Stärken und fordern Sie ein Angebot an.

TISAX® Kundengruppen

Informationssicherheit ist nicht nur für Herrsteller und Zulieferer bedeutsam, sondern für alle Stakeholder entlang der Wertschöpfungkette eines Automobils. Aus diesem Grund ist TISAX® noch für viele weitere Unternehmen relevant, wie zum Beispiel für die folgenden Kundengruppen:

Alle anzeigen Ausblenden

Ein-Mann-Unternehmen (Spezialisten)

Häufig sind absolute Spezialisten und Experten als Alleinunternehmer für die Automobilindustrie tätig. Dies können spezielle Konstrukteure, Forscher oder spezialisierte Übersetzungsdienstleister sein.

Bei den Assessments mit solchen Unternehmensgruppen legen wir den Fokus auf angemessene Regelwerke und Nachweise. Viele gelebte Aspekte können oftmals in wenigen Worten die Situation des Unternehmens erklären. Dabei schauen wir mit Augenmaß, ob die vorhandenen Dokumentationen angemessen für ein kleines Unternehmen sind.

KMUs in der Produktionsindustrie

Ein Automobil braucht immer physische Teile, wie beispielsweise Lampen, Sitze, Verkleidungen und weitere Bauteile, die oftmals durch den Mittelstand hergestellt werden.

Bei klassischen Produktionsunternehmen ist die Informationssicherheit oftmals nicht in der Unternehmenskultur fest verankert. Der absolute Fokus auf Produktionsqualität überschattet nur zu leicht die Informationssicherheit. Sie erhalten durch uns einen Prüfdienstleister, und auf Wunsch Auditoren, welche ebenfalls aus der Industrie kommen und die Industrie verstehen. Viele Themen müssen manchmal nebenbei erledigt werden und eine klare Begleitung während des Assessments hilft, die einzelnen Schwerpunkte identifizieren zu können.

Filmstudios und Marketingunternehmen

Ohne eine ansprechende Aufbereitung von Marketingmaterialien oder eine Erstellung von geeigneten Werbespots oder anderen Kurzfilmen leidet auch die Anzahl der verkauften Fahrzeuge. Dadurch erhalten Filmstudios und Marketingfirmen noch vor der eigentlichen Veröffentlichung Aufträge, die Fahrzeuge und die damit verbundenen Emotionen angemessen vermitteln zu können.

Diese Branche ist oftmals stark von kreativen Prozessen und kreativen Ansätzen geprägt. Diese Unternehmen reagieren schnell allergisch auf standardisierte Regelwerke, da diese nicht mit der Unternehmenskultur vereinbar sind. Das Anforderungen auch kreativ umgesetzt und Regelwerke nicht zwangläufig 100-seitige Dokumente sein müssen, wissen wir nur zu gut. Als Prüfdienstleister stellen wir uns gerne auf die Unternehmenskultur ein und betrachten die Umsetzung der Anforderungen angemessen und immer in Hinblick auf das zu prüfende Unternehmen.

Entwicklungsunternehmen

Vor dem ersten Teil eines neuen Fahrzeuges steht immer die Idee und die ersten Zeichnungen und Entwicklungen. Bei Entwicklungsunternehmen liegt der Fokus primär auf die Erstellung von Konstruktionszeichnungen und der interaktive Austausch mit den Kunden, bis ein neues Fahrzeug oder einzelne Teile perfekt sind.

Speziell in diesen Unternehmen ist ein reger Austausch mit den Kunden notwendig. Eine erhebliche Menge an Daten werden in beide Richtungen übertragen und Anforderungen an einzelne Informationen verändern sich im Laufe des Projektes. Wir als Prüfdienstleister kennen die Herausforderungen, dass nicht jede einzelne E-Mail einen sehr hohen Schutzbedarf hat und nicht jede Konstruktionszeichnung für einen OEM kritisch ist und können so individuell auf Ihre Gegebenheiten eingehen.

Cloud-Dienstleister

Cloud-Dienstleister werden immer wichtiger. Nahezu jedes Unternehmen nutzt unterschiedliche, externe Dienste- oder Cloudanbieter. Diese Arbeit ist in den seltensten Fällen vergleichbar mit der eines der anderen oben aufgeführten Unternehmen, da der Fokus auf die Bereitstellung von Rechenkapazitäten und Services liegt, der Kunde jedoch selbst entscheidet, welche Daten in die Cloud transferiert werden.

