Trusted Information Security Assessment Exchange

TISAX (Trusted Information Security Assessment Exchange) dient einer unternehmensübergreifenden Anerkennung von Assessments der Informationssicherheit in der Automobilindustrie und schafft hierfür einen gemeinsamen Prüf- und Austauschmechanismus. Die Ergebnisse bleiben dabei stets unter Kontrolle der Unternehmen, die sich prüfen lassen.

Teilnehmen

TISAX Teilnehmer sind alle Firmen, die im TISAX Informationen untereinander austauschen. Hierbei gibt es zwei Rollen, die des Informationsempfängers „Information Consumer“ (z. B. ein Automobilhersteller) und die des „Information Contributors“ (z. B. ein Zulieferer), der sich einem Assessment unterzieht und die Informationen einem anderen TISAX-Teilnehmer zur Verfügung stellt. Im TISAX-Konstrukt wird zwischen diesen Rollen nicht unterschieden, jedes Unternehmen muss sich gleichermaßen als „Teilnehmer“ registrieren und kann je nach eigenem Bedarf beide Rollen einnehmen.

Um TISAX erfolgreich zu nutzen, sind 4 wesentliche Stationen zu durchlaufen:

  1. Registrierung
  2. Wahl eines Prüfdienstleisters
  3. Durchführung der Prüfung
  4. Austausch der Prüfergebnisse

Registrierung

Die Registrierung ist eine notwendige Voraussetzung für die Teilnahme am TISAX.

Als registrierter Teilnehmer kann Ihr Unternehmen

  • Prüfungen bei akkreditierten Dienstleistern beauftragen und durchführen lassen 
  • Ergebnisse von durchgeführten Prüfungen für andere Teilnehmer bereitstellen 
  • Ergebnisse von anderen Teilnehmern bereitgestellt bekommen. 

Online-Registrierung

Um Ihr Unternehmen als TISAX Teilnehmer zu registrieren, benutzen Sie bitte das Portal zur Online-Registrierung.

Hier Online registrieren

Wenn Sie eine Vielzahl von Standorten (Lokationen) registrierten möchten, stellen wir Ihnen ein gesondertes Formular zur schnellen Erfassung zur Verfügung. Bitte sprechen Sie uns an, wir zeigen Ihnen gerne die Möglichkeiten einer „Gruppenprüfung“ auf.

Bei Fragen zur Registrierung oder zu TISAX stehen wir Ihnen sehr gerne telefonisch unter +49 69 986692 777 und per E-Mail unter tisax@enx.com zur Verfügung.

Häufig gestellte Fragen und Antworten zur Registrierung

 

Prüfdienstleister

Auswahl eines Prüfdienstleisters durch den Teilnehmer

TISAX sieht vor, dass akkreditierte Dienstleister die Prüfungen nach VDA ISA im Wettbewerb anbieten. D.h., dass jeder Teilnehmer den Prüfdienstleister selbst wählen und Ergebnisse erwarten kann, die von den anderen Teilnehmern akzeptiert werden.

Verschiedene Label ermöglichen dabei ökonomische Assessments, die am jeweiligen individuellen Schutzbedarf orientiert sind. Daraus resultiert ein Assessment-System von klar definierten Leistungsumfängen, das über die gesamte Wertschöpfungskette der Automobilindustrie hinweg für alle Unternehmen gleichermaßen geeignet ist.

Eine jeweils aktuelle Liste der Prüfdienstleister und entsprechende Kontaktdaten erhalten Sie von uns nach erfolgreicher Registrierung.

Derzeit befinden sich fünf Prüfdienstleister im Prozess der Akkreditierung. Einige der in Akkreditierung befindlichen Prüfdienstleister führen bereits pilothaft weltweit Prüfungen durch.

Akkreditierung als Prüfdienstleister

Die ENX TISAX Akkreditierung basiert auf einem Framework von Akkreditierungskriterien und Auditanforderungen (Accreditation Criteria and Audit Requirements, ENX TISAX ACAR).

Diese bestehen aus zwei Teilen:

  • Teil A: Allgemeine Anforderungen an Audit-Dienstleister
  • Teil B: Spezifische Anforderungen für ENX TISAX Audit-Dienstleister

Wenn Sie Ihr Unternehmen als Prüfdienstleister akkreditieren lassen wollen, setzen Sie sich mit uns in Verbindung. Gerne informieren wir Sie detailliert über die Anforderungen und den Ablauf.

 

Austausch von Prüfergebnissen

Der Austausch von diesen Zusammenfassungen ist ausschließlich für registrierte Teilnehmer möglich und erfolgt dabei nur nach expliziter Freigabe der Ergebnisse durch das auditierte Unternehmen für ein anfragendes Unternehmen.

Über TISAX

VDA Information Security Assessment

Der bereits vor mehr als 10 Jahren etablierte Arbeitskreis "Informationssicherheit" des VDA (Verband der Automobilindustrie) hat in mehreren Evolutionsstufen einen Fragebogen zur Informationssicherheit (ISA - Information Security Assessment) entwickelt, der sich auf wesentliche Aspekte der internationalen Norm ISO/IEC 27001 stützt.

Dieser Katalog wird von den VDA-Mitgliedsunternehmen sowohl für interne eigene Zwecke als auch für Prüfungen bei Lieferanten und Dienstleistern verwendet, die sensible Informationen aus den jeweiligen Häusern verarbeiten.

Prüfungen nach VDA ISA, insbesondere bei Dienstleistern und Lieferanten, werden bisher in Eigenregie des jeweiligen Unternehmens durchgeführt. Dadurch kann es vorkommen, dass ein Dienstleister bzw. Lieferant von unterschiedlichen Unternehmen in mehr oder weniger kurzen Abständen mehrfach geprüft werden soll.

Gemeinsamer Prüfmechanismus TISAX

Der VDA Arbeitskreis Informationssicherheit etabliert nun für das ISA einen gemeinsamen Prüf- und Austauschmechanismus (TISAX = Trusted Information Security Assessment Exchange) in der Automobilindustrie und darüber hinaus, um solchen Mehrfachaufwand zu vermeiden.

Seit Mai 2016 wird das hierfür entwickelte Konzept in einer Pilotimplementierung erprobt. Der Betreiber des TISAX ist die ENX Association, die wiederum vom VDA als neutrale Instanz mit der Durchführung betraut wurde.

TISAX schafft Wettbewerb unter akkreditierten Prüfdienstleistern und ermöglicht eine gemeinsame Anerkennung von Prüfergebnissen innerhalb des Kreises der TISAX Teilnehmer. Diese Prüfdienstleister prüfen auf Grundlage des gemeinsam im VDA verabschiedeten Fragenkatalogs.

Governance durch die ENX Association

Die ENX Association agiert in dem System als Governance-Organisation. Sie akkreditiert die Prüfdienstleister und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse. Rechtlich wird diese Kontrollfunktion durch ein Vertragsdreieck abgesichert, welches sowohl aus einem Vertrag zwischen ENX und jedem akkreditierten Prüfdienstleister wie auch den Allgemeinen Geschäftsbedingungen (AGB) zwischen ENX und jedem Teilnehmer besteht. Der Teilnehmer stimmt diesen AGB durch die Registrierung zu.

So kann sichergestellt werden, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen als auch die Rechte und Pflichten der Teilnehmer gewahrt werden. Doppel- und Mehrfachprüfungen gehören damit der Vergangenheit an.

Dies hilft jedem der Beteiligten Zeit und Kosten zu sparen.

Fragen und Antworten

Allgemein

Wie spielen die verschiedenen Elemente des TISAX zusammen?

Der Trusted Information Security Assessment Exchange (oder kurz TISAX) schafft Wettbewerb unter akkreditierten Prüfdienstleistern und ermöglicht eine gemeinsame Anerkennung von Ergebnissen.

Governance und Akkreditierung werden von der ENX Association ausgeübt, einer Fachvereinigung von Automobilherstellern, -zulieferern und -verbänden.

Im Mittelpunkt stehen aber die Teilnehmer. Teilnehmer haben über TISAX Zugriff auf akkreditierte Prüfdienstleister, die alle nach VDA ISA prüfen und können von diesen Ergebnisse erwarten, die von den Teilnehmern akzeptiert werden. Verschiedene Label ermöglichen dabei die wirtschaftliche Durchführung von Assessments, die am jeweiligen individuellen Schutzbedarf orientiert sind.

