TISAX / VDA Informationssicherheit - Trigonum - Managementsysteme für Informationssicherheit und Datenschutz auf Basis Mircosoft 365

TISAX / VDA Informationssicherheit

Kunden schätzen unser Rundum-Service-TISAX Paket. Es enthält alles, was Sie benötigen, um die TISAX Zertifizierung zielgerichtet und effizient umzusetzen.

VDA / TISAX Informationssicherheit Assessment ist zunehmend ein wichtiger Erfolgsfaktor für Automobilzulieferer

Um ein einheitliches Informationssicherheits-Niveau zwischen Produktentwicklung und Zuliefererunternehmen zu erreichen, wurde unter dem Dach der VDA (Verband der Automobilindustrie) das “TISAX-Modell“ (Trusted Information Security Assessment Exchange) entwickelt. TISAX ist ein neuer, wechselseitig anerkannter Prüfungsstandard für Informationssicherheit in der Automobilbranche, so dass alle Beteiligten der Wertschöpfungskette (Supply Chain) über ein vergleichbares Sicherheitsniveau in Bezug auf Informationssicherheit verfügen.

Die OEMs, z. B. der Volkswagen Konzern, BMW oder die Daimler AG, überprüfen bei wichtigen Lieferanten den Status des Informationssicherheits-Managementsystems (ISMS). Durch externe Firmen werden Audits anhand von VDA/TISAX Assessment Fragebögen durchgeführt. Im Fokus sind hier insbesondere der Prototypenschutz, die IT Infrastruktur, der Datenschutz und die relevanten Anwendungen, die im Rahmen des Entwicklungsprozesses genutzt werden.

Werden die Grundanforderungen des VDA/TISAX Informationssicherheits-Assessment nicht erreicht, führt es in den meisten Fällen dazu, dass Lieferanten der OEMs bestehende Aufträge verlieren oder für zukünftige Anfragen gar nicht mehr berücksichtigt werden. Dies kann zu Umsatzverlusten in Millionenhöhe führen oder gegebenenfalls die Existenz des Unternehmens bedrohen. Somit wird ein direkter Zusammenhang zwischen Informationssicherheit und Unternehmenserfolg sichtbar.

Der Einfluss der Informationssicherheit kann jetzt sogar mit Zahlen und Fakten belegt werden. Bisher war der Wertbeitrag der Informationssicherheit dem Management meist nur schwer vermittelbar. Jetzt sollte fehlende Informationssicherheit im Risikomanagement jedes Unternehmens auftauchen.

Warum TISAX mit Trigonum einführen?

Trigonum kennt die Automobilindustrie so gut wie nur wenige Beratungsunternehmen im Bereich Informationssicherheit.

Wir als Trigonum verfügen über mehr als 50 Jahre Erfahrung in der Automobilindustrie, zum einen auf Seiten der OEMs (z.B. Porsche, Daimler Chrysler) als auch auf Seiten der Zulieferer. Auf beiden Seiten verfügen wird über Managementerfahrung als CIO, IT-Leiter, Leiter Prozess Management, Projektleiter in verschieden Unternehmensbereichen wie IT, Einkauf, Entwicklung, Produktion und Projektmanagement.

Wir haben zahlreiche TISAX Zertifizierungen in Unternehmen unterschiedlichster Größe, von der Ein-Personen GmbH bis hin zu globalen Zulieferer-Konzernen, begleitet. Wir können Sie somit umfassend beraten:

  • Wir kennen die Praxis, wir wissen wie Unternehmen ticken und wir kennen die Herausforderung neben dem Tagesgeschäft Dokumentationen und Richtlinien zu erstellen und neue Prozesse einzuführen.
  • Als Berater bringen wir das methodische Rüstzeug, die Toolunterstützung und die Konzepte mit, um die TISAX Anforderungen zielgerichtet umzusetzen. Hierbei helfen uns die Erfahrungen unserer Auditorentätigkeit (TÜV Rheinland, TÜV Süd) und Leitungserfahrung in IT Organisationen die richtige Balance zwischen den Normanforderungen und der Umsetzbarkeit in der täglichen Praxis im Unternehmen zu finden.
  • Wir begleiten weltweit (Europa, Asien, USA, Mittel- und Südamerika, Afrika) den Aufbau von Informationssicherheits-Managementsystemen gemäß TISAX. Hierbei sind wir entweder direkt vor Ort tätig oder unterstützen remote in Abhängigkeit der Anforderungen.
  • Kurzum: Trigonum ist der Full Service Partner für Informationssicherheit und Datenschutz in der Automobilindustrie.

