Automobil und Luft-/Raumfahrt

TISAX® - Informationssicherheit in der Automobilindustrie

TISAX_Info_Security_Automotive

Ihr Kontakt:

Benötigen Sie mehr Informationen oder wollen ein Angebot anfragen?

Angebot anfragen

Die Automobilindustrie ist in einem äußerst innovativen Umfeld aktiv, das für seinen Erfolg von einem internationalen Netzwerk von Lieferanten und Dienstleistern abhängig ist. Ein sicherer Informationsaustausch ist unerlässlich, um vertrauliche Informationen wie etwa über Prototypen zu schützen, den Ruf der Marke zu wahren und die Kundenbindung zu stärken.

Mit langen und komplexen Lieferketten verlangt die Automobilindustrie einen "ökosystematischen" Informationssicherheitsansatz. In unserem digitalen Zeitalter erstrecken sich die Anforderungen an die Informationssicherheit nicht nur auf die Automobilzulieferer, sondern auch auf Marketingunternehmen und andere Beteiligte. Die wichtigsten Anforderungen an Informationssicherheit sind hierbei: 

  • Projekt- oder Entwurfsinformationen, Prototypen oder geheime Investitionspläne, 
  • Big Data (Massendaten) und Prozessdaten, verbunden mit den neuen Konzepten der Digitalisierung für die Entwicklung von Komponenten zum autonomen Fahren,
  • digitale Vernetzungen innerhalb des Lieferkettennetzwerks,
  • sowie persönliche Kundendaten.

TISAX (Trusted Information Security Assessment eXchange) ist ein reifegradbasierter Ansatz zur Bewertung der Informationssicherheit, der auf die Bedürfnisse der Automobilindustrie ausgerichtet ist. Die Bewertung ist hauptsächlich auf Zulieferer der ersten und zweiten Ebene (1st and 2nd tier suppliers) anwendbar, kann aber auf komplexere Lieferketten ausgedehnt werden und ist eine Anforderung diverser OEMs.

Warum TISAX?

TISAX ist ein globaler Informationssicherheitsstandard für die Automobilindustrie, der auf den etablierten VDA ISA Prüfkatalog aufsetzt. Prüfdienstleister, wie DNV GL, sind durch das ENX Konsortium akkreditiert. Ziele des Standards sind: 

  • Schaffung eines gemeinsamen Sicherheitsniveaus für die Automobilindustrie;
  • Kosten, Aufwand und Komplexität für Hersteller und Zulieferer zu reduzieren;
  • Die Vergleichbarkeit und Qualität der Prüfungen zu gewährleisten;
  • Bewährte Praktiken und Erfahrungen auszutauschen;
  • Jeder Teilnehmer entscheidet, wem und in welchem Detaillierungsgrad die Ergebnisse offengelegt werden.

TISAX kombiniert das etablierte VDA Information Security Assessment (VDA ISA) inklusive der umfangreichen Prüfkriterien für Prototypen des deutschen Verbandes der Automobilindustrie e.V. (VDA) mit dem Anhang A (Technical Controls) der ISO/IEC 27001 sowie einigen Datenschutzanforderungen. 

Vorteile 

TISAX-Assessments sind nicht nur eine Ticket-to-Trade-Anforderung bestimmter Hersteller, sondern tragen auch zur Vertrauensbildung in der Lieferkette bei. Teilnehmende Lieferanten können davon profitieren, indem sie:

  • von den Automobilherstellern anerkannt werden;
  • Verstöße gegen die Informationssicherheit und Cyber-Angriffe verhindern;
  • Kundenvertrauen gewinnen;
  • Risiken identifizieren und bewältigen;
  • Anerkennung für ordnungsgemäße Informationssicherheitsprozesse erhalten;
  • Prüfergebnisse über die Austauschplattform auf dem ENX-Portal teilen.

TISAX® vs ISO/IEC 27001

Während beide Standards die Informationssicherheit abdecken, baut TISAX auf Schlüsselelementen der Norm ISO/IEC 27001 für Managementsysteme der Informationssicherheit auf. Es konzentriert sich jedoch auf Elemente, die speziell für den Kontext der Automobilindustrie relevant sind.

Die wesentlichen Unterschiede sind:  

ISO/IEC 27001TISAX
Managementsystem-StandardDeckt Informationssicherheitsprozesse und Bereiche ab, die für Partner in der Automobilindustrie relevant sind
On/Off Ansatz Reifegrad-Ansatz
Umfang (Scope) wird vor der Zertifizierung definiertUmfang ist “fix”
Unternehmensbezogene RisikoanalyseVDA ISA-Arbeitsgruppen basierte Risikoanalyse
Zertifizierungsstelle stellt Zertifikat ausTISAX erteilt Label und Registrierung für den Austausch
Periodische Audits und Rezertifizierung nach 3 Jahren3-Jahres-Gültigkeit, keine periodischen Audits

Wie wird man geprüft?

Unternehmen, die dem Programm beitreten, müssen sich bei ENX als Teilnehmer registrieren.   

Prozess wird in Stufen aufgebaut:  

  1. Aufmerksamkeit 
    Lernen Sie die TISAX-Anforderungen kennen. Bestimmen Sie Ihre Standorte sowie die zugehörigen Schutzziele.
  2. Vorbereitung 
    Registrieren Sie sich beim TISAX-Portal, suchen Sie sich Ihren Prüfdienstleister aus und bereiten Sie sich auf das Audit vor. Dazu gehört auch eine Selbsteinschätzung, um Ihre Konformität und Bereitschaft zu messen. 
  3. Assessment
    Wie das Assessment durchgeführt wird, hängt davon ab, ob Sie sich für eine Remote-Prüfung (Level 2) oder eine Prüfung vor Ort (Level 3) qualifizieren. Die Prüfung selbst besteht aus Befragungen, einer Dokumentenprüfung, der Klärung möglicher Feststellungen und den nächsten Schritten.
  4. Reporting 
    Nach dem Assessment wird ein umfassender Report verfasst und an ENX geliefert.
  5. Corrective Action Plan and Follow-Up
    Bereiten Sie einen Maßnahmenplan (corrective action plan (CAP)) vor, um Feststellungen zu beheben und Lücken zu schließen. Dieser wird dem Prüfdienstleister vorgelegt. Der CAP wird durch ein Follow-up (oder mehr, falls erforderlich) geprüft und der TISAX-Report wird vervollständigt und wiederum an ENX übermittelt.
  6. TISAX Label und Austausch der Ergebnisse
    Der Prüfdienstleister lädt den TISAX-Report auf die Plattform. Das geprüfte Unternehmen entscheidet, mit wem es die Ergebnisse teilt. ENX erteilt dem geprüften Unternehmen das TISAX-Label.

Wie kann DNV GL Sie unterstützen?

Als ein von ENX akkreditierter Prüfdienstleister kann DNV GL über ein Netzwerk von lokalen Büros und Auditoren TISAX-Bewertungen weltweit anbieten.

ENX pflegt und überwacht die Einhaltung der „Audit Provider Criteria and Assessment Requirements“ (TISAX ACAR) im Sinne der Teilnehmer. Sie genehmigt die Prüfdienstleister und überwacht die Qualität der Durchführung sowie der Prüfergebnisse. ENX wird dabei durch das TISAX Committee unterstützt, dem gleichermaßen Vertreter von Herstellern, Zulieferern und Verbänden angehören. 

Interessenten können sich jederzeit direkt an unsere Experten unter tisax@dnvgl.com wenden.

Ihr Kontakt:

Benötigen Sie mehr Informationen oder wollen ein Angebot anfragen?

Angebot anfragen

Entdecken Sie unsere weiteren Dienstleistungen: