– auf Autopilot
Mit TrustSpace automatisieren Sie das Management Ihrer Informationssicherheit.
Ihre All-in-One Lösung für IT Compliance.
Daten- und Informationssicherheit sind nicht nur für die Erfüllung rechtlicher und regulatorischer Anforderungen wichtig, sondern ebenso essenziell für die Sicherheit und den Erfolg eines jeden Unternehmens. Der verantwortungsbewusste Umgang mit Informationen und der Schutz sensibler Daten ist ein zunehmend wichtiger Faktor für viele Auftraggeber und Kunden. Dementsprechend werden ganzheitliche Informationssicherheits-Managementsysteme (ISMS) mehr und mehr zum geltenden Standard.
Die TISAX®️ (Trusted Information Security Assessment Exchange) beschreibt ein Prüf- und Austauschverfahren, welches die Informationssicherheit in der Automobilindustrie sicherstellen soll. Bei einem Assessment wird die Konformität mit den Anforderungen des VDA Information Security Assessment (VDA ISA) überprüft.
Hintergrund des TISAX®️-Zertifikats sind die hochsensiblen Informationen, die im Planungs- und Herstellungsprozess zwischen Herstellern, Lieferanten und weiteren Dienstleistern ausgetauscht, gespeichert und verarbeitet werden. Diese Informationen stellen ein wichtiges Asset dar, deren Missbrauch oder gar Verlust verheerende (finanzielle) Konsequenzen mit sich bringt.
Eine Zertifizierung lohnt sich aus vielerlei Hinsicht, ist jedoch mit einigen Anforderungen verbunden. Wir haben eine Checkliste entwickelt, mit der wir Sie bei der Implementierung eines TISAX®️-konformen Informationssicherheits-Managementsystems unterstützen und auf das Assessment vorbereiten.
Hinweis: Der Prozess ist davon abhängig welches Level (1,2 oder 3) und welche Prüfziele gewählt werden. Insgesamt gibt es acht Prüfziele, die unternehmensspezifisch ausgewählt werden können. Das Ziel „Umgang mit Informationen mit hohem Schutzbedarf“ bildet die Grundlage eines jeden Assessments – daher liegt auch unser Fokus im Folgenden darauf.
Die Registrierung ist für jede Partei des Zertifizierungsprozesses erforderlich – sowohl für den Zulieferer oder Dienstleister als auch den Automobilhersteller, der eine Zertifizierung verlangt. Eine Registrierung sollte jedoch nicht völlig unvorbereitet durchgeführt, da schon währenddessen einige wichtige Informationen, beispielsweise über den Prüf-Scope, nachgefragt werden.
Der Prüfscope definiert den Umfang der Informationssicherheitsprüfung.
Aus diesem Grund sollten dabei alle Unternehmensbereiche inkludiert werden, die sensible Informationen und Daten des Auftraggebers in irgendeiner Form verarbeiten oder speichern. Allgemein wird zwischen dem Standard- und Custom Scope unterschieden. Da der Standard-Scope von allen TISAX®️ Teilnehmern akzeptiert wird, wird dieser oftmals empfohlen.
In einem nächsten Schritt müssen Prüfziele definiert werden, aus denen dann entsprechende Anforderungen für das Informationssicherheits-Managementsystem des Unternehmens abgeleitet werden. Um das Prüfziel zu definieren, sollten Sie einen Überblick über die Informationen haben, die in Ihrem Unternehmen im Auftrag des Herstellers verarbeitet werden. Aktuell wird zwischen acht Prüfziele unterschieden, die jeweils an einen Kriterienkatalog der ISA geknüpft sind. Das Ziel „Umgang mit Informationen mit hohem Schutzbedarf“ stellt dabei die Grundlage eines jeden Assessments dar, die andere Ziele können in Abhängigkeit zu den zu verarbeitenden Daten des Herstellers relevant werden.
Für das erfolgreiche TISAX®️-Assessment muss das Informationssicherheitsmanagementsystem (ISMS) Ihres Unternehmens wirksam implementiert sein. Um dies festzustellen, muss jedes Unternehmen zunächst eine Selbsteinschätzung auf Basis eines Kriterienkatalogs des ISA durchführen. Das entsprechende Dokument für die Selbsteinschätzung kann online heruntergeladen werden. Zudem verwendet der ISA das Prinzip der „Reifegrade“ mittels dessen der Status quo des zu prüfenden Bereichs angegeben wird.
Im Anschluss an die Selbsteinschätzung, sollte das Ergebnis entsprechend analysiert werden, um einen Eindruck des Status quo des ISMS zu erhalten. Wichtig ist, dass der ISA einen Zielreifegrad festlegt, der erfüllt werden muss, um das Zertifikat zu erhalten. In der Regel beträgt der Zielreifegrad 3, was bedeutet, dass Standardprozesse implementiert wurden sowie Schnittstellen und Abhängigkeiten zu anderen Prozessen dokumentiert sind.
Ziel der Selbsteinschätzung ist es einen Überblick über den Status quo des ISMS Ihres Unternehmens zu erhalten. Durch die Analyse des Ergebnisses erhalten Sie wichtige Informationen, die Sie nutzen sollten, um Ihr ISMS für das TISAX®️-Assessment vorzubereiten. Mit TrustSpace können Sie Ihr ISMS einfach & unkompliziert auf das Assessment vorbereiten.
Nachdem Sie Ihr ISMS optimal vorbereitet haben, sind startklar für die offizielle TISAX®️-Prüfung. Diese ist in zwei Phasen unterteilt, bei dem der Prüfer in der ersten Phase die Selbsteinschätzung prüft und in der Zweiten weitere Prüfungen durchführt. Zudem wird zwischen drei Typen von TISAX®️-Prüfungen unterschieden: Erstprüfung, Maßnahmenplanprüfung und Follow-Up-Prüfung. Die Erstprüfung findet dabei immer statt, Maßnahmen- und Follow-Up-Prüfungen finden in Abhängigkeit der anderen Prüfergebnisse Anwendung, z.B. falls Abweichungen festgestellt werden.
Erstprüfung: Die Erstprüfung markiert einen wichtigen Zeitpunkt für die TISAX®️-Zertifizierung, denn ab Beginn der Erstprüfung hat das Unternehmen neun Monate Zeit die Zertifizierung erfolgreich zu bestehen. Zudem startet auch die dreijährige Gültigkeit des Zertifikats mit der Erstprüfung. Die Erstprüfung beginnt mit der Überprüfung der Prüfungsvoraussetzungen, der Vorstellung des gesamten Projektteams sowie der Planung der Prüfung. Darauf aufbauend führt der Prüfer dann die Prüfung gemäß dem Plan und in Abhängigkeit der Prüfziele durch. In der Regel werden dafür Gespräche, (vor Ort)-Interviews sowie (vor Ort)-Prüfungen durchgeführt. Nach vollendeter Erstprüfung gibt der Prüfer einen Assessment-Bericht ab. Falls dieser das Ergebnis „konform“ aufweist, können die nächsten Prüfungsschritte übersprungen werden. Bei dem Ergebnis „hauptabweichend“ muss zunächst ein Maßnahmenplan für die Beseitigung der Abweichungen entwickelt werden. Bei „nebenabweichend“ liegt ein entsprechender Maßnahmenplan bereits vor und es kann ein temporäres TISAX®️-Zertifikat erreicht werden, welches bis auf eine verkürzte Gültigkeit gleichwertig mit einem permanenten Zertifikat ist.
Maßnahmenprüfungen: Entsprechend dem Ergebnis der Erstprüfung findet gegebenenfalls eine Maßnahmenprüfung statt, falls bestimmte Anforderungen nicht erfüllt wurden. Dieser Plan wird u.a. auf folgende Eigenschaften geprüft:
Follow-Up Prüfung: Eine Follow-Up-Prüfung wird immer dann durchgeführt, sobald alle identifizierten Abweichungen mittels des Maßnahmenplans beseitigt wurden. Falls Abweichungen wiederholt nicht beseitigt werden konnten oder neue Abweichungen identifiziert wurden, kann die Prüfung nach einer Anpassung des Maßnahmenplans beliebig oft wiederholt werden.
