Etablierung eines ISMS nach VDA ISA

Schützen Sie Ihre relevanten Unternehmensinformationen nach VDA ISA.

Dieses Video wird beim Abspielen von YouTube geladen. Mit dem Abspielen akzeptieren Sie die Datenschutzerklärungen von HVS Consulting / IS-FOX und YouTube.

Die Schritte zu Ihrem TISAX-Label

Wir sind selbst TISAX zertifiziert (Assessment Level 2) und kennen jeden einzelnen Schritt sehr genau. Deshalb können wir Sie bestens begleiten und coachen, vom Projektbeginn bis hin zur TISAX-Zertifizierung.

Tisax 01

Coaching Workshop

Da es nicht "das eine TISAX-Zertifikat" gibt, ist es wichtig zu Beginn Themen wie Scope, Prüfziele, TISAX-Label und Assessment Level zu diskutieren. Schließlich wollen Sie am Ende nicht nur ein TISAX-Label, sondern das richtige TISAX-Label, das auch von Ihren Zielgruppen akzeptiert wird.

In dieser initialen Coaching Session vermitteln wir Ihnen die Grundlagen und Anforderungen von TISAX, den Aufbau des TISAX-Prüfkatalogs, sowie den TISAX-Prüfprozess. Also alles, was Sie für einen erfolgreichen Start benötigen. 

Neben Ihren individuellen Fragen beantworten wir typische Fragen. Beispielsweise:

  • Welche Teile des Prüfkatalogs sind für mich relevant?
  • Wie sind die Reifegrade zu interpretieren?
  • Wie sind die Abschnitte muss, sollte, sowie die Zusatzanforderungen zu interpretieren bzw. müssen diese überhaupt berücksichtigt werden?

Coaching Workshop

"Was genau wollen wir erreichen?"
< >

TISAX Gap-Analyse

Der nächste Schritt ist eine TISAX Gap-Analyse. Unsere TISAX-Fachkräfte erheben und bewerten - durch eine Mischung aus Dokumenten-Review und Interview-Sitzungen mit den jeweiligen Fachbereichen - den Stand Ihrer aktuellen Implementierung, basierend auf den für Sie relevanten Anforderungen des VDA ISA Prüfkatalogs.

Diese TISAX Gap-Analyse gibt Ihnen und uns ein klares Bild und ermöglicht es den Implementierungsaufwand realistisch abzuschätzen, das Projekt klar zu strukturieren und die einzelnen Arbeitspakete zu definieren.

Sollten Sie bereits eine Gap-Analyse durchgeführt haben, arbeiten wir mit dieser und führen diese nicht noch einmal durch.

TISAX Gap-Analyse

"Wo stehen Sie aktuell?"
< >

Framework etablieren

Nachdem wir die Handlungsfelder identifiziert haben, schaffen wir mit Ihnen gemeinsam die Rahmenbedingungen und das Fundament für ein funktionierendes ISMS nach VDA ISA / TISAX. Dazu zählen u.a.:

  • Die Definition bzw. Konkretisierung des Geltungsbereichs, der Prüfziele und des Assessment Levels basierend auf den Anforderungen Ihrer Stakeholder (z.B. belieferte OEMs).
  • Die Definition und Etablierung der Sicherheitspolitik und -ziele.
  • Die Definition der Sicherheitsorganisation inkl. Rollen, Gremien und deren Verantwortlichkeiten.
  • Die Schaffung der nötigen Projektorganisation für den Aufbau eines TISAX konformen ISMS.

Framework etablieren

"Die richtige Basis schaffen"
< >

Richtlinien erstellen

Die definierten Informationssicherheitsziele können wir nur erreichen, indem wir klare und eindeutige Regeln festlegen. Diese "Regeln" definieren wir in verschiedenen Richtlinien, sowohl für die gesamte Belegschaft im Geltungsbereich des ISMS als auch für spezifische Bereiche bzw. Zielgruppen (z.B. IT-Admins, Software- bzw. Systementwicklung, R&D, Einkauf, Prototypenentwicklung, Personalwesen oder Facility Management).

Dabei erfinden wir das Rad natürlich nicht jeweils neu, sondern nutzen unsere zahlreichen Vorlagen. Diese sind seit mehreren Jahren erfolgreich in der Praxis erprobt und werden regelmäßig aktualisiert, sie sind also immer auf dem Stand-der-Technik.

Die erstellten Richtlinien stimmen wir anschließend mit den erforderlichen Personen in den Fachbereichen ab und integrieren sie in die relevanten Geschäftsbereiche. 

Richtlinien erstellen

"Ohne klare Regeln kein TISAX ISMS"
< >

Informationssicherheits-Risikomanagement

Das Informationssicherheits-Risikomanagement ist das Herzstück eines wirksamen ISMS, denn es hilft Ihnen, Wichtiges von Unwichtigem zu unterscheiden und stets pragmatisch vorzugehen. 

In dieser Phase schaffen wir mit Ihnen die notwendige Aufbau- und Ablauforganisation, um alle relevanten Informationssicherheitsrisiken strukturiert und systematisch zu erfassen, zu bewerten, zu behandeln (also angemessene Maßnahmen ableiten) und zu dokumentieren.

Sollten Sie bereits ein Risikomanagementsystem oder einen vergleichbaren Ansatz im Unternehmen haben, setzen wir darauf auf und reichern ihn ggf. um fehlende relevante Aspekte der VDA ISA / TISAX an.

Informationssicherheits-Risikomanagement

"Risiken identifizieren und Maßnahmen ableiten"
< >

Maßnahmen umsetzen

Jetzt geht es an die Umsetzung der definierten Maßnahmen. In dieser Phase coachen wir sehr gezielt und unterstützen Sie auch nach Bedarf bei etwaigen Ressourcenengpässen. Uns ist es wichtig Sie bzw. eine Person Ihres Teams bestmöglich auf die Aufgaben als Information Security Officer vorzubereiten.

Bei der Umsetzung von Maßnahmen legen wir sehr viel Wert auf praktikable Lösungen, also Maßnahmen,

  • die helfen, das gewünschte Sicherheitsniveau zu erreichen,
  • dabei wirtschaftlich und umsetzbar sind und
  • trotzdem den VDA ISA-Anforderungen für Ihr Prüfziel genügen.

Maßnahmen umsetzen

"Defizite beseitigen und Anforderungen umsetzen"
< >

Pre-Audit & Zertifizierungscoaching

Für eine Zertifizierungsreife müssen Sie regelmäßig interne ISMS-Audits durchführen - zu Recht. Auch hier unterstützen wir Sie bei der Planung und Durchführung Ihres internen TISAX "Pre-Audits".

Und damit wir hier nicht unsere eigene Arbeit auditieren - was zu einem erheblichen Interessenkonflikt führen könnte - wird das interne TISAX Audit von einem erfahrenen TISAX Auditor aus unserem Partnernetzwerk durchgeführt, der nicht am Aufbau des ISMS in Ihrem Unternehmen beteiligt war und entsprechend neutral und unabhängig ist. 

Solche "Pre-Audits" liefern einen hohen Nutzen:

  • Sie erhalten einen realistischen Status zu Ihrem Stand und Fortschritt.
  • Sie erfüllen damit die Anforderung der TISAX Norm interne Audits durchzuführen.
  • Sie bereiten Audit-Teilnehmende auf die echten TISAX Audit-Sitzungen vor. Falls erforderlich coachen wir die teilnehmenden Personen, um im echten TISAX Audit "typische Fettnäpfchen" souverän zu umgehen.