Hieraus resultiert ein Assessment-System von klar definierten Leistungsumfängen, das über die gesamte Wertschöpfungskette der Automobilindustrie hinweg für alle Unternehmen gleichermaßen geeignet ist.

TISAX ermöglicht und institutionalisiert den sicheren Austausch von standardisierten Prüfergebnissen zwischen den Teilnehmern. Die Kontrolle über die Verwendung der Ergebnisse liegen dabei immer beim Teilnehmer selbst.

Welche Vorteile bietet TISAX?
  • Die Erneuerung von bestehenden Lieferantenbeziehungen wird erleichtert
  • Die Möglichkeit zur Begründung gänzlich neuer Geschäftsbeziehungen wird durch die branchenweite Anerkennung eröffnet
  • Standardisierung schafft Preistransparenz für Assessments

Registrierung

Gibt es unterschiedliche Registrierungen und Teilnehmer?

TISAX Teilnehmer sind alle Firmen, die im TISAX Informationen untereinander austauschen.

Hierbei gibt es zwei Rollen, die des Informationsempfängers „Information Consumer“ (z. B. ein Automobilhersteller) und die des „Information Contributor“ (z. B. ein Zulieferer), der sich einem Assessment unterzieht und die Informationen einem anderen TISAX-Teilnehmer zur Verfügung stellt.

Bei der Registrierung wird zwischen diesen Rollen nicht unterschieden. Jedes Unternehmen muss sich gleichermaßen und mit identischen Rechten und Pflichten als „Teilnehmer“ registrieren und kann je nach eigenem Bedarf beide Rollen einnehmen.

Was kostet die Registrierung?

Die Registrierungsentgelte berechnen sich anhand der Anzahl der hinterlegten Lokationen in den Scopes.

Die vollständigen Preise finden sich in der Preisliste.

Die initiale Registrierung ist bis einschließlich 31.01.2017 kostenfrei.

Wer erhält den Prüfbericht und/oder Prüfergebnisse?

Der Teilnehmer hat stets die volle Kontrolle über sein Prüfergebnis. Entsprechend gehört das Prüfergebnis dem Teilnehmer, er erhält es vom Prüfdienstleister und kann es dann gezielt mit Hilfe des Formular D freigeben.

Kann ich die Registrierung für ein Unternehmen im Auftrag durchführen?

Bei der Registrierung muss Ihr Unternehmen den Teilnahmevertrag akzeptieren. Die Registrierung muss daher immer von Zeichnungsberechtigten des TISAX Teilnehmers unterzeichnet werden Signature Form (E).

Der Registrierungsprozess einschließlich einer Übernahme der Kosten kann hingegen jederzeit durch einen Dritten im Auftrag des TISAX-Teilnehmers erfolgen.

Wie kann ich mehr als einen Kontakt bei der Registrierung hinterlegen?

Um mehrere Kontakte zu hinterlegen, füllen Sie bitte für jede Lokation eine Kopie des Location Form (X) aus und hinterlegen Sie diese entsprechend der Anweisung im jeweiligen Formular für weitere Kontakte.

Was bedeutet Teilnehmer (Participant)?

Der Teilnehmer (Participant) ist das Unternehmen, das sich für TISAX registriert. Ein Teilnehmer kann einen oder mehr -> Scopes registrieren, für die dann Prüfungen beauftragt werden können.

Prüfergebnisse können gegenüber anderen Teilnehmern freigegeben werden. Die freigegebenen Prüfergebnisse werden dann den als Ansprechpartner für diesen Teilnehmer hinterlegten Personen zugänglich gemacht. 

Was bedeutet Scope?

Der „Scope“ definiert die Organisationseinheiten bzw. physischen Standorte eines Unternehmens, für die ein TISAX Assessment durchgeführt wird. Dies kann z. B. der Hauptsitz eines Unternehmens oder eine bestimmte Zweigniederlassung sein.

Jeder Teilnehmer muss bei der Registrierung den gewünschten Scope angeben. Jede Prüfung wird eindeutig einem Scope zugeordnet.

Unternehmen mit mehreren Standorten können mehrere Scopes registrieren oder mehrere Standorte in einen Scope einbinden.

Kann ich mehrere Standorte (Lokationen) in einen Scope aufnehmen?

Ja, das geht. Alle Lokationen in einem Scope werden in einer gemeinsamen Prüfung betrachtet.

Da eine Prüfung immer für den gesamten Scope durchgeführt wird, wird der Prüfer in der Prüfung alle gemeinsamen Eigenschaften, Prozesse, Richtlinien und Arbeitsweisen in einem Gesamtvorgang bewerten  Nach Abschluss der Prüfung wird genau ein Prüfbericht erstellt der gemeinsam mit allen durch die Prüfung erreichten Labels dann für alle Lokationen im Scope gültig ist.

Bitte beachten Sie, dass die Prüfung erst nach Abschluss der Begutachtung aller Lokationen mit einem gemeinsam gültigen Prüfbericht abgeschlossen ist. Die Zeit bis ein Prüfbericht vorliegt und damit Labels vergeben werden, ist dementsprechend je nach Anzahl und geographischer Lage der Lokationen größer als bei einer Prüfung mit nur nur wenigen Lokationen. Zudem werden eventuell identifizierte Schwachstellen im Gesamtbericht mit Hinweis auf die Lokation entsprechend vermerkt, und beeinflussen so die zusammengefasste Aussage und die daraus abgeleiteten Labels, die immer für alle Lokationen im Scope gemeinsam vergeben werden und gültig sind.

 

Wann benötige ich für mehrere Standorte (Lokationen) mehrere Scopes?

Wenn Sie mehrere Lokationen einem Assessment unterziehen, dann führt die Einordnung in einen einzigen Scope zu einer entsprechend großen Prüfung, die Einordnung in mehrere Scopes zieht mehrere unabhängige Einzelprüfungen nach sich.

Vorteil einer großen Prüfung ist, dass zentrale Prozesse und Richtlinien genau einmal geprüft werden. Eine große Prüfung empfiehlt sich also immer dann, wenn zentrale Prozesse und Richtlinien über mehrere Lokationen gültig sind und gleichermaßen durchgesetzt werden.

Vorteil von mehreren Einzelprüfungen ist, dass die Prüfungen voneinander komplett unabhängig sind. Das bedeutet insbesondere, dass die Prüfung zu unterschiedlichen Zeiten von unterschiedlichen Prüfdienstleistern durchgeführt werden kann.

Was bedeutet Trust Partner?

Wenn Sie einem Ihrer Geschäftspartner Assessment-Ergebnisse zur Verfügung stellen wollen, benennen Sie diesen als sogenannten „Trust Partner“.

Ein Trust Partner wird immer für einen spezifischen Scope und den dafür gültigen Prüfungen registriert. Für jeden Scope können individuell einer oder mehrere Trust Partner registriert werden.

Die Registrierung eines Trust Partners ist optional. Trust Partner können zu jedem Zeitpunkt (auch nachträglich) mit dem Formular D registriert werden.

Was ist Gegenstand der Teilnehmerregistrierung?

Es werden in den Formularen sowohl der TISAX-Teilnehmer wie auch der oder die genauen Scopes (z. B. ein bestimmter Unternehmensstandort) abgefragt. Bei vielen Teilnehmern wird dies zusammenfallen.

Als Teilnehmer wird das Unternehmen mit dem zugehörigen administrativen Ansprechpartner registriert, der freigegebene Ergebnisse von anderen Unternehmen einsehen und eigene Ergebnisse für andere Firmen freigeben kann.

Weiter werden der Scope bzw. die Scopes, also Assessment-Umfänge mit dazugehörigem Ansprechpartner, der für den jeweiligen Scope verantwortlich ist, aufgenommen. Ein Teilnehmer kann über einen oder mehrere Scopes verfügen.

Die Teilnehmer können Scopes mit allen dazugehörigen Assessments gegenüber anderen Teilnehmern freigeben.

Warum gibt es drei IDs für Teilnehmer, Scope und Assessment?

Teilnehmer IDs (Participant ID) identifizieren ein Unternehmen im TISAX. Sie werden gleichermaßen benötigt um den Teilnehmer für den Assessment Informationen freigegeben werden sollen eindeutig zu identifizieren und damit ggf. mehrere Scopes (Prüfgegenstand wie z. B. zu prüfende Standorte) einem Teilnehmer eindeutig zugeordnet werden können.

Scope IDs werden benötigt, um jeden Prüfgegenstand eindeutig identifizieren zu können.