Wir helfen Ihnen die VDA / TISAX Anforderungen zu erfüllen!

Ihr Nutzen:

  • Durchgängig methodische Unterstützung bei der Durchführung von Analysen zur ganzheitlichen Risikobetrachtung
  • Unabhängige Statusbestimmung des Sicherheitsniveaus auf Basis des VDA / TISAX Assessmentfragebogens.
  • Definition von Sicherheitsmaßnahmen zur Erreichung des vom VDA / TISAX geforderten Sicherheitsniveaus.
  • Erstellung der notwendigen Policies, Dokumente und Prozesse für den Aufbau eines Informationssicherheits-Managementsystems (ISMS) gem. VDA / TISAX Anforderungen
  • Durchführung der Schulungs- und Sensibilisierungsmaßnahmen für Ihre Mitarbeiter.
  • Begleitung während des Audits, damit Sie fachgerecht auf die Fragen und Anforderungen der Auditoren reagieren können.
  • Begleitung auf dem Weg zur Erlangung eines ISO 27001 Zertifikates.

Kontaktieren Sie uns noch heute und vereinbaren Sie mit uns einen unverbindlichen Gesprächstermin zum Thema VDA / TISAX Informationssicherheits Assessment und Prototypenschutz.

Für weitere Informationen und Unterstützung im Bereich TISAX
sprechen Sie uns an!

Der direkte Draht zu Trigonum:
+49 40 3199 1618 0
Trigonum GmbH
Notkestrasse 9
22607 Hamburg

    Die Daten, die mit einem Sternchen versehen sind, benötigen wir, um Ihre Anfrage zu bearbeiten. Von Ihnen im Kontaktformular eingegebene Daten verarbeiten wir gemäß unserer Datenschutzerklärung.

    Mehr zum Thema TISAX

    • TISAX Assessment Level
      • Assement Level Kategorien

      Bei der Zertifizierung nach TISAX gibt es verschiedene Assement Level nach denen geprüft wird. Die Prüfstufen/Assessments (Abgekürzt: AL1-3) definieren sich wie folgt:
      TISAX Assessment – Level 1 (Normal)
      Bestehend aus einer Selbstauskunft anhand eines Fragenkatalogs hat Level 1 eine geringe Aussagekraft und wird selten angewandt oder von Partnern gefordert.
      TISAX Assessment – Level 2 (hoch)
      Level 2 wird durch ein Telefoninterview sowie einen Plausibilitäts-Check durch ein akkreditiertes beauftragtes Prüfungs-Unternehmen erreicht. Wenn zusätzlich als Prüf-Ziel die „Anbindung Dritter“ definiert ist, ist eine Vor-Ort-Prüfung zwingend notwendig.
      TISAX Assessment – Level 3 (sehr hoch)
      Um das Level 3 zu erreichen, muss eine Vor-Ort-Prüfung direkt im Unternehmen und die Dokumentenprüfungen durch die Experten eines beauftragten akkreditierten Prüfunternehmens bestanden werden.

      Es empfiehlt sich bei der ersten Zertifizierung nach TISAX das Anstreben des Level 3, um auf künftige Anforderungen vorbereitet zu sein, ohne Doppelarbeit zu verursachen.