Cloud-Dienstleister haben somit andere kritische Geschäftsprozesse als klassische Unternehmen. Wir stehen Ihnen als Experte zur Seite, um die Herausforderungen gemeinsam zu meistern und IT-Sicherheit in Ihrem Unternehmen zu etablieren.

TISAX® – Ganzheitlicher Service: Von der Vorbereitung bis zur Bewertung

Dienstleister oder Zulieferer der Automobilbranche müssen in regelmäßigen Abständen nachweisen, ob die hohen Anforderungen ihrer Kunden in puncto Informationssicherheit eingehalten werden. Das TISAX® Assessment muss spätestens alle drei Jahre durchgeführt werden. Damit Ihnen dies unkompliziert gelingt, haben wir unseren Service speziell auf Ihre Bedürfnisse angepasst. Profitieren Sie von unserem universalen Ansatz.

TISAX® Informationsgespräch
Bevor Sie ein TISAX® Assessment durchführen lassen, haben Sie vermutlich noch einige Fragen. Gerne bieten wir Ihnen ein telefonisches Vorabgespräch an, in dem einer unserer Experten Ihnen alle wichtigen Fragen zu Registrierung, Ablauf und andere für Sie relevanten Themen beantwortet.

TISAX® Gap-Analyse
Sie möchten vor Ihrem TISAX® Assessment einen Überblick über Ihren aktuellen Stand bekommen? Mittels unserer TISAX® Gap-Analyse helfen wir Ihnen, Ihre Chancen einzuschätzen, das Assessment erfolgreich abzuschließen, indem wir ein TISAX®-Assessment simulieren. Mit den Ergebnissen erhalten Sie somit eine Entscheidungsgrundlage, wie Sie weiter vorgehen können und wie stark Ihr Vorbereitungsaufwand ausfällt.

TISAX® Workshops
Es beschäftigen Sie Fragen zum Scoping, den einzelnen Schutzbedürfnissen, Möglichkeiten der Assessment-Strukturierung und Planung oder Unterschiede zu Standards wie die ISO 27001? In einem individuellen Workshop von bis zu zwei Tagen unterstützen und informieren wir Sie mit den formalen Aspekten rund um TISAX®.

TISAX® Assessment
Unsere Experten führen sorgfältig Ihr TISAX® Assessment durch. Dabei gehen wir auf Ihre speziellen Anforderungen ein: Von Assessments einzelner Standorte, Mehrstandort-Assessments unterschiedlicher Scopes bis hin zu weltweit verteilten Standorten stehen wir Ihnen als erfahrenes und akkreditiertes Prüfinstitut zur Seite.

TISAX® Gruppenabnahmen
Sie haben mehr als sieben Lokationen und ein einheitliches ISMS? Dann könnte eine Gruppenabnahme für Sie eine richtige Wahl sein. Unsere qualifizierten Experten stehen Ihnen von der Planung bis zur Durchführung partnerschaftlich zur Seite.

TISAX® Beratung
Alternativ zu einem TISAX® Assessment bieten wir Ihnen auch gerne eine TISAX® Beratung an. In dieser erarbeiten Sie gemeinsam mit unseren Experten ein TISAX® -konformes Informations-Sicherheits-Management-System (ISMS). Wir unterstützen Sie dabei vom einfachen Coaching bis zu einer umfangreichen Beratung.

Sie haben Fragen oder wünschen mehr Informationen?

Die TISAX® Assessment Level

Neben einem allgemeinen Ablauf bietet TISAX® drei Unterschiedliche Prüfmethoden (Assessment Level). Gewinnen Sie in unserer interaktiven Grafik einen Überblick.

Allgemeines Vorgehen der Assessments
AL2-Assessments
AL2.5-Assessments
AL3 Assessments
Initial Assessment
Correctice Action Assessment
Follow Up Assessment
Ziel
Ablauf
Vor- & Nachteile
Ziel
Ablauf
Vor- & Nachteile
Ziel
Ablauf
Vor- & Nachteile

Das Initial Assessment beginnt nach der Kontrolle der Prüfanforderungen und der Beauftragung des TISAX® Assessments. Im Anschluss an einen Kick-off nehmen Sie eine Selbstauskunft vor, welche dann von unserem Auditor einer Plausibilitätsprüfung unterzogen wird.

Nach dem erfolgreichen Bestehen dieser, kontrolliert der Auditor die Umsetzung der Prüfanforderungen und protokolliert mögliche Abweichungen (Findings).

Das Correctice Action Assessment wird von unseren Experten durchgeführt, sollten im Initial Assessment Abweichungen festgestellt werden. Im Rahmen dieses Schrittes können Sie Maßnahmenvorschläge und Zeitangaben präsentieren, die von unserem Auditor bewertet werden.

Werden während des Initial Assessments Findings identifiziert, überprüft unser Auditor im Follow Up Assessment Ihre Nachweisumsetzung mithilfe der Umsetzungsbeschreibung sowie den -dokumenten.

Wenn Sie einen weiteren Standort prüfen lassen möchten oder ein neues Prüfziel definieren, wird eine Scope-Extension als zusätzliche Prüfung durchgeführt.

Das TISAX® AL2-Assessment fokussiert sich auf eine intensive Plausibilitätskontrolle Ihrer Selbstauskunft und den von Ihnen bereitgestellten Nachweisen. Somit sind die Anforderungen an eine gute Selbstauskunft hoch und sehr gut vorbereitete Dokumente und Nachweise sind ein bedeutender Bestandteil für ein erfolgreiches AL2-Assessment.

  1. Überprüfung auf Aktenbasis Ihrer bereitgestellten Nachweise hinsichtlich Plausibilität und Erfüllungen der Anforderungen durch Auditor
  2. Nach erfolgreichem Abschluss erhalten Sie alle fachlichen und organisatorischen Informationen, um sich auf das Remote Assessment vorzubereiten
  3. Telefonische Durchführung des Remote Assessments je durchzuführendem Standort mittels eines ausführlichen Interviews (vier bis sechs Stunden) von verschiedenen Fachbereichen

Vorteile

  • Keine Reisekosten
  • Schnelle, effiziente Durchführung bei guter Vorbereitung
  • Reduzierter Aufwand
  • Reduzierte Assessment-Kosten

Nachteile

  • Kein nachträgliches Update auf höheres TISAX® Assessment Level
  • Vorbereitung selbst zeitaufwendiger und ressourcenintensiver im Vergleich zu AL2.5 oder AL3
  • In der Regel notwendiger Abbruch des Assessments, wenn Plausibilitätsprüfung nicht abgeschlossen werden kann
  • Erschwerter Austausch auf persönlicher Ebene im Vergleich zu AL2.5 oder AL3

Neben einer ersten Prüfung Selbstauskunft ist ein intensives, telefonisches Assessment fester Bestandteil dieser Prüfmethodik. Im Vergleich zum AL2-Assessment muss die Selbstauskunftsprüfung nicht zwingend erfolgreich abgeschlossen werden, da der Auditor die Controls intensiv in einem telefonischen Interview durchgehend wird. Das Interview erstreckt sich über mehrere Tage.

Dank einer intensiven Plausibilitätsprüfung und Überprüfung von Controls können einfache Scope-Extensions durchgeführt werden. Dies ermöglicht auch ein nachträgliches Upgrade auf ein AL3 Assessment Level Ihres TISAX® Assessment, wenn aufgrund von Covid-19 eine Vor-Ort-Begehung nicht möglich ist.

  1. Plausibilitätsprüfung Ihrer Selbstauskunft und Nachweise durch unseren Auditor
  2. Nach erfolgreichem Abschluss erhalten Sie alle notwendigen Informationen für die Vorbereitung des Remote-Assessments
  3. Das Remote Assessment wird telefonisch durchgeführt und individuell nach Ihren Bedürfnissen auf mehrere Tage verteilt. In dem 16- bis 20-stündigen Prüfschritt werden verschiedene Fachbereiche interviewt.
  4. Möglichkeit einer AL2.5 Erweiterungsprüfung mittels Scope-Extension

Vorteile

  • Möglichkeit eines nachträglichen Upgrades auf höheres TISAX® Assessment Level
  • Vorbereitung des Assessment wenig zeitaufwendig
  • Möglichkeit, kurzfristig zusätzliche Informationen während des Assessment zu zeigen
  • Einsparen von Reise- und Übernachtungskosten
  • Bei Mängeln in der Plausibilitätsprüfung dennoch weitere Fortführung des Assessments möglich

Nachteile

  • Limitierung der Erweiterungen auf Label für hohen Schutzbedarf und Datenschutz
  • Zeitintensivere Durchführung im Vergleich zu AL2-Assessment
  • Höhere Assessment-Kosten im Vergleich zu AL2-Assessment
  • Geringerer Austausch auf zwischenmenschlicher oder persönlicher Ebene

Der Schwerpunkt des AL3-Assessments liegt auf einem Vor-Ort-Interview, einer Prüfung vor Ort und einer guten Selbstauskunft. So können hohe Qualitätsstandards gesichert werden.

  1. Ihre vorbereitete Selbstauskunft und Nachweise werden auf Plausibilität und Erfüllung der Anforderungen überprüft
  2. Feedback und nach erfolgreichem Abschluss Absprache des weiteren Vorgehens
  3. Auditor verweilt min. zwei Tage bei Ihnen vor Ort für Interviews mit Fachbereichen sowie Sichtung und Bewertung verschiedener Prüfaspekte
  4. Vor-Ort-Begehung der Lokation zur Überprüfung physischer Begebenheiten

Vorteile

  • Geringer Zeitaufwand bei Vorbereitung des Assessments
  • Bedenkenloses nachträgliches Upgrade auf sehr hohen Schutzbedarf oder Prototypen
  • Möglichkeit, kurzfristig zusätzliche Informationen während des Assessments zu zeigen
  • Kein Abbruch bei Problemen der Plausibilitätsprüfung durch direkten persönlichen Austausch vor Ort

Nachteile

  • Höherer Zeit- und Kostenaufwand aufgrund intensiver und sorgfältiger Begutachtung sowie Beratung
  • Reise- und Übernachtungskosten

Mindern Sie Ihren Zeit- und Kostenaufwand mithilfe der richtigen Vorbereitung auf Ihre Angebotsanforderung. Beantragen Sie Ihr TISAX® Assessment unkompliziert mithilfe unserer Checkliste.

Ablauf eines TISAX® Assessments

Wir sind Ihr verlässlicher TISAX® Partner

Als unabhängiger Partner und einer der ersten TISAX® Prüfdienstleister unterstützen und beraten wir Sie kompetent bei der Festlegung Ihrer Prüfziele und Assessment Level sowie bei der Realisierung der hohen Anforderungen an Ihre Informationssicherheit im Unternehmen.

Seit 2017 finden unsere IT-Security- und Datenschutz-Spezialisten gemeinsam mit Unternehmen die passenden technischen und organisatorischen Lösungen und helfen Ihnen bei der Umsetzung geeigneter Maßnahmen, die Ihr Schutzniveau nachhaltig steigern.

Als international agierendes Unternehmen können wir zudem sowohl bei Beratungsthemen als auch bei den TISAX® Assessments auf qualifizierte Experten zurückgreifen und so einen Mehrwert vom kulturellen Verständnis bis zu optimierten Assessment-Ansätzen bieten.

Downloads

Whitepaper: Erfolgreich in der Automobilindustrie mit TISAX®-geprüfter Informationssicherheit.

Whitepaper: Erfolgreich in der Automobilindustrie mit TISAX®-geprüfter Informationssicherheit.

Inhalt: u.A. Unterschiede zwischen TISAX®-Prüfung und ISO 27001 Zertifizierung, Ablauf der TISAX®-Prüfung, Prüfinhalte und Prüfarten. Jetzt downloaden!

On-demand-Webinare

On-demand-Webinare

Registrieren Sie sich gleich und laden Sie sich unsere Aufzeichnungen der beiden Webinare „TISAX - Der neue VDA ISA 5.0 und seine Neuerungen“ & „Das TISAX® AL2-Assessment. Dos & Don'ts“ auf dem Weg zu Ihrem TISAX®-Label herunter. Zum Registrierungsformular.

pdf Checkliste 129 KB Download
pdf 10 Erfolgsfaktoren 241 KB Download

FAQ: Häufig gestellte Fragen zu TISAX®

Unsere Experten haben für Sie einige häufig gestellte Fragen und die Antworten über TISAX® die Begrifflichkeiten zusammengestellt.

Alle anzeigen Ausblenden

Wo finde ich den TISAX® Prüfkatalog?

Der TISAX® Prüfkatalog basiert auf dem ISA 5.0 Prüfkatalog. In dem von dem VDA und ENX erstellten Katalog ist die Arbeitsmappe Informationssicherheit enthalten, die als Prüfgrundlage dient. Den aktuell gültigen Prüfkatalog finde Sie auf der Webseite des VDA und der des ENX.

Welche Assessment Ziele (Objectives) gibt es?

Folgende Assessment Ziele sind im Prüfkatalog des TISAX® Assessments enthalten:

  • Informationen mit hohem Schutzbedarf
  • Informationen mit sehr hohem Schutzbedarf
  • Prototypen Teile und Komponenten
  • Prototypenfahrzeuge
  • Versuchs- und Erprobungsfahrzeuge
  • Film- und Fotoshootings
  • Umgang mit personenbezogenen Daten
  • Umgang mit besonderen personenbezogenen Daten

Was bedeutet Assessment Lokation (Locations)?

Unter der TISAX® Lokation ist der physische Standort zu verstehen, der die entsprechenden Informationen verarbeitet.

Nicht jede Lokation muss ein TISAX® Label vorweisen. Es ist daher von Bedeutung sich bereits im Voraus Gedanken darüber zu machen, wo und in welcher Reihenfolge ein Assessment für den jeweiligen Standort durchzuführen ist. Ab zehn Standorten ist eine Gruppenabnahme möglich.

Was ist das Assessment Scope (Standard Scope)?

Der TISAX® Assessment Standard Scope umfasst immer ganze Lokationen und zusätzlich die individuellen Prüfziele (Objectives). Ein Scope fokussiert sich primär auf Geschäftsprozesse der Leistungserbringung sowie abhängiger sekundärer Prozesse und Abteilungen.

Wie unterscheiden sich die TISAX® Prüfmethodiken (Assessment Level)?

Das Assessment Level beschreibt die durchzuführende Prüfung, die von den ausgewählten Objectives abhängig ist. Es gibt drei Assessment Level:

Bei einem AL2-Assessment liegt der Fokus bei der Plausibilitätsprüfung auf Akten-Basis und einem anschließenden telefonischen Remote-Assessment.

Das AL2.5-Assessment ist ähnlich dem AL2-Assessment. Nach einer Plausibilitätsprüfung der Selbstauskunft durch einen Auditor wird ein mehrtägiges Remote-Assessment durchgeführt. Dieses erfolgt ebenfalls telefonisch, ist jedoch deutlich intensiver. Das AL2.5-Assessment eignet sich besonders, wenn ein späteres Upgrade auf ein höheres Assessment Level erfolgen soll, eine Vor-Ort-Begehung einzelner Lokationen aufgrund Covid-19 derzeit jedoch nicht möglich ist.

Das AL3-Assessment umfasst ebenso eine Plausibilitätsprüfung der Selbstauskunft und erfolgt dann On-Site. Vor Ort werden vom Auditor an min. zwei Tagen Interviews durchgeführt, die Lokation begangen und überprüft.

Weiterführende Links

ENX Association

TISAX®-Portal

VDA ISA-Katalog

Kontakt

Sprechen jetzt mit unseren Experten!

Sprechen jetzt mit unseren Experten!

Fragen Sie ein TISAX®-Assessment unverbindlich an!

Das könnte Sie auch interessieren

Information Security Management System (ISMS)

Information Security Management System (ISMS)

Verbesserte und systematische Steuerung der Informationssicherheit in Ihrem Unternehmen.

mehr

Penetrationstests

Penetrationstest | TÜV Rheinland

Decken Sie mit einem Penetrationstest die Schwachstellen in Ihrer IT-Infrastruktur auf.

mehr

Zuletzt besuchte Dienstleistungsseiten