Assessment IDs werden benötigt, um ein Assessment eindeutig zu identifizieren. Abhängig von der Prüfungsart und dem Gültigkeitszeitraum können für einen Scope mehre Assessments (ggf. von unterschiedlichen Prüfdienstleistern) existieren.

Prüfung

Was ist die Basis für das Information Security Assessment?

Die Basis des Information Security Assessments ist der gleichnamige Fragenkatalog des VDA, der vom Arbeitskreis Informationssicherheit erstellt und gepflegt wird. Er kann von der Website des VDA in deutscher und englischer Sprache heruntergeladen werden.

Download VDA ISA

Welche Bedeutung haben die Label?

Labels werden für ein Prüfergebnis vergeben, wenn die Prüfmethodik und das Prüfergebnis bestimmte definierte Kriterien erfüllt.

Diese Kriterien sind so vergeben, dass Teilnehmer das Erreichen der Labels der Erfüllung der Anforderungen an bestimmte Freigabestufen zuordnen können.

Bei diesen Teilnehmern ist das Erreichen eines bestimmten Labels also gleichzeitig die Voraussetzung, um eine bestimmte Freigabe zu erhalten.

Sind die Prüfungsergebnisse abwärtskompatibel?

Ja. Wenn sich Ihr Unternehmen einer Prüfung für höhere Anforderungen unterzogen hat, dann ist diese auch verwendbar, wenn ein anderer Teilnehmer niedrigere Anforderungen stellt.

Wer kann meine Prüfergebnisse einsehen?

Sie behalten jederzeit die volle Kontrolle über Ihre Prüfergebnisse. Einsicht erhalten ausschließlich Teilnehmer, denen Sie dies ermöglichen.

ENX Association
Bockenheimer Landstraße 97-99
60325 Frankfurt am Main
Telefon +49 69 9866 927-77
tisax@enx.com

Impressum

Sitz der Geschäftsführung

ENX Association
Bockenheimer Landstraße 97-99
60325 Frankfurt am Main

Telefon +49 69 9866 927-0
info@enx.com

Umsatzsteuer-Ident-Nummer: DE813277682
Sitz der Gesellschaft

ENX Association
20 rue Barthélémy Danjou
92100 Boulogne-Billancourt
Frankreich

ENX ist eine französische Association nach dem Gesetz von 1901, eingetragen bei der Sous-Préfecture Boulogne-Billancourt, Frankreich unter der Nummer W923004198 mit alleiniger Betriebsstätte in Frankfurt am Main, Deutschland.

Präsidium

Clive Johnson, Ford (Präsident)
Philippe Ludet, Renault (Vizepräsident)
Nadine Buisson-Chavot, GALIA (Schatzmeister)


Rechtliche Hinweise

ENX prüft und aktualisiert die Informationen auf seinen Webseiten. Trotz dieser Sorgfalt können sich die Daten inzwischen verändert haben. Eine Haftung oder Garantie für die Aktualität, Richtigkeit und Vollständigkeit der zur Verfügung gestellten Informationen wird daher nicht übernommen.

Gleiches gilt auch für alle anderen Webseiten, auf die mittels Hyperlinks verwiesen wird. ENX ist für den Inhalt dieser Webseiten, die aufgrund einer solchen Verbindung erreicht werden, nicht verantwortlich. Einige der Informationen und Angebote werden von unseren Partnern, z. B. den zertifizierten Telekommunikationsdienstleistern, als selbständige Dienstleistung erbracht. Bitte beachten Sie, dass für diese Services und Angebote die Geschäftsbedingungen dieser Unternehmen gelten und mit der Aufnahme derer Webseiten auf die Webseiten von ENX keine Empfehlung oder Garantie verbunden ist. Für diese Inhalte ist ENX nicht verantwortlich. Bei diesen Anbietern handelt es sich nicht um Erfüllungsgehilfen von ENX.

Des weiteren behält sich ENX das Recht vor, Änderungen oder Ergänzungen der bereitgestellten Informationen vorzunehmen.

Inhalt und Struktur der ENX-Webseiten sind urheberrechtlich geschützt. Die Vervielfältigung von Informationen oder Daten, insbesondere die Verwendung von Texten, Textteilen oder Bildmaterial, bedarf der vorherigen schriftlichen Zustimmung von ENX.