      Allgemeine Überlegungen / Informationen zum Assessment Level
      • Informationsklassifizierung und Schutzbedarf.
        Die Zuordnung von Informationsklassifizierung (wie vertraulich, geheim) zu Schutzbedarf kann für verschiedene Partner unterschiedlich sein. Es ist wichtig, sich einen Überblick über die Partneranforderungen für den jeweiligen Standort zu verschaffen.
      • Höhere Beurteilungsstufen schließen immer niedrigere Assessment-Level ein. Wenn die Beurteilung z. B. auf AL, kann sie automatisch alle Anforderungen der AL 2 erfüllen.
      • Wenn Sie ein Assessmentlevel (und damit implizit eine entsprechende Beurteilungsstufe) nach eigenem Ermessen auswählen müssen, empfehlen wir, Assessment-Level zu wählen, die ein Assessment-Level 3 implizieren. Gerade an Standorten, die mit mehreren Partnern zu tun haben, ist zu berücksichtigen, dass die Anforderungen von Partner zu Partner unterschiedlich sein können. Mit Assessment-Level 3 ist man für alle zukünftigen Anforderungen gerüstet und muss sich nicht mit verschiedenen Assessment-Levels herumschlagen.
      • Der Aufwand für TISAX-Assessments in Assessment-Level 3 ist nicht generell höher als in Assessment-Level 2. Während die Kosten für ein Assessment in Assessment-Level 2 geringer sind, kann der interne Aufwand höher sein. Dies liegt daran, dass eine Beurteilung in der Assessment-Level 2 in der Regel eine umfassendere Selbstbeurteilung und eine bessere interne Dokumentation erfordert. Bei Beurteilungen in der Assessment-Level 3 reicht dem Auditor oft das Zeigen von Dingen zusammen mit einer einfachen Dokumentation als Nachweis aus. Aber ohne eine Vor-Ort-Begehung wird der Auditor eine genaue Dokumentation verlangen. Daher ist es nicht unüblich, Assessment- Level 3 gegenüber Assessment-Level 2 zu wählen.
    • TISAX Ablauf
      • 1. Ihr Kunde fordert ein TISAX Assessment

      Der TISAX-Prozess beginnt in der Regel damit, dass einer Ihrer Kunden Sie auffordert, ein Informationssicherheitsmanagements gemäß den Anforderungen des „VDA Information Security Assessment“ (ISA) nachzuweisen. Häufig ist aber nicht klar, welches Niveau Sie erreichen müssen. (hierzu lesen Sie bitte unsere Ausführungen zu den einzelnen TISAX Assessment Level).

      2. Registrierung

      Zugang zum TISAX-Portal, das den Austausch der Assessment-Daten erleichtert, erhalten Unternehmen durch eine Teilnehmer-Registrierung. Diese gilt als Voraussetzung, um einen Prüfdienstleister mit einem Assessment zu beauftragen.

      Als Ergebnis einer erfolgreichen Registrierung wird für jeden registrierten Scope ein sogenanntes „TISAX SCOPE REGISTRATION EXCERPT“ verfügbar, das als PDF-Datei entweder in deutscher oder englischer Sprache aus der TISAX-Datenbank erzeugt wird. Mehrere Standorte können zu einem Scope zusammengefasst werden. Das vollständig ausgefüllte „Excerpt“ ist die Basis einer Kalkulation des Assessment-Aufwands, ergänzt durch zusätzliche Informationen, die ebenfalls abzufragen sind.

      3. Aufbau des ISMS gemäß den TISAX Anforderungen

      Der nächste Schritt ist der Aufbau eines Informationssicherheits-Managementsystems und die Umsetzung der TISAX Anforderungen. Hierbei unterstützt Trigonum Sie vom begleitenden Coaching bis hin zur Übernahme des externen Informationssicherheits-Managementbeauftragten.

      4. Beauftragung eines Prüfdienstleisters

      Wenn Ihr ISMS einen Reifegrad erreicht hat, so dass eine externe Zertifizierung erfolgreich erreicht werden kann, wird ein Prüfdienstleister ausgewählt. Trigonum verfügt über Zertifizierungserfahrungen mit unterschiedlichen Dienstleistern in Europa, Amerika und Asien und kann Sie hier kompetent unterstützen.

      5. Dokumenten Prüfung und/oder vor Ort Prüfung

      Um für eine TISAX-Prüfung bereit zu sein, muss in erster Linie Ihr Informationssicherheitsmanagementsystem (ISMS) in Bestform sein. Um herauszufinden, ob Ihr ISMS dem erwarteten Reifegrad entspricht, müssen Sie eine Selbsteinschätzung auf Basis des ISA durchführen. Der ISA („Information Security Assessment“) ist ein vom „Verband der Automobilindustrie e.V.“ (VDA) herausgegebener Kriterienkatalog. Es ist der Branchenstandard der Automobilindustrie für Informationssicherheits-Assessments. Die vorhandenen Dokumente werden den Controls zugeordnet und dem Prüfdienstleister wird der ausgefüllte Kriterienkatalog übersendet.

      In Abhängigkeit des Assessmentlevel reicht eine Remote Dokumentenprüfung und ein telefonisches Interview, bei einem Assessment Level 3 und dem Umgang mit Prototypen muss eine vor Ort Prüfung erfolgen.

      6. Eventuell Umsetzung von Korrekturmaßnahmen

      Abhängig vom Prüfergebnis müssen ggf. Korrekturmaßnahmen umgesetzt werden.

      7. Auditbericht und Austausch der Auditergebnisse

      Der „TISAX-Bericht“:

      • wird nach jeder TISAX-Prüfung aktualisiert und ausgestellt.
      • dokumentiert die Feststellungen Ihres Prüfdienstleisters.
      • enthält das Gesamtprüfergebnis (Konform, Nebenabweichend, Hauptabweichend).
      • enthält alle weiteren Informationen zu Ihrer TISAX-Prüfung (z. B. Prüfziel, Scope, beteiligte Personen und Standorte).

      Es ist eines der Hauptmerkmale von TISAX, dass Sie selbst entscheiden können, welche Teile des TISAX-Berichts Sie mit Ihrem Partner oder jedem anderen Teilnehmer teilen möchten. Die Struktur des TISAX-Berichts ist so konzipiert, dass sie diese Art des selektiven Teilens ermöglicht. Jeder Abschnitt erweitert den Detaillierungsgrad.

    • TISAX vs. CSMS
      • TISAX und Cybersecurity Managementsystem (CSMS) – Wie hängt es zusammen?

      Die Wirtschaftskommission für Europa der Vereinten Nationen (UNECE) hat auf die zunehmenden Cybersecurity-Herausforderungen reagiert und die Task Force on Cyber Security and Over-the-Air issues ins Leben gerufen. Die UNECE fordert eine Auditierung des Cybersecurity-Managementsystems (CSMS) der OEMs und ein Assessment bezüglich Cybersecurity im Rahmen der Typgenehmigung. Ein Automotive Cybersecurity-Managementsystem-Audit ist ein Vorgehen zur unabhängigen Analyse und Beurteilung eines Automotive CSMS, d.h. eines systematischen risikobasierenden Managementsystems, das organisatorische Prozesse, Verantwortlichkeiten und Methoden definiert, um Bedrohungen einzudämmen und Fahrzeuge vor Cyberangriffen zu schützen.

      Im Gegensatz zum Informationssicherheits-Managementsystem (ISMS), das in der Automobilbranche durch TISAX zertifiziert wird, zielt das Automotive CSMS explizit auf den Schutz der Verkehrsteilnehmer bzw. Bevölkerung im Kontext zunehmender Vernetzung und Automatisierung von Fahrzeugen ab. Ein ISMS hingegen betrachetet primär Informationssicherheit innerhalb der Organisation und prüft somit eine gesicherte Zusammenarbeit in der Lieferkette.

      Es ist davon auszugehen, dass Unternehmen die für Komponenten ein CSMS umsetzen müssen auch zusätzlich immer eine TISAX Zertifizierung benötigen, denn nur so kann der Rahmen für eine sichere Produktentwicklung, Fertigung und einen sicheren Betrieb von Anwendungen und Systemen gewährleistet werden.

    • Toolunterstützung

      • Für den Aufbau und Betrieb eines professionellen Informationssicherheits-Managementsystems haben wir unser innovatives Tool für integrierte Managementsysteme „TRIGovernance“ entwickelt. Die enge Verzahnung der Lösungsbausteine Dokumentenmanagement und Dokumentenlenkung, Informationsklassifizierung, Asset- und Risikomanagement, Verarbeitungsbeschreibungen sowie Audit- und Aufgabenmanagement machen „TRIGovernance“ zu einer leistungsfähigen Zusammenarbeitsplattform für integrierte Managementsysteme. Somit haben Unternehmen alle Informationen und Lösungsbausteine zentral an einem Ort, vereinfachen die Prozesse und nutzen Synergien für die Abbildung der unterschiedlichen Managementsysteme.