TISAX

Was ist TISAX?

TISAX (Trusted Information Security Assessment Exchange) ist ein Standard für Informationssicherheit in der Automobilindustrie, damit hier der Schutz der Informationen gewährleistet werden kann.

Im Rahmen der fortschreitenden Digitalisierung, der Vernetzung und  der Verwendung von Cloud-Anwendungen sind Unternehmen im Automobilsektor massiv von Cyber-Angriffe bedroht.

Für wen wird TISAX interessant?

TISAX richtet sich branchenunabhängig an externe Zulieferer und Dienstleister, welche mit sensiblen Informationen aus dem Bereich Automotive umgehen. Denn gerade im Automotive ist der Schutz von Prototypen und Geschäftsgeheimnissen im Rahmen der Produktionsentwicklung ein wichtiger Aspekt der geschäftlichen Zusammenarbeit. Deshalb nimmt die Informations- und Datensicherheit hier einen besonders hohen Stellenwert ein.

TISAX vs. ISO/IEC 27001

Die Zertifizierung nach TISAX ist im Grunde ähnlich einer Zertifizierung nach ISO/IEC 27001. TISAX berücksichtigt allerdings mehr die Anforderungen an die Informationssicherheit im Automotive-Umfeld. Hier werden die Unternehmenspartner in den IT-Bereich mit einbezogen, daneben ist der Bereich Datenschutz und Prototypenschutz ein wichtiges Thema.

Unterschiede bestehen weiterhin in der möglichen Definition des Geltungsbereichs, in der Beurteilung des Reifegrades und im Prüfprozess.

Im Geltungsbereich legt die Organisation in der ISO/IEC 27001 den Bereich fest, welcher auditiert wird. TISAX hingegen lässt hier keinen Spielraum zur Einschränkung, da hier alle Mitarbeiter, die mit sensiblen Daten arbeiten standardmäßig im Geltungsbereich sind.

Der Reifegrad gibt an, wie gut das ISMS innerhalb der Organisation implementiert ist. Im Gegensatz zur ISO/IEC 27001 müssen alle Prozesse mindestens über den Reifegrad 3, also „etabliert“ verfügen um eine Zertifizierung standzuhalten.

Der Prüfprozess, also die Selbsteinschätzung der Organisation ist in beiden Normen ein zentraler Punkt. TISAX unterscheidet hier in 3 Level:

  • Level 1 – normale Schutzanforderungen
  • Level 2 – hohe Schutzanforderungen
  • Level 3 –  sehr hohe Schutzanforderungen
Dabei kann die Organisation das Zertifizierungslevel selbst bestimmen. Wobei viele Hersteller für eine Zusammenarbeit auch ein gewisses Level voraussetzen.
Unabhängig davon, welches Zertifizierungslevel gewählt wird, muss im Rahmen der Zertifizierung, eine vollständige Selbstbewertung auf Grundlage des VDA-ISA Katalogs erfolgen.
Für die Level 2 und 3 sind zusätzlich Plausibilitäts- und Vollständigkeitsprüfungen durch einen externen Auditor vorgeschrieben. Nach der Erstprüfung hat die Organisation neun Monate Zeit um sämtliche Abweichungen, die während des Audits identifiziert wurden, zu beheben.

Sind alle Anforderungen erfüllt, erhält die Organisation eine TISAX-Zertifizierung. Diese ist drei Jahre lang gültig. Anders als bei der ISO/IEC 27001, finden keine Überwachungsaudits statt.