Informationssicherheit in der Automobilindustrie
Was ist TISAX?
Was ist der Unterschied zwischen VDA ISA und TISAX?
Welche Vorteile hat TISAX für Sie?
Wer definiert das Sicherheitsniveau?
Wer auditiert und zertifiziert nach TISAX?
Was ist TISAX?
TISAX steht für Trusted Information Security Assessment Exchange. Dienstleister und Zulieferer der Automobilindustrie müssen sich seit Anfang 2018 nach TISAX zertifizieren lassen. TISAX ist ein VDA-Standard, der die Informationssicherheit der Lieferanten und Kunden behandelt. Der VDA ISA Katalog basiert auf der Norm ISO 27001 mit branchenspezifischen Erweiterungen.
Was ist der Unterschied zwischen VDA ISA und TISAX?
Das VDA Information Security Assessment ist ein Prüfkatalog, der die Kernaspekte von der internationalen Norm ISO/IEC 27001 ableitet. Diese Norm definiert Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS).
Neu bei TISAX ist, dass die regelmäßigen Audits nun von akkreditierten Prüfdienstleistern durchgeführt werden. Dadurch kann eine Zertifizierung nach TISAX die Anforderung mehrerer Kunden bedienen und es ist nicht mehr erforderlich für jeden Kunden eine eigene Prüfung durchzuführen.
Welche Vorteile hat TISAX für Sie?
Lieferanten und Dienstleister der Automobilindustrie, die Informationen der Kunden verarbeiten, müssen die jeweiligen Kundenanforderungen an die Informationssicherheit einhalten. Dies beutetet, dass jeder Kunde ein Interesse daran hat, dies durch sog. Lieferantenaudits zu überprüfen. Somit müssen sich die Lieferanten und Dienstleister mehreren externen Prüfungen unterziehen. TISAX löst dieses Problem, indem es den Unternehmen ein Modell für den Austausch von Prüfinformationen zu Verfügung stellt. Die Prüfinformationen können durch TISAX an alle Kunden aus der Automobilbranche weitergeleitet werden. Somit müssen Sie sich trotz unterschiedlicher Kunden nur einem regelmäßigen Audit unterziehen.
Wer definiert das Sicherheitsniveau?
Es gibt sicherlich unterschiedliche Ansichten darüber, was „sicher“ bedeutet. Bevor man das Rad neu erfindet, kann man auf Standards und Normen zurückgreifen. Die Herangehensweise der Standards basiert auf dem „Best-Practice“ Prinzip. Ein Standard ist die verdichtete Form aller bewährten Best-Practice Methoden für einen bestimmten Problembereich. Daher legen sich die meisten Unternehmen auf Standards fest.
Im Fall TISAX bzw. VDA ISA heißt der Standard ISO 27001 (Informationssicherheitsmanagementsysteme, ISMS). Die Implementierungen von ISO 27001 ermöglicht eine Lösung nach dem Stand der Technik für den sicheren Umgang mit vertraulichen Informationen. Des Weiteren stellt der Standard eine gemeinsame Basis für zwei Unternehmen, die vertrauliche Daten austausche müssen, sicher.
Wer auditiert und zertifiziert nach TISAX?
Für die Durchführung des Zertifizierungsaudits nach TISAX sind nur akkreditierte Prüforganisationen zugelassen. Dazu gehören beispielsweise DEKRA oder TÜV Nord. Diese müssen sich einem Akkreditierungsverfahren durch TISAX unterziehen. Das Prüfungsergebnis durch TISAX ausgestellt. Vor-Audits, die als Selbstbeurteilung vor der Prüfung durchgeführt werden müssen, können jedoch auch von anderen Unternehmen, wie z.B. Nasari Consulting, durchführt werden.