Die Anforderungen an eine TISAX® Zertifizierung ist abhängig vom jeweiligen Assessment Level. Der zugrundeliegende Fragenkatalog VDA ISA dient der Selbstauskunft und als Anwendbarkeitserklärung, angelehnt an die ISO/IEC 27001.
ENX, TISAX® und ihre jeweiligen Logos sind eingetragene Marken der ENX Association. SMCT Management steht in keiner geschäftlichen Beziehung zu ENX Association. Unser Angebot bezieht sich lediglich auf Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment. Die ENX Association ist nicht verantwortlich für die Inhalte auf unserer Webseite.
VDA ISA Fragenkatalog
Der VDA ISA Fragenkatalog ist die Grundlage der TISAX® Zertifizierung und setzt sich zusammen aus drei Kategorien:
- Informationssicherheit
- Grundlage der Zertifizierung
- Enthält 41 Maßnahmen (Controls)
- Datenschutz
- Zusatzanforderung für die Verarbeitung von personenbezogenen Daten
- Enthält 4 Maßnahmen (Controls)
- Prototypenschutz
- Zusatzanforderung für Protypen (Fahrzeug, Komponenten und Bauteile)
- Enthält 22 Maßnahmen (Controls)
Anforderungen an VDA ISA Fragenkatalog
- Selbstauskunft
- Erklärung der Anwendbarkeit
- Scope Varianten (Auditarten)
- Standard Scope
- Erweiterter Scope
- Eingeschränkter Scope
- Ausschluss von Maßnahmen mit Begründung
- Ausschluss von Risiken müssen akzeptiert werden
- Aufrechterhaltung der Informationssicherheit muss gewährleistet sein
Der Weg zur Zertifizierung
- Einführung eines ISMS mit den Zusatzforderungen VDA ISA (VDA Information Security Assessment)
- Registrierung bei der ENX – Portal dient zum Austausch der Prüfergebnisse (Sichtbar für jeden TISAX® Teilnehmer
- Zertifizierungsstelle auswählen
- Selbsteinschätzung durchführen bzw. Voraudit durch die Zertifizierungsstelle
- Zertifizierungsaudit Stufe 1 (Bereitschaftsbewertung) und Stufe 2 (Zertifizierung)
- Erteilung Zertifikat (Gültigkeit 3 Jahre – jährliche interne Audits)
Bei einer TISAX® Zertifizierung werden Feststellungen im Audit folgendermaßen behandelt:
- Hauptabweichung
- MUSS Anforderung nicht erfüllt – erhöhtes Risiko für das gesamte ISMS
- Nebenabweichung
- Teilweise Anforderung nicht erfüllt – Risiko, welches nicht das gesamte ISMS gefährdet
Der Schutzbedarf kann von Unternehmen zu Unternehmen unterschiedlich sein:
- Ein normaler Schutzbedarf (Assessment Level 1) erfolgt in der Regel durch eine Selbstauskunft. Davon betroffen ist nur die Informationssicherheit ohne Datenschutz und Prototypenschutz
- Ein hoher Schutzbedarf (Assessment Level 2) erfolgt durch eine Prüfung auf Aktenbasis ohne Protoyphenschutz.
- Ein sehr hoher Schutzbedarf (Assessment Level 3) erfolgt durch eine vor-Ort Prüfung inkl. Datenschutz und Prototypenschutz
In Deutschland gibt es eine Reihe von Zertifizierungsstellen, die eine TISAX® Zertifizierung durchführen dürfen:
- Bureau Veritax Certification
- DEKRA
- DQS
- TÜV Nord Cert
- TÜV Rheinland
- TÜV SÜD
- Ernst & Young Wirtschaftsprüfungsgesellschaft
- KPMG AG Wirtschaftsprüfungsgesellschaft
Kosten einer TISAX® Zertifizierung
Die Kosten für eine TISAX® Zertifizierung sind abhängig von den Mitarbeitern, die im Anwendungsbereich des ISMS arbeiten. Pro Manntag muss mit ca. 1.200 bis 1.500 EUR gerechnet werden. Hinzu kommen noch die Reise- und Übernachtungskosten. Die Kosten pro Manntag sind pro Auditor (Prüfer) zu bezahlen. Die Kosten sind aber je nach Zertifizierungsstelle unterschiedlich. Holen Sie sich mehrere Angebote ein und vergleichen Sie diese. Vor allem bei den Reisekosten sind zum Teil erhebliche Unterschiede festzustellen.
Unterstützung und Begleitung zur Zertifzierungsreife
Wir unterstützen Sie bei der Umsetzung der VDA ISA Forderungen und der Implementierung der ISO/IEC 27001. Sprechen Sie uns an über unser Kontaktformular oder telefonisch. Wir vereinbaren einen persönliches, kostenloses Erstgespräch.
Vor- und Nachteile TISAX – ISO 27001
ISO 27001 und TISAX sind beide Standards für Informationssicherheits-Managementsysteme (ISMS), die sich an unterschiedliche Zielgruppen wenden.
| Vorteile | Nachteile | Standard |
|---|---|---|
| Internationale Anerkennung | Implementierung kann zeitaufwendig und teuer sein | ISO 27001 |
| Umfassender Sicherheitsansatz | Möglicherweise nicht branchenspezifisch genug | ISO 27001 |
| Flexibilität bei der Auswahl von Kontrollen | Erfordert kontinuierliche Überwachung und Aktualisierung | ISO 27001 |
| Reduziert Risiken und verbessert das Vertrauen | Kann hohe Anforderungen an das Personal stellen | ISO 27001 |
| Unterstützt Compliance-Anforderungen | ISO 27001 | |
| Branchenspezifisch (Automobilindustrie) | Nur innerhalb der Automobilindustrie anerkannt | TISAX |
| Gemeinsames Bewertungs- und Austauschverfahren | Möglicherweise weniger Flexibilität bei der Auswahl von Kontrollen | TISAX |
| Schutz von vertraulichen Informationen und geistigem Eigentum | Implementierung kann zeitaufwendig und teuer sein | TISAX |
| Harmonisierung von Sicherheitsanforderungen | Erfordert kontinuierliche Überwachung und Aktualisierung | TISAX |
| Reduziert redundante Audits | Kann hohe Anforderungen an das Personal stellen | TISAX |
