TISAX

TISAX steht für Trusted Information Security Assessment Exchange. Hierbei handelt es sich um ein Prüf- und Austauschmechanismus für die Informationssicherheit von Unternehmen in der Automobilindustrie unter der Leitung der ENX Association (European Network Exchange Association) und ermöglicht eine Anerkennung von Prüfergebnissen unter den Teilnehmern.

Die Prüfung der Dienstleister oder Zulieferer erfolgt dabei auf Basis des jeweils aktuellen VDA Anforderungskatalogs: VDA ISA (Information Security Assessment) Katalog. Die Gültigkeit der Tisax-Zertifizierung auf Basis des Assessments beträgt 3 Jahre.

Ablauf des Assessments

Nachfolgend wird der Ablauf der Assessments mit den jeweils einzelnen Schritten dargestellt.

(I)    Initial Assessment

  1. Eröffnungsgespräch (Kick-Off)
  2. Vollständigkeitsprüfung der Selbstbewertung
  3. Plausibilitätsprüfung der Selbstbewertung
    1.  Dokumentationsprüfung
    2. Remote Assessment
    3. Vor-Ort-Assessment
  4. Abschlussgespräch
  5. Berichtserstellung und Abstimmung

(II)    Corrective Action Plan Assessment

  1. Bewertung pro Hauptabweichung
  2. Bewertung pro Nebenabweichung
  3. Berichtserstellung und Abstimmung
  4. Abschlussgespräch

(III)    Follow-up Assessment

  1. Dokumentationsprüfung
  2. Remote Assessment (sofern notwendig)
  3. Vor-Ort-Assessment (sofern notwendig)
  4. Finale Berichtserstellung und Abstimmung
  5. Abschlussgespräch

Verbindlich hierbei ist das Initial Assessment. Ob Corrective Actions Plan Assessments und Follow-up-Assessments notwendig sind, hängt von den Auditergebnissen ab. Eine Beauftragung zur Durchführung dieser Assessments obliegt dem Auditee.

Das Initiale Assessment besteht neben einem Eröffnungs- und Abschlussgespräch aus einzelnen Prüfschritten die unter anderem durch das ausgewählte Assessment Level (Schutzbedarf) definiert werden. Grundlage der Prüfung stellt der vom Auditee ausgefüllte VDA ISA Katalog dar.

Assessment Level

Das Assessment Level ist die Art der Prüfung (Selbstauskunft, Dokumentenprüfung mit Telefoninterview; vor Ort Prüfung).

Die Auswahl des Assessment Levels erfolgt formal durch den Auditee, wird jedoch durch verschiedene Vorgaben beeinflusst.

Es kann sein, dass durch Kunden des Auditees ein bestimmtes Assessment Level erwartet wird. Formal wird das Assessment Level jedoch unter Berücksichtigung des Schutzbedarfs und der Prüfziele durch den Auditee bestimmt.

Der Schutzbedarf (hoch oder sehr hoch) wird für die VDA ISA Katalog Themen (Informationssicherheit, Anbindung Dritter, Datenschutz, Prototypenschutz) festgelegt. Hieraus ergeben sich die Prüfziele.
Für die finalen Prüfziele gibt ENX das jeweilige Assessment Level vor.

Nachfolgend findet sie eine Übersicht der Assessment Level und der damit verbunden Prüftätigkeiten.

  • Bei ausgewähltem Assessment Level 1 findet durch die UIMCert lediglich eine Vollständigkeitsprüfung des durch den Auditee selbstausgefüllten VDA ISA Katalogs statt.
  • Bei ausgewähltem Assessment Level 2 findet durch die UIMCert zusätzlich zur der Vollständigkeitsprüfung eine Plausibilitätsprüfung der Angaben im VDA ISA Katalog statt. Dies geschieht mit Hilfe von Dokumentationsprüfungen und in Interview-Form. Das Interview führt die UIMCert im Regelfall als Remote-Assessment via Telefon oder Web-Session statt. In Abhängigkeit der Einschätzung der Dokumentation und des Verlaufs des Remote Assessments kann sich die Notwendigkeit einer vor Ort Prüfung ergeben. Bei Berücksichtigung der Prüfziele „Anbindung Dritter“ sowie „Prototypenschutz“ erfolgt, unabhängig vom Schutzbedarf, immer eine Prüfung Vor-Ort.
  • Bei ausgewähltem Assessment Level 3 führt die UIMCert immer ein Vor-Ort-Assessment durch. Dieser beinhaltet dann auch die notwendigen Interviews.

Im Anschluss an die Prüfung findet das Abschlussgespräch statt, in dem Ergebnisse des Assessments sowie die Findings dargestellt werden. Im letzten Schritt wird ein Bericht erstellt, der mit dem Kunden abgestimmt wird. In Abhängigkeit der Assessment-Ergebnisse kann es notwendig sein, dass der Auditee einen Corrective Action Plan erstellt, um darzulegen, wie er plant mit den Findings umzugehen und diese abzustellen. Das TISAX Verfahren sieht ausdrücklich vor, dass diese Planung durch die auditierende Prüfstelle geprüft werden kann.

Sofern Findings identifiziert wurden, sind innerhalb von 9 Monaten eines oder bei Bedarf mehrere Follow-Up-Assessment notwendig, um die Umsetzung der Maßnahmen zu überprüfen und einen finalen Bericht zu erstellen. Bei Fragen zum Schutzbedarf und den Prüfzielen oder sonstigen Fragen Thema wenden Sie sich einfach an uns.

Sie finden sich im Normen-Zoo nicht zurecht?

Oder Sie sind sich unsicher, welche Norm die Richtige für Sie und Ihr Vorhaben ist?
Dann empfehlen wir Ihnen unseren Normen-Strukturierungs-Workshop!