Nach jeder vollendeten TISAX-Prüfung wird der Assessment-Bericht aktualisiert erstellt. In diesem werden die Feststellungen des Prüfers dokumentiert, sowie das Gesamtprüfergebnis und weitere Informationen zur Prüfung mitgeteilt. Je nach Ablauf der Prüfung kann ein Bericht für die Erstprüfung, Maßnahmenprüfung und/oder Follow-Up Prüfung erstellt werden. Die Ergebnisse werden über ein Austauschportal veröffentlich und ausgetauscht. Das TISAX-Label, also das Prüfergebnis, hat eine Gültigkeit von drei Jahren, solange keine wesentlichen Änderungen des Prüf-Scopes vorliegen. Nach drei Jahren muss der Prüfprozess wiederholt durchlaufen werden.
Mit unserem Security Engine TrustSpaceOS erfüllen Sie kundenspezifische und regulatorische Anforderungen kontinuierlich – vom grundsätzlichen Schutzniveau im Unternehmen durch ein wirksames ISMS bis hin zur Zertifizierung nach ISO 27001 oder TISAX. Anstatt kundenspezifische Mindestanforderungen vereinzelt und durch hohen manuellen Aufwand nachzuweisen, ermöglichen wir Ihnen die Implementation eines anerkannten Sicherheitssystems. Abhängig vom Status quo brauchen Sie für die Implementation und Zertifizierung Ihres ISMS 12 Wochen und sparen somit in zwei wichtigen Ressourcen: Zeit und Geld. Endlos lange Checklisten und Richtlinien setzten wir ein Ende, indem Sie die Anforderungen intuitiv auf unserer Plattform einsehen und erledigen können. Durch unser Dokumenten-Management haben Sie Zugriff auf alle notwendigen Richtlinien, die von ISO-Auditoren erstellt wurden und durch das automatisierte Bearbeiten, Verteilen und Einsammeln notwendiger Richtlinien ersparen Sie sich und Ihrem Team viele Stunden Arbeit. In unserer End-to-End-Lösung werden Ihre Mitarbeiter optimal eingebunden: vom Verteilen und Sammeln notwendiger Richtlinien bis hin zum automatisierten Zugriffsmanagement.
Sie möchten mehr erfahren? Dann besuchen Sie unsere Website oder sprechen Sie direkt mit einem unseren Experten – kostenlos und unverbindlich.
In Zeiten zunehmend aggressiver Cyberattacken, sorgen sich immer mehr Unternehmen um die Sicherheit ihrer internen Prozesse und Systeme. Dabei sollte der Fokus nicht nur auf der eigenen IT-Sicherheit liegen, sondern auch entsprechende Vorkehrungen der Zulieferer und Dienstleister überprüft werden.
Die TISAX®️ (Trusted Information Security Assessment Exchange) beschreibt ein Prüf- und Austauschverfahren, welches die Informationssicherheit in der Automobilindustrie sicherstellen soll. Bei einem Assessment wird die Konformität mit den Anforderungen des VDA Information Security Assessment (VDA ISA) überprüft.
Die TISAX®️ -Zertifizierung (Trusted Information Security Assessment Exchange) beschreibt ein Prüf- und Austauschverfahren, welches die Informationssicherheit in der Automobilindustrie sicherstellen soll. Bei einem Assessment wird die Konformität mit den Anforderungen des VDA Information Security Assessment (VDA ISA) überprüft.
Rechtliche Hinweise:
TISAX®️ ist eine eingetragenen Marke der ENX-Association.
https://www.enx.com/de-de/tisax
Zwischen der Trustlane Solutions GmbH und der ENX-Association besteht hinsichtlich der vorstehend beschriebenen Beratungsleistungen keine geschäftliche Beziehung. Mit der Nennung der Marke TISAX®️ ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.
Chausseestraße 16
10115 Berlin
info@trustspace.io