Pre-Audit & Zertifizierungscoaching

"Mal sehen, wie ein TISAX Audit laufen würde"
< >

TISAX-Assessment

Den letzten formalen Schritt stellt das TISAX-Assessment dar. Dieses muss von einer akkreditierten Zertifizierungsstelle durchgeführt werden. Da wir Sie bereits beim Aufbau des ISMS begleitet haben, können wir Sie bei diesem letzten Schritt aufgrund eines Interessenskonflikts leider nicht mehr begleiten. 

Gerne können wir aber den Kontakt zur Zertifizierungsstelle unseres Vertrauens herstellen.

TISAX-Assessment

"Das TISAX-Assessment bestehen"
< >

Wollen Sie Hilfe zur Selbsthilfe?

Lassen Sie uns in einem Webmeeting kennenlernen und über ihre Situation und Ziele sprechen. Wir zeigen Ihnen, wie wir in vergleichbaren Kundensituationen geholfen haben.
Ja, wir sollten reden!

Was genau ist eigentlich VDA ISA bzw. TISAX?

TISAX® steht für Trusted Information Security Assessment eXchange und ist eine eingetragene Marke der ENX Asscociation. Das ISA in TISAX stellt dabei den Anforderungskatalog des Verbands der Automobilindustrie (VDA) dar, dessen Anforderungen Zulieferer und Dienstleistende der Automobilindustrie erfüllen müssen. Der Anforderungskatalog VDA ISA (aktuell in der Version 5) orientiert sich dabei grundlegend an den Anforderungen des internationalen Standards ISO 27001. 

Je nach Vertraulichkeit der Informationen, die Ihnen ein OEM (oder der Zulieferer eines OEMs) übermittelt, müssen verschiedene Prüfziele (Kombination aus Assessment Level und TISAX-Label) erreicht werden. Das zu erreichende Prüfziel bestimmt die Art und den Umfang des TISAX-Assessments.

Die TISAX-Label sind abhängig von der Art und der Kritikalität der bereitgestellten Informationen, dazu gehören:

  • Info high / Info very high
  • Data / Special Data
  • Proto Parts / Proto vehicles / Test vehicles / Events & Shootings

Insgesamt wird zwischen den folgenden drei Assessment Levels unterschieden:

 

Tisax 02
Assessment Level 1
Assessment Level 1 / AL 1
Selbsteinschätzung durch das Unternehmen auf Basis der Prüffragen des VDA ISA ohne Zusatzanforderungen bei hohem / sehr hohem Schutzbedarf. AL1 ist in der Praxis kaum relevant, da dies als Self-Assessment durchgeführt wird, keine Nachweise eingereicht werden müssen und keine Verifikation durch eine dienstleistende Person für Prüfungen stattfindet.
Assessment Level 2
Assessment Level 2 / AL 2
Selbsteinschätzung auf Basis der Prüffragen inkl. Zusatzanforderungen bei hohem Schutzbedarf. Verifikation durch eine dienstleistende Person für Prüfungen inkl. Plausibilitätsprüfung und Überprüfung von Nachweisen. Assessments nach AL2 werden in der Regel remote (Ausnahme: Prototypenschutz) durchgeführt.
Assessment Level 3
Assessment Level 3 / AL 3
Selbsteinschätzung auf Basis der Prüffragen inkl. Zusatzanforderungen bei hohem und sehr hohem Schutzbedarf. Verifikation der Selbsteinschätzung durch eine dienstleistende Person für Prüfungen (Plausibilitätsprüfung inkl. Überprüfung von Nachweisen). Assessments nach AL3 werden in Form eines Vor-Ort Assessments durchgeführt.

Typische Themen im Rahmen eines ISMS gemäß VDA ISA / TISAX sind:

Personelle Sicherheit, Sicherheit im Umgang mit Lieferanten, Zugangs- und Zugriffskontrolle, physische Sicherheit und Zutrittsschutz, Sicherheitsaspekte im BCM, sicherer IT-Betrieb und IT-Administration, sichere Softwareentwicklung, Netzwerksicherheit, Umgang mit Sicherheitsvorfällen und Compliance.