500+ Kunden schenken uns ihr Vertrauen, von Startups bis Großunternehmen
Ihr Ziel
Sie sind Zulieferer bzw. Dienstleister eines Original Equipment Manufacturers (OEMs) in der Automobilbranche und möchten entsprechend einen Nachweis gemäß TISAX® erhalten.
Unsere Leistung
Wir vermitteln Ihnen die erforderlichen Kenntnisse und begleiten Sie vom Projektbeginn bis hin zum gewünschten TISAX® Label bzw. Prüfziel, mit dem richtigen Setup, Vorlagen, Tools und viel Erfahrung.
Das Ergebnis
Sie haben das TISAX® Assessment erfolgreich bestanden und wissen alles was Sie als Chief Information Security Officer (CISO) benötigt, um das ISMS dauerhaft zu betreiben und kontinuierlich zu optimieren.
Wir zeigen Ihnen, wo's lang geht.
Die Schritte zu Ihrem TISAX®-Label
Wir sind selbst TISAX® zertifiziert (Assessment Level 2) und kennen jeden einzelnen Schritt sehr genau. Deshalb können wir Sie bestens begleiten und coachen, vom Projektbeginn bis hin zur TISAX®-Zertifizierung.
Coaching Workshop
Da es nicht "das eine TISAX®-Zertifikat" gibt, ist es wichtig zu Beginn Themen wie Scope, Prüfziele, TISAX®-Label und Assessment Level zu diskutieren. Schließlich wollen Sie am Ende nicht nur ein TISAX®-Label, sondern das richtige TISAX®-Label, das auch von Ihren Zielgruppen akzeptiert wird.
In dieser initialen Coaching Session vermitteln wir Ihnen die Grundlagen und Anforderungen von TISAX®, den Aufbau des TISAX®-Prüfkatalogs, sowie den TISAX®-Prüfprozess. Also alles, was Sie für einen erfolgreichen Start benötigen.
Neben Ihren individuellen Fragen beantworten wir typische Fragen. Beispielsweise:
- Welche Teile des Prüfkatalogs sind für mich relevant?
- Wie sind die Reifegrade zu interpretieren?
- Wie sind die Abschnitte muss, sollte, sowie die Zusatzanforderungen zu interpretieren bzw. müssen diese überhaupt berücksichtigt werden?
Der nächste Schritt ist eine TISAX Gap-Analyse Unsere TISAX-Fachkräfte erheben und bewerten - durch eine Mischung aus Dokumenten-Review und Interview-Sitzungen mit den jeweiligen Fachbereichen - den Stand Ihrer aktuellen Implementierung, basierend auf den für Sie relevanten Anforderungen des VDA ISA Prüfkatalogs.
Diese TISAX Gap-Analyse gibt Ihnen und uns ein klares Bild und ermöglicht es den Implementierungsaufwand realistisch abzuschätzen, das Projekt klar zu strukturieren und die einzelnen Arbeitspakete zu definieren.
Sollten Sie bereits eine Gap-Analyse durchgeführt haben, arbeiten wir mit dieser und führen diese nicht noch einmal durch.
Nachdem wir die Handlungsfelder identifiziert haben, schaffen wir mit Ihnen gemeinsam die Rahmenbedingungen und das Fundament für ein funktionierendes ISMS nach VDA ISA / TISAX. Dazu zählen u.a.:
- Die Definition bzw. Konkretisierung des Geltungsbereichs, der Prüfziele und des Assessment Levels basierend auf den Anforderungen Ihrer Stakeholder (z.B. belieferte OEMs).
- Die Definition und Etablierung der Sicherheitspolitik und -ziele.
- Die Definition der Sicherheitsorganisation inkl. Rollen, Gremien und deren Verantwortlichkeiten.
- Die Schaffung der nötigen Projektorganisation für den Aufbau eines TISAX konformen ISMS.
Die definierten Informationssicherheitsziele können wir nur erreichen, indem wir klare und eindeutige Regeln festlegen. Diese "Regeln" definieren wir in verschiedenen Richtlinien, sowohl für die gesamte Belegschaft im Geltungsbereich des ISMS als auch für spezifische Bereiche bzw. Zielgruppen (z.B. IT-Admins, Software- bzw. Systementwicklung, R&D, Einkauf, Prototypenentwicklung, Personalwesen oder Facility Management).
Dabei erfinden wir das Rad natürlich nicht jeweils neu, sondern nutzen unsere zahlreichen Vorlagen. Diese sind seit mehreren Jahren erfolgreich in der Praxis erprobt und werden regelmäßig aktualisiert, sie sind also immer auf dem Stand-der-Technik.
Die erstellten Richtlinien stimmen wir anschließend mit den erforderlichen Personen in den Fachbereichen ab und integrieren sie in die relevanten Geschäftsbereiche.
Das Informationssicherheits-Risikomanagement ist das Herzstück eines wirksamen ISMS, denn es hilft Ihnen, Wichtiges von Unwichtigem zu unterscheiden und stets pragmatisch vorzugehen.
In dieser Phase schaffen wir mit Ihnen die notwendige Aufbau- und Ablauforganisation, um alle relevanten Informationssicherheitsrisiken strukturiert und systematisch zu erfassen, zu bewerten, zu behandeln (also angemessene Maßnahmen ableiten) und zu dokumentieren.
Sollten Sie bereits ein Risikomanagementsystem oder einen vergleichbaren Ansatz im Unternehmen haben, setzen wir darauf auf und reichern ihn ggf. um fehlende relevante Aspekte der VDA ISA / TISAX an.
Jetzt geht es an die Umsetzung der definierten Maßnahmen. In dieser Phase coachen wir sehr gezielt und unterstützen Sie auch nach Bedarf bei etwaigen Ressourcenengpässen. Uns ist es wichtig Sie bzw. eine Person Ihres Teams bestmöglich auf die Aufgaben als Information Security Officer vorzubereiten.
Bei der Umsetzung von Maßnahmen legen wir sehr viel Wert auf praktikable Lösungen, also Maßnahmen,
- die helfen, das gewünschte Sicherheitsniveau zu erreichen,
- dabei wirtschaftlich und umsetzbar sind und
- trotzdem den VDA ISA-Anforderungen für Ihr Prüfziel genügen.
Für eine Zertifizierungsreife müssen Sie regelmäßig interne ISMS-Audits durchführen - zu Recht. Auch hier unterstützen wir Sie bei der Planung und Durchführung Ihres internen TISAX "Pre-Audits".
Und damit wir hier nicht unsere eigene Arbeit auditieren - was zu einem erheblichen Interessenkonflikt führen könnte - wird das interne TISAX Audit von einem erfahrenen TISAX Auditor aus unserem Partnernetzwerk durchgeführt, der nicht am Aufbau des ISMS in Ihrem Unternehmen beteiligt war und entsprechend neutral und unabhängig ist.
Solche "Pre-Audits" liefern einen hohen Nutzen:
- Sie erhalten einen realistischen Status zu Ihrem Stand und Fortschritt.
- Sie erfüllen damit die Anforderung der TISAX Norm interne Audits durchzuführen.
- Sie bereiten Audit-Teilnehmende auf die echten TISAX Audit-Sitzungen vor. Falls erforderlich coachen wir die teilnehmenden Personen, um im echten TISAX Audit "typische Fettnäpfchen" souverän zu umgehen.
Den letzten formalen Schritt stellt das TISAX-Assessment dar. Dieses muss von einer akkreditierten Zertifizierungsstelle durchgeführt werden. Da wir Sie bereits beim Aufbau des ISMS begleitet haben, können wir Sie bei diesem letzten Schritt aufgrund eines Interessenskonflikts leider nicht mehr begleiten.
Gerne können wir aber den Kontakt zur Zertifizierungsstelle unseres Vertrauens herstellen.
Wollen Sie Hilfe zur Selbsthilfe?
Lassen Sie uns in einem Webmeeting über Ihre Situation und Ziele sprechen. Wir zeigen Ihnen, wie wir Kunden in vergleichbaren Situationen geholfen haben.
Das steckt hinter den Abkürzungen
Was genau ist VDA ISA bzw. TISAX®?
TISAX® steht für Trusted Information Security Assessment eXchange und ist eine eingetragene Marke der ENX Asscociation. Das ISA in TISAX® stellt dabei den Anforderungskatalog des Verbands der Automobilindustrie (VDA) dar, dessen Anforderungen Zulieferer und Dienstleistende der Automobilindustrie erfüllen müssen. Der Anforderungskatalog VDA ISA (aktuell in der Version 6) orientiert sich dabei grundlegend an den Anforderungen des internationalen Standards ISO 27001.
Je nach Vertraulichkeit der Informationen, die Ihnen ein OEM (oder der Zulieferer eines OEMs) übermittelt, müssen verschiedene Prüfziele (Kombination aus Assessment Level und TISAX®-Label) erreicht werden. Das zu erreichende Prüfziel bestimmt die Art und den Umfang des TISAX®-Assessments.
Die TISAX®-Label sind abhängig von der Art und der Kritikalität der bereitgestellten Informationen, dazu gehören:
- Info high / Info very high
- Data / Special Data
- Proto Parts / Proto vehicles / Test vehicles / Events & Shootings
Insgesamt wird zwischen den folgenden drei Assessment Levels unterschieden:
Assessment Level 1 / AL 1
Selbsteinschätzung durch das Unternehmen auf Basis der Prüffragen des VDA ISA ohne Zusatzanforderungen bei hohem / sehr hohem Schutzbedarf. AL1 ist in der Praxis kaum relevant, da dies als Self-Assessment durchgeführt wird, keine Nachweise eingereicht werden müssen und keine Verifikation durch eine dienstleistende Person für Prüfungen stattfindet.
Assessment Level 2 / AL 2
Selbsteinschätzung auf Basis der Prüffragen inkl. Zusatzanforderungen bei hohem Schutzbedarf. Verifikation durch eine dienstleistende Person für Prüfungen inkl. Plausibilitätsprüfung und Überprüfung von Nachweisen. Assessments nach AL2 werden in der Regel remote (Ausnahme: Prototypenschutz) durchgeführt.
Assessment Level 3 / AL 3
Selbsteinschätzung auf Basis der Prüffragen inkl. Zusatzanforderungen bei hohem und sehr hohem Schutzbedarf. Verifikation der Selbsteinschätzung durch eine dienstleistende Person für Prüfungen (Plausibilitätsprüfung inkl. Überprüfung von Nachweisen). Assessments nach AL3 werden in Form eines Vor-Ort Assessments durchgeführt.
Typische Themen im Rahmen eines ISMS gemäß VDA ISA / TISAX® sind:
Personelle Sicherheit, Sicherheit im Umgang mit Lieferanten, Zugangs- und Zugriffskontrolle, physische Sicherheit und Zutrittsschutz, Sicherheitsaspekte im BCM, sicherer IT-Betrieb und IT-Administration, sichere Softwareentwicklung, Netzwerksicherheit, Umgang mit Sicherheitsvorfällen und Compliance.
Weitere Services, die Sie interessieren könnten
Überprüfen Sie den Reifegrad Ihres ISMS nach VDA ISA.
Effektives Risikomanagement für Ihre Informationssicherheit: Kritische Assets schützen, Risiken erkennen und gezielt Maßnahmen zur Risikominimierung umsetzen. Jetzt Unterstützung anfragen!
Individuelle ISMS- & BCMS-Richtlinien, ISO 27001 & NIS2-konform – aktuell, geprüft & auf Ihr Unternehmen zugeschnitten. Jetzt aktuelle Vorlagen entdecken!