Zum Inhalt springen

Bundesweite Rabatt Aktion - Neukunden Rabatt 15% auf ausgewählte Dienstleistungen.

Startseite » Informationsmanagementsysteme » Assessment Anforderungen

Assessment Anforderungen

Die Automobilindustrie hat in den letzten 20 Jahren den Fokus auf digitale Technologien gesetzt. Beispielsweise finden wir heute in jedem Auto eine Rückfahrkamera, Bluetooth, CarePlay, Reifendruckmessung, Geschwindingungsbegrenzer und vieles mehr. Dadurch werden die Systeme immer anfälliger auch für Bedrohungen wie wir sie aus der Informationssicherheit ISO 27001 und den TISAX® Assessment Anforderungen kennen.

Gerade deswegen haben die Automobilhersteller (OEM) mit dem ENX-Verband (Verband europäischer Fahrzeughersteller) bereits in 2016 einen neuen Standard mit namens TISAX entwickelt. TISAX setzt auf den durch den Verband der deutschen Automobilindustrie VDA entwickelten Anforderungen „VDA ISA Fragenkatalog 5.X“ auf. ISA bedeutet „Information Security Assesment“. Der Anforderungskatalog des VDA ISA setzt auf die im Anhang A der ISO 27001 Maßnahmen (Kontrollen) auf oder sind derer sehr ähnlich.

Neben den bereits in der ISO 27001 im Anhang A aufgeführten Sicherheitskontrollen hat der Fragenkatalog VDA ISA® noch weitere Sicherheitskontrollen bzgl. EU-DSGVO (Datenschutz) und Prototypenschutz implementiert.

Die Reifegrade

Für die Umsetzung der Reifegrade der Assessment Anforderungen setzt der TISAX® Standard der ENX Association auf eine Reifegradbewertung, um deren Wirksamkeit aufzuzeigen. Ausserdem wird für jede Anforderung aus dem Fragenkatalog eine Zielreifegradbewertung gefordert. Gerade Unternehmen, die Step by Step die Anforderungen umsetzen wird dadurch die Möglichkeit gegeben, zuerst einen Mindestreifegrad zu implementieren. Durch die Reifegradbewertung erhalten sie im Laufe der Zeit eine kontinuierliche Verbesserung ihres ISMS. Den Reifegrad, den Sie erreichen müssen bestimmt der Kunde.

Reifegrade ISO 27001 und TISAX Anforderungen
Reifegrade ISO 27001 und TISAX Anforderungen

Welche Bedeutung haben die TISAX® Assessment Level

  • Assessment Level 1: Selbsteinschätzung ohne Plausibilitätsprüfung
  • Assessment Level 2: Remote Überprüfung durch die Zertifizierungsstelle – der Assessment Level 2 beinhaltet eine Überprüfung der eingereichten Dokumentation und Nachweise. Im Anschluss daran wird eine Telefonkonferenz bzw. Remote Überprüfung stattfinden
  • Assessment Level 3: Vor Ort Überprüfung durch die Zertifizierungsstelle – der Assessment Level 3 wird vor Ort im Unternehmen durchgeführt. Bewertet werden die Dokumentation, Nachweise und die Räumlichkeiten bzw. das Firmengelände.

Selbsteinschätzung

Für die TISAX Selbsteinschätzung kann der ISO 27001 (Anhang A) implementiert werden. Durch die Selbsteinschätzung wird überprüft ob der erwartete Reifegrad den TISAX Anforderungen entspricht. Die Selbsteinschätzung erfolgt über den Anforderungskatalog VDA ISA 5.03 (Stand 2021). Herausgeber des Anforderungskatalogs ist der Verband der deutschen Automobilindustrie.

VDA ISA Anforderungskatalog

Der VDA ISA Anforderungskatalog kann von der Webseite des VDA heruntergeladen werden (Excel Sheet). Der Kriterienkatalog ist in drei Kategorien unterteilt: Informationssicherheit, Prototypenschutz und Datenschutz. Die Anforderungen (Fragen) in der Kategorie sind für alle Unternehmen gültig. Die Kategorien enthalten mehr als ein Prüfziel pro Kriterienkatalog. Anders als bei der ISO 27001 wo nur ein Maßnahmenziel einer oder mehrerer Maßnahmen zugeordnet werden kann. Man sollte sich intensiv mit den Kriterienkatalog des VDA beschäftigten.

PDCA Zyklus

Im Gegensatz zur ISO 27001 keinen PDCA Zyklus als kontinuierliche Verbesserung implementiert. Eine Reifegradbewertung kann nicht nur für die Kontrollen (Maßnahmen) eingeführt werden, sondern auch für alle Prozesse im ISMS. Bewerten Sie ihre Prozesse anhand der Reifegradbewertung und zeigen Sie dadurch die kontinuierliche Verbesserung ihrer Prozesse und des gesamten ISMS auf. ISO 27001 und VDA ISA Katalog sind sehr ähnlich aufgebaut.

Wenn Sie bereits ein zertifizertes ISMS nach ISO/IEC 27001 eingeführt haben, dann sind die Anforderungen zur Informationssicherheit in Punkto DSGVO und Prototypenschutz als weiterer Baustein zu implementieren. Die Anforderungen des Prototypenschutz müssen nur dann implementiert werden, wenn Ihnen Prototypen durch ihre Kunden bereitgestellt werden. Die Anforderungen an den Prototypenschutz sind nicht ohne höheren Aufwand zu implementieren.

Kosten für eine TISAX Unterstützung

Viele Unternehmen nehmen die Unterstützung von externen Beratern gerne in Anspruch . Die zu erwartenden Kosten für eine Unterstützung zur Implementierung des TISAX® Standards sind je nach Unternehmensgrösse unterschiedlich. In der Regel muss man mit Kosten von 20.000 – 50.000 EUR für kleine- und mittelständische Unternehmen rechnen. Hinzu kommen noch Kosten für Investitionen in neue Server, Räumlichkeiten, Video bzw. Alarmanlagen und sonstige Investitionen in die Infrastruktur, z.B. Sichtschutz bei Fenstern und Türen.

Forderungen der Automobilindustrie nach TISAX®

Alle bekannten Fahrzeughersteller in Deutschland fordern inzwischen von ihren Lieferanten, die Software oder Produkte mit integrierter Software liefern, den TISAX Standard. Daimler mit der MBST 2020 oder Volkswagen in der Geheimhaltungsvereinbarung Teil 2. Alle Lieferanten, die eine Geheimhaltungsvereinbarung mit Volkswagen unterschreiben, verpflichten sich, die ISO 27001 und die Ergänzung des VDA ISA einzuführen.

Zusammenfassung

ISO 27001 und die Assessment Anforderungen des TISAX® Standards sind ähnlich aufgebaut und ergänzen sich. Alles in allen erhöhen die TISAX Anforderungen die Messlatte des ISMS. Grundsätzlich können beide Systeme miteinander und verbessern die Prozesse sowie das gesamte Informationssicherheitsmanagementsystem ISMS.

nv-author-image

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB IntegrationsModell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität

nach oben

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel