TISAX® – Trusted Information Security Assessment Exchange


TISAX®

TISAX Definition

TISAX® – Der Standard für Informationssicherheitsbewertungen in der Automobilindustrie

TISAX (Trusted Information Security Assessment Exchange) ist ein Prüf- und Austauschmechanismus von Prüfergebnissen nach dem branchenspezifischen Standard VDA-ISA[1], der in der ENX Association entwickelt[2] wird und durch den Verband der Automobilindustrie (VDA) veröffentlicht wird. Der Standard betrifft die sichere Verarbeitung von Informationen von Geschäftspartnern, den Schutz von Prototypen und den Datenschutz gemäß Datenschutz-Grundverordnung (DSGVO) für mögliche Geschäfte zwischen Autoherstellern und ihren Dienstleistern oder Lieferanten. Der VDA hat TISAX 2017 gemeinsam mit der ENX Association[3] etabliert. TISAX ist ein Standard für ein Information Security Management System (ISMS), der in der Version 1 aus dem Jahr 2017 aus der Norm ISO/IEC 27001 abgeleitet wurde, sich aber seitdem auseinanderentwickelt hat. TISAX wurde als ein für die Risikobewertung von Lieferanten optimierten System zum Austausch normierter Prüfergebnisse in der Automobilindustrie[4] geschaffen.

Prüfungen nach TISAX, insbesondere bei Dienstleistern und Lieferanten, werden von sogenannten „TISAX Prüfdienstleistern“ durchgeführt. Die ENX Association agiert in dem System als Governance-Organisation. Sie lässt die Prüfdienstleister zu und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse. So soll sichergestellt werden, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen, als auch die Rechte und Pflichten der Teilnehmer gewahrt werden. Damit kann ein Unternehmen entscheiden, ob der sich ergebende Reifegrad des Zulieferers (Dienstleistern und Lieferanten) den Anforderungen des Käufers entspricht.

Die Prüfanforderungen wurde bereits mehrfach überarbeitet. Im Oktober 2020 wurde der Stand 5.0 veröffentlicht.[2] Hintergründe, Anwendungsbereiche, Ausführungsprozesse und Prüfanforderungen sind in einem Handbuch zusammengefasst.

Vergleich zur Zertifizierung/Prüfung nach ISO/IEC 27001

Grundsätzliche Unterschiede

  • TISAX ist Kfz-Branchen-spezifisch, ISO/IEC 27001 genereller und auch für andere Bereiche anwendbar.
  • ISO/IEC 27001 erlaubt eine echte Zertifizierung, TISAX sieht dies nicht vor.
  • TISAX enthält mehr Controls zum Datenschutz, während das Datenschutzmanagement in den ISO/IEC 27000ff. in ISO/IEC 27701 in einer eigenen Norm festgelegt wird und einer zusätzlichen bzw. kombinierten Auditierung bedarf.
  • Das Audit nach TISAX setzte ausschließlich auf der Management- und Sicherheitsbeauftragten-Ebene an, ISO/IEC 27001 sieht bei der Auditierung grds. die Möglichkeit vor, einzelne Mitarbeiter hinsichtlich der Umsetzung und Kenntnis des ISMS zu befragen.
  • Nach ISO/IEC 27001 kann das geprüfte Unternehmen den Scope – in den Grenzen der Norm – selbst festlegen, etwa beschränkt auf einzelne Standorte oder bestimmte Dienstleistungen, und bestimmte Bereiche ein oder ausschließen. Der Scope von TISAX ist dagegen in der Norm selbst festgelegt und umfasst das gesamte Unternehmen und ISMS.
  • ISO/IEC 27001 geht von der Unternehmenssicht auf das ISMS aus, die TISAX-Sicht ist die der Lieferkette der OEM.

Vorteile TISAX

  • Durch die klare Definition der (drei) Reifegrade[5] ist die Bewertung der Controls feingliedriger als bei der ISO/IEC 27001, deren Bewertung – trotz einheitlicher Qualitätskriterien – nur eine Stufe "erfüllt" kennt.

Nachteile TISAX

  • Es ist den Teilnehmern nicht erlaubt, mit einer erfolgreichen Prüfung des ISMS nach TISAX aktive, allgemeine Werbung, z. B. auf der Unternehmenswebsite, zu betreiben
  • Fordern Geschäftspartner einen Nachweis über ein zertifiziertes ISMS, so ist Zugriff auf die Prüfungsergebnisse nur nach Registrierung bei der ENX möglich, und dieser ist immer mit Kosten verbunden[6]. Ist also bei einer Ausschreibung ein zertifiziertes ISMS gefordert, so könnte das ein Nachteil gegenüber Wettbewerbern sein, welche ihr ISMS nach ISO/IEC 27001 zertifizieren lassen haben und das Zertifikat direkt mit dem Angebot mitliefern können; der Empfänger kann es einfach anhand der Zertifikatsnummer beim DAkkS akkreditierten Prüfdienstleister ohne Anmeldung oder Kosten validieren.
  • Wesentlich geringere Bekanntheit von TISAX im Vergleich zu ISO/IEC 27001

Weblinks

Einzelnachweise

  1. ENX Arbeitsgruppe ISA: Information Security Assesment. Verband der Automobilindustrie e.V., 2. Oktober 2020, abgerufen am 2. März 2022 (deutsch).
  2. a b Das Wichtigste zum Tisax-Update. In: Automobil Industrie. Abgerufen am 21. Mai 2021.
  3. Christian Otto: TISAX: Zertifiziert oder außen vor. In: Automobil Industrie. Abgerufen am 21. Mai 2021.
  4. Informationssicherheit: Das VDA-TISAX-Modell ermöglicht Standardisierung, Qualitätssicherung und gemeinsame Anerkennung von Prüfergebnissen. VDA, 27. November 2017, abgerufen am 4. September 2021.
  5. Register "Reifegrade" im VDA ISA Assessment [1]
  6. Willkommen bei TISAX · ENX Portal. Abgerufen am 28. November 2021: „either way is associated with costs.“