TISAX – Wikipedia

TISAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschmechanismus von Prüfergebnissen nach dem branchenspezifischen Standard VDA-ISA,[1] der im Hinblick auf die Durchführung von Information Security Assessments (ISA) in der ENX Association entwickelt wurde[2] und durch den Verband der Automobilindustrie (VDA) freigegeben und veröffentlicht wird. Der Standard betrifft die sichere Verarbeitung von Informationen von Geschäftspartnern, den Schutz von Prototypen und den Datenschutz gemäß Datenschutz-Grundverordnung (DSGVO) für mögliche Geschäfte zwischen Autoherstellern und ihren Dienstleistern oder Lieferanten. Der VDA hat TISAX 2017 gemeinsam mit der ENX Association[3] entwickelt und etabliert. TISAX ist ein Standard für ein Information Security Management System (ISMS), der in der Version 1 aus dem Jahr 2017 aus der Norm ISO/IEC 27001 abgeleitet wurde, sich aber seitdem auseinanderentwickelt hat. TISAX wurde als ein für die Risikobewertung von Lieferanten optimiertes System zum Austausch normierter Prüfergebnisse in der Automobilindustrie[4] geschaffen.

Prüfungen nach TISAX, insbesondere bei Dienstleistern und Lieferanten, werden von „TISAX Prüfdienstleistern“ durchgeführt. Die ENX Association agiert in dem System als Governance-Organisation. Sie lässt die Prüfdienstleister zu und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse. So soll sichergestellt werden, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen, als auch die Rechte und Pflichten der Teilnehmer gewahrt werden. Damit kann ein Unternehmen entscheiden, ob der sich ergebende Reifegrad des Zulieferers (Dienstleister und Lieferanten) den Anforderungen des Käufers entspricht.

Die Prüfanforderungen wurden mehrmals überarbeitet. Im Oktober 2020 wurde der Stand 5.0 veröffentlicht.[2] Im 1. April 2024 ist der neue VDA-ISA Katalog 6.0 in Kraft getreten.

Hintergründe, Anwendungsbereiche, Ausführungsprozesse und Prüfanforderungen sind in einem TISAX Handbuch zusammengefasst.

Vergleich zur Zertifizierung/Prüfung nach ISO/IEC 27001

[Bearbeiten | Quelltext bearbeiten]

Grundsätzliche Unterschiede

[Bearbeiten | Quelltext bearbeiten]
  • TISAX ist Kfz-branchenspezifisch, ISO/IEC 27001 genereller und auch für andere Bereiche anwendbar.
  • ISO/IEC 27001 erlaubt eine echte Zertifizierung, TISAX sieht dies nicht vor.
  • TISAX enthält mehr Controls zum Datenschutz, während das Datenschutzmanagement in den ISO/IEC 27000ff. in ISO/IEC 27701 in einer eigenen Norm festgelegt wird und einer zusätzlichen bzw. kombinierten Auditierung bedarf.
  • Das Audit nach TISAX setzte ausschließlich auf der Management- und Sicherheitsbeauftragten-Ebene an, ISO/IEC 27001 sieht bei der Auditierung grundsätzlich die Möglichkeit vor, einzelne Mitarbeiter hinsichtlich der Umsetzung und Kenntnis des ISMS zu befragen.
  • Nach ISO/IEC 27001 kann das geprüfte Unternehmen den Scope – in den Grenzen der Norm – selbst festlegen, etwa beschränkt auf einzelne Standorte oder bestimmte Dienstleistungen, und bestimmte Bereiche ein oder ausschließen. Der Scope von TISAX ist dagegen in der Norm selbst festgelegt und umfasst das gesamte Unternehmen und ISMS.
  • ISO/IEC 27001 geht von der Unternehmenssicht auf das ISMS aus, die TISAX-Sicht ist die der Lieferkette in der Automobilindustrie.
  • TISAX bezieht sich bei der Prüfung auf Unternehmen und deren Standorte, wohingegen ISO/IEC 27001 sich immer nur auf einen vom geprüften Unternehmen definierten Bereich bezieht. Damit ist TISAX genauer und umfassender.
  • Durch jahresweise Updates des VDA-ISA ist es möglich, schneller auf neue Technologien und Bedrohungen zu reagieren. Anpassungen an der ISO/IEC 27001 benötigen immer den zeitaufwendigen ISO-Prozess.
  • Durch die klare Definition der (drei) Reifegrade[5] ist die Bewertung der Controls feingliedriger als bei der ISO/IEC 27001, deren Bewertung – trotz einheitlicher Qualitätskriterien – nur eine Stufe „erfüllt“ kennt.
  • Im TISAX gibt der Auftraggeber den Scope und Tiefe der Prüfung vor. In der ISO/IEC 27001 definiert der zu prüfende den Scope selber.

Nachteile TISAX

[Bearbeiten | Quelltext bearbeiten]
  • Fordern Geschäftspartner einen Nachweis über ein zertifiziertes ISMS, so ist Zugriff auf die Prüfungsergebnisse nur nach Registrierung bei der ENX möglich, und diese ist immer mit Kosten verbunden[6]. Ist also bei einer Ausschreibung ein zertifiziertes ISMS gefordert, so könnte das ein Nachteil gegenüber Wettbewerbern sein, welche ihr ISMS nach ISO/IEC 27001 zertifizieren lassen haben und das Zertifikat direkt mit dem Angebot mitliefern können; der Empfänger kann es einfach anhand der Zertifikatsnummer beim DAkkS akkreditierten Prüfdienstleister ohne Anmeldung oder Kosten validieren.

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. ENX Arbeitsgruppe ISA: Information Security Assesment. Verband der Automobilindustrie e.V., 2. Oktober 2020, abgerufen am 2. März 2022 (deutsch).
  2. a b Das Wichtigste zum Tisax-Update. In: Automobil Industrie. Abgerufen am 21. Mai 2021.
  3. Christian Otto: TISAX: Zertifiziert oder außen vor. In: Automobil Industrie. Abgerufen am 21. Mai 2021.
  4. Informationssicherheit: Das VDA-TISAX-Modell ermöglicht Standardisierung, Qualitätssicherung und gemeinsame Anerkennung von Prüfergebnissen. VDA, 27. November 2017, archiviert vom Original (nicht mehr online verfügbar) am 20. September 2020; abgerufen am 4. September 2021.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.vda.de
  5. Register „Reifegrade“ im VDA ISA Assessment [1]
  6. Willkommen bei TISAX · ENX Portal. Abgerufen am 28. November 2021: „either way is associated with costs.“