Wie Sie die TISAX-Prüfung bestehen und Ihr Prüfergebnis mit Ihren Partnern teilen
Herausgeber
ENX Association
Eine französische Association nach dem Gesetz von 1901,
eingetragen bei der Sous-Préfecture Boulogne-Billancourt, Frankreich unter der Nummer w923004198.
Anschriften
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Frankreich
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Deutschland
Verfasser
Florian Gleich
Kontakt
Version
Datum: |
28.08.2023 |
Version: |
2.6 |
Klassifizierung: |
Öffentlich |
ENX doc ID: |
602-DE |
Urheberschutzvermerk
Alle Rechte vorbehalten.
ENX, TISAX und ihre jeweiligen Logos sind eingetragene Marken der ENX Association.
Erwähnte Marken Dritter sind Eigentum der jeweiligen Inhaber.
1. Überblick
1.1. Zweck
Willkommen bei TISAX, dem „Trusted Information Security Assessment Exchange“.
Einer Ihrer Partner hat Sie aufgefordert nachzuweisen, dass Ihr Informationssicherheitsmanagement den Anforderungen des „Information Security Assessment“ (ISA) entspricht. Und nun wollen Sie wissen, wie Sie dieser Aufforderung nachkommen können.
Der Zweck dieses Handbuchs ist es, Ihnen zu ermöglichen, der Aufforderung Ihres Partners nachzukommen — oder ihm zuvor zu kommen, indem Sie diese Anforderung erfüllen, noch bevor ein Partner danach fragt.
Dieses Handbuch beschreibt die Schritte, die Sie gehen müssen, um die TISAX-Prüfung zu bestehen und Ihr Prüfergebnis mit Ihrem Partner zu teilen.
Ein Informationssicherheitsmanagementsystems (ISMS) aufzubauen und aufrecht zu erhalten ist bereits eine komplexe Aufgabe. Ihrem Partner nachzuweisen, dass Ihr Informationssicherheitsmanagementsystem der Aufgabe gewachsen ist, erhöht die Komplexität weiter. Dieses Handbuch wird Ihnen nicht bei der Verwaltung Ihrer Informationssicherheit helfen. Aber es beabsichtigt, es Ihnen so einfach wie möglich zu machen, Ihre Anstrengungen gegenüber Ihrem Partner nachzuweisen.
1.2. Geltungsbereich
Dieses Handbuch gilt für alle TISAX-Prozesse, an denen Sie beteiligt sind.
Es enthält alles, was Sie wissen müssen, um den TISAX-Prozess zu durchlaufen.
Das Handbuch bietet einige Ratschläge zum Umgang mit den Anforderungen an die Informationssicherheit, die im Mittelpunkt der Prüfung stehen. Aber es beabsichtigt nicht, Sie grundsätzlich darüber aufzuklären, was Sie tun müssen, um die Informationssicherheitsprüfung zu bestehen.
1.3. Zielgruppe
Hauptzielgruppe dieses Handbuchs sind Unternehmen, die ein bestimmtes Niveau Ihres Informationssicherheitsmanagements gemäß den Anforderungen des „Information Security Assessment“ (ISA) nachweisen wollen oder müssen.
Sobald Sie aktiv an den TISAX-Prozessen beteiligt sind, profitieren Sie von den Informationen in diesem Handbuch.
Auch Unternehmen, die ihren Zulieferer auffordern, ein bestimmtes Niveau des Informationssicherheitsmanagement nachzuweisen, werden davon profitieren. Dieses Handbuch ermöglicht es ihnen zu verstehen, was ihre Zulieferer tun müssen, um ihrer Aufforderung nachzukommen.
1.4. Aufbau
Wir beginnen mit einer kurzen Einführung in TISAX. Danach folgen direkt Anweisungen, WIE Dinge getan werden müssen. Sie werden alles finden, was Sie brauchen, um durch den Prozess zu kommen — in der Reihenfolge, in der Sie es wissen müssen.
Die geschätzte Lesezeit für das Dokument beträgt 75-90 Minuten.
1.5. Wie Sie dieses Dokument benutzen
Früher oder später werden Sie wahrscheinlich das meiste von dem, was in diesem Dokument beschrieben wird, verstehen wollen. Für eine gute Vorbereitung empfehlen wir, das gesamte Handbuch zu lesen.
Wir haben das Handbuch jedoch nach den drei Hauptschritten des TISAX-Prozesses strukturiert. So können Sie den Abschnitt wählen, den Sie gerade benötigen, und den Rest später lesen.
Das Handbuch nutzt Illustrationen, um Ihnen zu helfen Ihr Verständnis zu verbessern. Oft haben die Farben in den Abbildungen eine unterstützende Bedeutung. Wir empfehlen daher, das Dokument entweder auf einem Bildschirm oder als Farbausdruck zu lesen.
Wir freuen uns über Ihre Rückmeldung. Wenn Sie der Meinung sind, dass etwas in diesem Handbuch fehlt oder nicht einfach zu verstehen ist, teilen Sie uns das bitte mit. Wir und alle künftigen Leser dieses Handbuchs werden Ihnen für Ihre Rückmeldung dankbar sein.
Wenn Sie bereits eine vorherige Version des TISAX-Teilnehmerhandbuchs benutzt haben, dann finden Sie eventuell hilfreiche Anmerkungen am Ende des Dokuments in Abschnitt 8, “Dokumentenhistorie”.
1.6. Sprechen Sie uns an
Wir sind hier, um Sie durch den TISAX-Prozess zu führen und Ihre Fragen zu beantworten.
Schicken Sie uns eine E-Mail an: |
|
Oder rufen Sie uns an: |
Sie erreichen uns zu den üblichen Geschäftszeiten in Deutschland (UTC+01:00).
Wir sprechen alle 
Deutsch und 
Englisch. Ein Kollege spricht 
Italienisch (Muttersprachler).
Bitte nehmen Sie Abschnitt 7.13, “Anhang: Beschwerdemanagement” zur Kenntnis.
1.7. Das TISAX-Teilnehmerhandbuch in anderen Sprachen und Formaten
Das TISAX-Teilnehmerhandbuch ist in den folgenden Sprachen und Formaten verfügbar:
| Sprache | Version | Format | Link |
|---|---|---|---|
|
2.6 |
Online |
https://www.enx.com/handbook/tisax-participant-handbook.html |
Offline |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
|||
|
2.6 |
Online |
|
Offline |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
||
|
2.3 beta |
Online |
|
Offline |
|||
|
2.3 beta |
Online |
|
Offline |
|||
|
2.3 beta |
Online |
|
Offline |
|||
|
Wichtig
|
Wichtiger Hinweis: Die englische Version ist die führende Version. |
1.7.1. Zur deutschen Übersetzung
Dieses TISAX-Teilnehmerhandbuch ist eine Übersetzung der englischen Version.
Alle TISAX zugrunde liegenden Dokumente sind auf Englisch entstanden (z. B. sämtliche Verträge und Vorgaben für die TISAX-Prüfdienstleister). Folglich kann es Ihnen passieren, dass Ihr Partner oder Ihr Prüfdienstleister einige der TISAX-spezifischen Begriffe auf Englisch verwendet.
Um Ihnen eine Zuordnung zu ermöglichen, haben wir in der deutschen Übersetzung des TISAX-Teilnehmerhandbuchs den englischen TISAX-Originalbegriff entweder beibehalten (ggf. leicht „eingedeutscht“) oder in Klammern direkt hinter der deutschen Übersetzung angeben.
1.7.2. Zum Online-Format
Jeder Abschnitt hat eine eindeutige ID (Format: ID1234).
Eine ID referenziert einen bestimmten Abschnitt, ungeachtet der Sprache.
Wenn Sie auf einen bestimmten Abschnitt verlinken möchten, können Sie:
-
Entweder auf den Abschnittstitel rechtsklicken und den Link kopieren
-
oder Sie klicken auf den Abschnittstitel und kopieren den Link aus der Adresszeile Ihres Browsers.
Die meisten Abbildungen sind in einem größeren Format verfügbar, als hier standardmäßig angezeigt wird. Klicken Sie auf eine Abbildung, um die größere Version zu öffnen.
1.7.3. Zum Offline-Format
Das Offline-Format behält die meisten Eigenschaften des Online-Formats. Vor allem die Abbildungen sind in die HTML-Datei eingebettet. Sie brauchen nur eine Datei, um das Offline-Format zu nutzen.
Im Vergleich zum Online-Format, fehlen dem Offline-Format:
-
die größeren Abbildungen
-
die Original-Schriftarten des Online-Formats
Die Einstellungen Ihres Browsers bestimmen die Schriftarten.
1.7.4. Zum PDF-Format
Das PDF-Format basiert auf dem Online-Format. Im Grunde benutzen wir einen Browser, um das Online-Format als PDF zu speichern.
Wenn Sie das PDF-Format auf Ihrem Computer benutzen, können Sie weiterhin auf alle Referenzen klicken. Wenn Sie hingegen die PDF-Version ausdrucken, werden Sie keine Seitenzahlen haben und Referenzen selbst nachschauen müssen.
2. Einleitung
In den folgenden Abschnitten stellen wir Ihnen das TISAX-Konzept vor.
Wenn Sie es eilig haben, können Sie diese überspringen und sofort mit Abschnitt 4.3, “Vorbereitung auf die Registrierung” beginnen.
2.1. Warum TISAX?
Oder besser gesagt, warum Sind Sie hier?
Um diese Frage zu beantworten, beginnen wir mit ein paar generellen Überlegungen zum Geschäftsleben im Allgemeinen und zum Schutz von Informationen im Besonderen.
Stellen Sie sich Ihren Partner vor. Er hat vertrauliche Informationen. Er will sie mit seinem Zulieferer teilen — mit Ihnen. Die Zusammenarbeit zwischen Ihnen und Ihrem Partner schafft Werte. Die Informationen, die Ihr Partner mit Ihnen teilt, sind ein wichtiger Teil dieser Wertschöpfung. Deshalb will er sie angemessen schützen. Und er möchte sicher sein, dass Sie seine Informationen mit der gleichen Sorgfalt behandeln.
Aber wie kann er sicher sein, dass seine Informationen in guten Händen sind? Er kann Ihnen nicht einfach „glauben“. Ihr Partner braucht Nachweise.
Jetzt kommen zwei Fragen auf. Wer bestimmt, was „sicherer“ Umgang mit Informationen bedeutet? Und als nächstes: Wie können sie es nachweisen?
2.2. Wer bestimmt, was "sicher" bedeutet?
Weder Ihr Partner noch Sie sind die Einzigen, die sich diesen Fragen zum ersten Mal stellen müssen. Fast jeder muss Antworten darauf finden und die meisten Antworten werden sich in gewisser Weise ähneln.
Jedes Mal, wenn Sie selbstständig eine Lösung für ein alltägliches Problem finden müssten, nimmt Ihnen eine Standardmethode die Arbeit ab, alles von Grund auf neu zu erfinden. Während die Definition eines Standards einen enormen Aufwand bedeutet, wird er aber nur einmal erbracht und die späteren Nutzer profitieren jedes Mal davon.
Es gibt sicherlich unterschiedliche Ansichten darüber, was für den Schutz von Informationen das Richtige ist. Doch aufgrund der oben genannten Vorteile setzen die meisten Unternehmen auf Standards. Ein Standard ist die komprimierte Form aller erprobten und bewährten Best Practices für eine bestimmte Herausforderung.
Standards wie ISO/IEC 27001 (über Informationssicherheitsmanagementsysteme, ISMS) und deren Implementierung stellen in Ihrem Fall die anerkannteste Art der sicheren Verarbeitung von vertraulichen Informationen dar. Ein solcher Standard erspart Ihnen, das Rad neu zu erfinden. Noch wichtiger ist, dass Standards eine gemeinsame Basis bilden, wenn zwei Unternehmen vertrauliche Daten austauschen müssen.
2.3. Der Weg der Automobilindustrie
Branchenunabhängige Standards sind naturgemäß eher als Universallösung konzipiert als auf die spezifischen Bedürfnisse von Unternehmen aus der Automobilindustrie zugeschnitten.
Die Automobilindustrie hat bereits vor langer Zeit Verbände gegründet, deren Ziel es unter anderem ist, Standards zu verfeinern und zu definieren, die ihre spezifischen Bedürfnisse berücksichtigen. Der Verband der Automobilindustrie (VDA) ist einer davon. Innerhalb der Arbeitsgruppe, die sich mit Informationssicherheit beschäftigt, kamen mehrere Mitglieder der Automobilindustrie zu dem Schluss, dass sie ähnliche Bedürfnisse haben, bestehende Standards für das Informationssicherheitsmanagement anzupassen.
Das Ergebnis der gemeinsamen Anstrengungen ist ein Fragebogen, der die branchenweit akzeptierten Anforderungen der Automobilindustrie an die Informationssicherheit abdeckt. Er wird als „Information Security Assessment“ (ISA) bezeichnet.
Mit dem ISA haben wir nun eine Antwort auf die Frage „Wer bestimmt, was „sicher“ bedeutet?“. Durch den VDA bietet die Automobilindustrie selbst ihren Mitgliedern diese Antwort an.
2.4. Wie können Sie Sicherheit effizient nachweisen?
Während einige Unternehmen den ISA nur für interne Zwecke nutzen, bewerten andere damit die Reife des Informationssicherheitsmanagements ihrer Zulieferer. In einigen dieser Fälle war eine „Selbsteinschätzung“ eine ausreichende Grundlage für die Geschäftsbeziehung. In bestimmten Fällen führten Unternehmen jedoch eine vollständige Prüfung des Informationssicherheitsmanagements ihrer Zulieferer durch (einschließlich Vor-Ort-Prüfungen).
Neben einem allgemein zunehmenden Bewusstsein für die Notwendigkeit des Informationssicherheitsmanagements und der zunehmenden Akzeptanz des ISA als Instrument zur Informationssicherheitsprüfung sahen sich immer mehr Zulieferer mit ähnlichen Anfragen verschiedener Partner konfrontiert.
Diese Partner wendeten noch unterschiedliche Standards an und hatten unterschiedliche Auffassungen davon, wie sie zu interpretieren sind. Aber die Zulieferer mussten im Wesentlichen die gleichen Dinge nachweisen, nur auf verschiedene Weisen.
Und je mehr Zulieferer von ihren Partnern aufgefordert wurden, ihr Niveau des Informationssicherheitsmanagements nachzuweisen, desto lauter wurden die Stimmen, die sich über wiederholte Anstrengungen beklagten. Einem Prüfdienstleister nach dem anderen die gleichen Maßnahmen des Informationssicherheitsmanagements zu zeigen, ist einfach nicht effizient.
Was kann man tun, um dies effizienter zu gestalten? Wäre es nicht hilfreich, wenn der Bericht eines Prüfers für verschiedene Partner wiederverwendet werden könnte?
Die OEMs und Zulieferer in der ENX-Arbeitsgruppe, die für die Pflege des ISA zuständig ist, hörten die Klagen ihrer Zulieferer. Nun bieten sie ihren Zulieferern und allen anderen Unternehmen der Automobilindustrie eine Antwort auf die Frage „Wie weist man Sicherheit nach?“.
Die Antwort ist TISAX, kurz für „Trusted Information Security Assessment Exchange“ (in etwa „Vertrauenswürdiger Austausch von Informationssicherheitsprüfungen“).
3. Der TISAX-Prozess
3.1. Überblick
Der TISAX-Prozess beginnt in der Regel[1] damit, dass einer Ihrer Partner Sie auffordert, ein definiertes Niveau des Informationssicherheitsmanagements gemäß den Anforderungen des „Information Security Assessment“ (ISA) nachzuweisen. Um dieser Aufforderung nachzukommen, müssen Sie den 3-schrittigen TISAX-Prozess durchlaufen. Dieser Abschnitt gibt Ihnen einen Überblick über die notwendigen Schritte.
Der 3-schrittige TISAX-Prozess besteht aus den folgenden Schritten:
-
Registrierung
Wir sammeln Informationen über Ihr Unternehmen und was Bestandteil der Prüfung sein soll. -
Prüfung
Sie durchlaufen die Prüfung(en), die von einem unserer TISAX-Prüfdienstleister durchgeführt wird/werden. -
Austausch
Sie teilen Ihr Prüfergebnis mit Ihrem Partner.
Jeder Schritt besteht aus Teilschritten. Diese werden in den drei folgenden Abschnitten kurz dargestellt und in den jeweiligen Abschnitten weiter unten detailliert beschrieben.
|
Hinweis
|
Bitte beachten Sie: Wir würden Ihnen gerne einen Anhaltspunkt geben, wie lange es dauern wird, bis Sie Ihr TISAX-Prüfergebnis erhalten. Aber wir bitten um Ihr Verständnis, dass es uns nicht möglich ist, dies zuverlässig vorhersagen zu können. Die Gesamtdauer des TISAX-Prozesses hängt von zu vielen Faktoren ab. Die große Bandbreite an Unternehmensgrößen, Prüfzielen und die jeweiligen Zustände eines Informationssicherheitsmanagementsystems machen dies unmöglich. |
3.2. Registrierung
Ihr erster Schritt ist die TISAX-Registrierung.
Der Hauptzweck der TISAX-Registrierung besteht darin, Informationen über Ihr Unternehmen zu sammeln. Wir verwenden einen Online-Registrierungsprozess, um Ihnen zu helfen, uns diese Informationen zur Verfügung zu stellen.
Die Registrierung ist die Voraussetzung für alle weiteren Schritte und sie ist kostenpflichtig.
Während des Online-Registrierungsprozesses:
-
bitten wir Sie um Kontaktdaten und Abrechnungsinformationen.
-
müssen Sie unsere Allgemeinen Geschäftsbedingungen akzeptieren.
-
können Sie den Scope der Informationssicherheitsprüfung festlegen.
Um direkt mit diesem Schritt zu starten, lesen Sie bitte weiter in Abschnitt 4, “Registrierung (Schritt 1)”.
Der Online-Registrierungsprozess ist in Abschnitt 4.5, “Online-Registrierungsprozess” ausführlich beschrieben. Aber wenn Sie gleich anfangen wollen, gehen Sie bitte zu enx.com/de-de/TISAX/.
3.3. Prüfung
Im zweiten Schritt durchlaufen Sie die Informationssicherheitsprüfung.
Es gibt vier Teilschritte:
-
Prüfungsvorbereitung
Sie müssen die Prüfung vorbereiten. Das Maß hängt vom derzeitigen Reifegrad Ihres Informationssicherheits-managementsystems ab. Aber Ihre Vorbereitung muss auf dem ISA-Katalog basieren. -
Prüfdienstleisterauswahl
Sie müssen einen unserer TISAX-Prüfdienstleister auswählen. -
Informationssicherheitsprüfung(en)
Ihr Prüfdienstleister führt die Prüfung auf der Grundlage eines Prüf-Scopes durch, der zu den Anforderungen Ihres Partners passt. Der Prüfprozess besteht mindestens aus der Erstprüfung.
Wenn Ihr Unternehmen die Prüfung nicht im ersten Anlauf besteht, kann der Prüfprozess weitere Schritte erforderlich machen. -
Prüfergebnis
Sobald Ihr Unternehmen die Prüfung bestanden hat, erhalten Sie von Ihrem Prüfdienstleister den offiziellen „TISAX Assessment Bericht“. Ihr Prüfergebnis erhält auch TISAX-Labels[2].
Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 5, “Prüfung (Schritt 2)”.
3.4. Austausch
Ihr dritter und letzter Schritt besteht darin, Ihr Prüfergebnis mit Ihrem Partner zu teilen. Der Inhalt des „TISAX Assessment Berichts“ ist in Ebenen gegliedert. Sie können entscheiden, bis zu welcher Ebene Ihr Partner Zugang erhält.
Ihr Prüfergebnis ist drei Jahre gültig. Sofern Sie dann noch Zulieferer Ihres Partners sind, müssen Sie Ihr Prüfergebnis erneuern, indem Sie den 3-schrittigen Prozess erneut durchlaufen[3].
Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.
Nachdem Sie nun eine grundlegende Vorstellung davon haben, wie der TISAX-Prozess aussieht, finden Sie in den nächsten Abschnitten Anweisungen, wie Sie die einzelnen Schritte absolvieren können.
4. Registrierung (Schritt 1)
Die geschätzte Lesezeit für den Registrierungsabschnitt beträgt 30-40 Minuten.
4.1. Überblick
Die TISAX-Registrierung ist Ihr erster Schritt. Sie ist die Voraussetzung für alle weiteren Schritte.
Die folgenden Abschnitte führen Sie durch die Registrierung:
-
Wir beginnen mit der Erläuterung eines wesentlichen neuen Begriffs.
-
Dann beraten wir Sie, was Sie tun sollten, um auf die Online-Registrierung vorbereitet zu sein.
-
Anschließend führen wir Sie durch den Online-Registrierungsprozess.
4.2. Sie sind ein TISAX-Teilnehmer
Lassen Sie uns zuerst einen neuen Begriff einführen, den Sie verstehen müssen. Bisher waren Sie der „Zulieferer“. Sie sind hier, um eine Anforderung Ihres „Kunden“ zu erfüllen. TISAX selbst unterscheidet jedoch nicht wirklich zwischen diesen beiden Rollen. Für TISAX ist jeder, der sich registriert hat, ein „Teilnehmer“. Sie — wie auch Ihr Partner — „beteiligen“ sich am Austausch von Ergebnissen von Informationssicherheitsprüfungen.
Um die beiden Rollen von Anfang an abzubilden, bezeichnen wir Sie, den Zulieferer, als „aktiven Teilnehmer“. Wir bezeichnen Ihren Partner als „passiven Teilnehmer“. Als „aktiver Teilnehmer“ werden Sie TISAX-geprüft und teilen Ihr Prüfergebnis mit anderen Teilnehmern. Der „passive Teilnehmer“ ist derjenige, der eine TISAX-Prüfung verlangt. Der „passive Teilnehmer“ erhält Ihr Prüfergebnis.
Jedes Unternehmen kann in beiden Rollen agieren. Sie können ein Prüfergebnis mit Ihrem Partner teilen und gleichzeitig Ihre eigenen Zulieferer auffordern, sich nach TISAX prüfen zu lassen.
Sofern Ihre eigenen Zulieferer auch mit den schutzbedürftigen Informationen Ihres Partners umgehen, kann es sogar besonders sinnvoll sein, wenn Sie Ihre eigenen Zulieferer auffordern, sich einer TISAX-Prüfung zu unterziehen.
4.3. Vorbereitung auf die Registrierung
In diesem Abschnitt geben wir Ihnen Empfehlungen, wie Sie sich auf die Registrierung vorbereiten. Wir beschreiben den Registrierungsprozess selbst im Detail in Abschnitt 4.5, “Online-Registrierungsprozess”.
Bevor Sie mit der Online-Registrierung beginnen, empfehlen wir Ihnen dringend:
-
einige Informationen im Voraus zusammen zu tragen
-
und bereits einige Entscheidungen zu treffen.
4.3.1. Die rechtliche Grundlage
Normalerweise müssen Sie zwei Verträge unterschreiben. Den ersten Vertrag gehen Sie zwischen Ihnen und der ENX Association ein: Die „TISAX Allgemeine Teilnahmebedingungen“ (TISAX-Teilnehmer-AGBs). Der zweite Vertrag besteht zwischen Ihnen und einem unserer TISAX-Prüfdienstleister. Für die Registrierung betrachten wir nur den ersten Vertrag.
Die TISAX-Teilnehmer-AGBs regeln unsere gegenseitige Beziehung und Ihre Beziehung zu anderen TISAX-Teilnehmern. Sie definieren die Rechte und Pflichten für uns alle. Neben den üblichen Klauseln, die Sie in den meisten Verträgen finden, definieren sie den Umgang mit den während des TISAX-Prozesses erhaltenen und ausgetauschten Informationen im Detail. Hauptziel dieser Regeln ist dabei der vertrauliche Umgang mit den TISAX-Prüfergebnissen. Da alle TISAX-Teilnehmer den gleichen Regeln unterliegen, können Sie von Ihrem Partner (in seiner Rolle als passiver Teilnehmer) einen angemessenen Schutz Ihres TISAX-Prüfergebnisses erwarten.
Bei der Online-Registrierung werden wir Sie relativ früh bitten, die TISAX-Teilnehmer-AGBs zu akzeptieren. Da es sich um einen richtigen Vertrag handelt, empfehlen wir Ihnen, die TISAX-Teilnehmer-AGBs zu lesen, bevor Sie mit der Online-Registrierung beginnen. Ein Grund dafür ist, dass Sie je nach Ihrer Rolle in Ihrem Unternehmen gegebenenfalls eine Genehmigung von einem internen oder externen Anwalt einholen müssen.
Sie können die „TISAX Allgemeine Teilnahmebedingungen“[4] auf unserer Website herunterladen unter:
enx.com/de-de/TISAX/downloads/
Direkter PDF-Download:
enx.com/tisaxgtcde.pdf
|
Wichtig
|
Wichtiger Hinweis: Die TISAX-Teilnehmer-AGBs sind in einer deutschen Übersetzung verfügbar. Bei der Online-Registrierung müssen Sie allerdings die englische Version akzeptieren (diese ist ebenfalls im oben verlinkten Dokument enthalten). |
Während des Online-Registrierungsprozesses werden Sie gebeten, zwei Pflichtkästchen anzukreuzen:
-
❏ We accept the TISAX Participation General Terms and Conditions
Wir akzeptieren die TISAX Allgemeine Teilnahmebedingungen -
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
Wir bestätigen die Kenntnis des Antragstellers von der Befreiung der beruflichen Schweigepflicht des Prüfdienstleisters gemäß Abschnitt IX.5. und X.3 der TISAX Allgemeine Teilnahmebedingungen;
Das zweite Kästchen gibt es, da einige unserer TISAX-Prüfdienstleister Wirtschaftsprüfer sind. Sie haben besondere Anforderungen hinsichtlich des Berufsgeheimnisses.
In der Regel verbieten es die besonderen Anforderungen hinsichtlich des Berufsgeheimnisses den Wirtschaftsprüfern unter unseren Prüfdienstleistern, Informationen mit uns zu teilen. Dies würde insbesondere die Kontrollmöglichkeiten aushebeln, die wir für unsere Führungsrolle benötigen. Deshalb brauchen wir diese Freigabe. Sie sollten in Erwägung ziehen, diesen Klauseln besondere Aufmerksamkeit zu schenken, bevor Sie das Kästchen ankreuzen.
Wenn Sie üblicherweise eine Geheimhaltungsvereinbarung („NDA“) zwischen Ihnen und jedem benötigen, der mit vertraulichen Informationen umgeht, bitten wir Sie, die entsprechenden Abschnitte in unseren AGBs zu lesen. Diese sollten alle Ihre Bedenken zerstreuen. Außerdem müssen Sie uns in der Regel überhaupt keine vertraulichen Informationen geben.
Zum Abschluss des rechtlichen Teils bitten wir um Verständnis, dass das System davon abhängt, dass jeder die gleichen Regeln akzeptiert. Wir können daher keine zusätzlichen Allgemeinen Geschäftsbedingungen akzeptieren[5].
4.3.2. Der TISAX-Prüf-Scope
Im zweiten Schritt des TISAX-Prozesses führt einer unserer TISAX-Prüfdienstleister die Informationssicherheitsprüfung durch. Er muss wissen, wo er anfangen und wo er aufhören soll. Deshalb müssen Sie einen „Prüf-Scope“ (Scope = Umfang; Assessment scope) definieren.
Der „Prüf-Scope“ beschreibt den Umfang der Informationssicherheitsprüfung. Einfach ausgedrückt ist jeder Teil Ihres Unternehmens, der mit vertraulichen Informationen Ihres Partners umgeht, Teil des Prüf-Scopes. Sie können ihn als ein wesentliches Element der Aufgabenbeschreibung des Prüfdienstleisters betrachten. Er gibt vor, was der Prüfdienstleister zu prüfen hat.
Der Prüf-Scope ist aus zwei Gründen wichtig:
-
Ein Prüfergebnis erfüllt nur dann die Anforderungen Ihres Partners, wenn der jeweilige Prüf-Scope alle Teile Ihres Unternehmens umfasst, die mit Informationen Ihres Partners umgehen.
-
Ein genau definierter Prüf-Scope ist eine wesentliche Voraussetzung für aussagekräftige Kostenkalkulationen durch unsere TISAX-Prüfdienstleister.
|
Wichtig
|
Wichtiger Hinweis: ISO/IEC 27001 vs. TISAX Zunächst müssen wir zwischen zwei Arten von Scopes unterscheiden: Für die ISO/IEC 27001-Zertifizierung definieren Sie den Scope Ihres ISMS (im „Scope-Statement“). Bei der Definition des Scopes Ihres ISMS sind Sie völlig frei. Der Scope der Prüfung (auch „Audit-Scope“ genannt) muss jedoch mit dem Scope Ihres ISMS identisch sein. Für TISAX müssen Sie ebenfalls Ihr ISMS definieren. Der Scope der Prüfung kann jedoch unterschiedlich sein. Bei der ISO/IEC 27001-Zertifizierung können Sie den Scope der Prüfung durch die Art und Weise, wie Sie den Scope Ihres ISMS definieren, frei gestalten. Im Gegensatz dazu ist bei TISAX der Scope der Prüfung vordefiniert. Der Scope der Prüfung kann kleiner sein als der Scope Ihres ISMS. Er muss aber innerhalb des Scopes Ihres ISMS liegen. |
4.3.2.1. Beschreibung des Prüf-Scopes
Die Beschreibung des Prüf-Scopes definiert den Umfang der Prüfung. Für die Beschreibung des Prüf-Scopes müssen Sie einen von zwei Prüf-Scope-Typen wählen:
-
Standard scope (
Standard-Scope) -
Custom scope (
Angepasster Scope)-
Custom extended scope (
Angepasster erweiterter Scope) -
Full custom scope (
Vollständig angepasster Scope)
-
4.3.2.2. Standard-Scope
Die Beschreibung des Standard-Scope ist die Grundlage für eine TISAX-Prüfung. Andere TISAX-Teilnehmer akzeptieren nur Prüfergebnisse, die auf der Beschreibung des Standard-Scope basieren.
Die Beschreibung des Standard-Scope ist vordefiniert und kann nicht von Ihnen geändert werden.
Einen Standard-Scope zu haben hat für Sie den bedeutenden Vorteil, dass Sie sich keine eigene Definition überlegen müssen.
Dies ist die Beschreibung des „Standard scope“ (Version 2.0):
|
|
The TISAX scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations. The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment. |
Der TISAX Scope definiert den Umfang der Prüfung. Die Prüfung umfasst alle Prozesse, Verfahren und beteiligte Ressourcen, die unter der Verantwortung der zu prüfenden Organisation stehen und die für die Sicherheit der in den genannten Prüfzielen definierten Schutzobjekte und deren Schutzziele an den aufgeführten Standorten relevant sind. Die Prüfung wird mindestens im höchsten Assessment-Level durchgeführt, das in einem der aufgeführten Prüfziele gefordert ist. Alle in den aufgelisteten Prüfzielen geforderten Kriterien sind Gegenstand der Prüfung. |
Wir empfehlen dringend, den Standard-Scope zu wählen. Alle TISAX-Teilnehmer akzeptieren die Ergebnisse der Informationssicherheitsprüfung auf Basis des Standard-Scopes.
4.3.2.3. Festlegung des Scopes
Ihre nächste Aufgabe nach der Definition des Scope-Typs ist die Entscheidung, welche Standorte zum Prüf-Scope gehören.
Ist Ihr Unternehmen klein (also nur ein Standort), so ist dies eine einfache Aufgabe. Sie fügen einfach Ihren Standort zum Prüf-Scope hinzu.
Ist Ihr Unternehmen groß, können Sie die Registrierung mehrerer Prüf-Scopes in Betracht ziehen.
Ein einziger Scope, der alle Ihre Standorte enthält, bietet Vorteile:
-
Sie haben einen Prüfbericht, ein Prüfergebnis, ein Ablaufdatum.
-
Sie profitieren möglicherweise von reduzierten Kosten für die Prüfung, da ein TISAX-Prüfdienstleister Ihre zentralen Prozesse, Verfahren und Ressourcen nur einmal bewerten muss.
Aber ein einzelner Scope kann Nachteile haben wie:
-
Alle Standorte müssen die selben Prüfziele haben.
-
Die Prüfergebnisse stehen erst dann zur Verfügung, sobald der TISAX-Prüfdienstleister alle Standorte geprüft hat. Diese Tatsache kann relevant sein, wenn Sie dringend ein Prüfergebnis benötigen.
-
Das Prüfergebnis hängt davon ab, dass alle Standorte die Prüfung bestehen. Wenn nur ein Standort die Prüfung nicht besteht, haben Sie kein positives Prüfergebnis. Um das zu umgehen können Sie: a) den Standort aus dem Scope nehmen, b) die Probleme lösen, c) den Standort nachträglich mit einer Scope-Erweiterungsprüfung wieder hinzufügen.
4.3.2.4. Maßschneidern des Scopes
Die Frage, ob Sie nur einen oder mehrere Scopes brauchen, können nur Sie beantworten. Aber die Beantwortung der Fragen im folgenden Diagramm kann Ihnen bei der Entscheidung möglicherweise helfen.
|
Hinweis
|
Bitte beachten Sie: Lassen Sie sich von dieser Entscheidung nicht einschüchtern. Sie können jeden Scope ändern, solange der Prüfdienstleister die Prüfung nicht abgeschlossen hat. Wenn Sie beispielsweise während der Vorbereitung auf Ihre Prüfung feststellen, dass der Scope nicht passt, dann können Sie ihn entsprechend ändern. Oder Ihr Prüfdienstleister empfiehlt Ihnen möglicherweise in den ersten Phasen der Prüfung, den Scope zu ändern. Weitere Hinweise:
|
4.3.2.5. Scope-Standorte
Nachdem Sie nun entschieden haben, welche Standorte Teil Ihres Prüf-Scopes sind, können Sie damit weitermachen, einige standortspezifische Informationen zusammen zu tragen.
Für jeden Standort fragen wir nach Informationen wie Firmenname und Adresse. Wir bitten auch um einige zusätzliche Informationen, die es unseren TISAX-Prüfdienstleistern ermöglichen, sich ein besseres Bild von Ihrer Unternehmensstruktur zu machen. Ihre Antworten sind die Grundlage für deren Aufwandsabschätzung.
Bitte bereiten Sie sich darauf vor, die folgenden Angaben für jeden Ihrer Standorte anzugeben (das rote Sternchen * markiert Pflichtfelder im Online-Prozess):
| Feld | Optionen |
|---|---|
Standortname * |
n/a |
n/a |
|
Standortart * |
Campus im Besitz und ausschließlich vom Unternehmen genutzt |
Passiver Standortschutz * |
Ja |
Branche |
Informationstechnologie
Management
Medien
Forschung Und Entwicklung
Produktion
Verkauf und Kundendienst
Andere Branche |
Mitarbeiter am Standort: Insgesamt * |
0 |
Mitarbeiter am Standort: IT * |
0 |
Mitarbeiter am Standort: Informationssicherheit * |
0 |
Mitarbeiter am Standort: Standortsicherheit * |
0 |
Zertifikate für diesen Standort |
ISO 27001 |
|
Hinweis
|
Bitte beachten Sie: Bezügliche der „Branche“: Wählen Sie nach bestem Wissen. Es gibt kein Richtig oder Falsch bei der Auswahl aus den obigen Optionen. Wenn Sie keine Option finden, die zu Ihrer Art von Geschäft passt, geben Sie einfach die passende Option unter „Sonstiges“ ein. |
Für jeden Standort müssen Sie einen „Location name“ ( Standort-Name) angeben. Der Zweck des Standort-Namens ist es, das Referenzieren des Standorts bei seiner Zuordnung zu einem Prüf-Scope zu vereinfachen.
Wir empfehlen, den Standort-Namen nach folgendem Muster zu vergeben:
Muster: |
[Geografische Referenz] |
Beispiel: |
für die fiktive Firma „ACME“
|
4.3.2.6. Scope-Name
Für jeden Scope müssen Sie einen „Scope name“ ( Scope-Name) angeben. Der Hauptzweck des Scope-Namens besteht darin, dass Sie einen Scope in der Übersichtsliste der Scopes im ENX-Portal leicht identifizieren können. Sie sollten einen Namen vergeben, der für den Leser und Ihre Kollegen hilfreich ist. Für die externe Kommunikation sollten Sie die Scope ID verwenden.
Sie können jeden beliebigen Namen angeben. Aber Sie sollten denselben Scope-Namen nicht mehr als einem Scope zuweisen.
Wenn Sie später Ihre TISAX-Prüfung erneuern möchten, müssen Sie einen neuen Scope erstellen (möglicherweise identisch mit dem jetzigen Scope). Wir empfehlen daher, das Jahr der Prüfung in den Scope-Namen aufzunehmen.
Wir empfehlen, Scope-Namen nach folgendem Muster zu vergeben:
Muster: |
[Geografische oder funktionale Referenz] [Jahr der Prüfung] |
Beispiel: |
für die fiktive Firma „ACME“
|
4.3.2.7. Ansprechpartner
Für unsere Kommunikation mit Ihnen sammeln wir Informationen über Ansprechpartner in Ihrem Unternehmen.
Wir bitten um mindestens einen Ansprechpartner für Ihr Unternehmen als TISAX-Teilnehmer im Allgemeinen und einen für jeden Prüf-Scope. Sie haben die Möglichkeit, weitere Ansprechpartner anzugeben.
Bei der Vorbereitung auf Ihre Registrierung sollten Sie entscheiden, wer in Ihrem Unternehmen Ansprechpartner sein wird.
Wir bitten um die folgenden Kontaktdaten:
| Angabe | Pflichtfeld? | Beispiel | |
|---|---|---|---|
1. |
Anrede |
Ja |
Frau, Herr |
2. |
Akademischer Grad |
Dr., Prof., andere |
|
3. |
Vorname |
Ja |
John |
4. |
Nachname |
Ja |
Doe |
5. |
Jobtitel |
Ja |
Leiter IT |
6. |
Abteilung |
Ja |
Informationstechnologie |
7. |
Telefonnummer |
Ja |
+49 69 986692777 |
8. |
Weitere Telefonnummer |
||
9. |
E-Mail-Adresse |
Ja |
|
10. |
Bevorzugte Sprache |
Ja |
Englisch (Standard) |
11. |
Andere Sprachen |
Deutsch, Französisch |
|
12. |
Weitere Empfängerbezeichnung |
HPC 1234 |
|
13. |
Adresse |
Ja |
Bockenheimer Landstraße 97-99 |
14. |
Postleitzahl |
Ja |
60325 |
15. |
Stadt |
Ja |
Frankfurt |
16. |
Bundesland/Kanton |
||
17. |
Land |
Ja |
Deutschland |
|
Wichtig
|
Wichtiger Hinweis: |
4.3.2.8. Veröffentlichen und Teilen
Der Hauptzweck von TISAX ist es, Ihr Prüfergebnis für andere TISAX-Teilnehmer zu veröffentlichen und es mit Ihrem Partner / Ihren Partnern zu teilen.
Über die Veröffentlichung und das Teilen Ihres Prüfergebnisses können Sie entweder während des Registrierungsprozesses oder zu einem späteren Zeitpunkt entscheiden.
Wenn Sie den TISAX-Prozess als Präventivschritt durchlaufen, können Sie sich bereits jetzt dafür entscheiden, Ihr Prüfergebnis in der Community der TISAX-Teilnehmer zu veröffentlichen. Ansonsten gibt es zum jetzigen Zeitpunkt nichts vorzubereiten.
Hat Ihr Partner Sie aufgefordert, den TISAX-Prozess zu durchlaufen, müssen Sie Ihr Prüfergebnis früher oder später mit Ihm teilen. Sie können mit Ihrem Partner bereits während der Registrierung Status-Informationen teilen. Sobald Ihr Prüfergebnis vorliegt, hat Ihr Partner automatisch die Berechtigung, darauf zuzugreifen[6].
Es gibt zwei Dinge, die Sie zum Teilen von Status-Informationen benötigen:
-
Die TISAX-Participant-ID Ihres Partners
In der Regel sollte Ihnen Ihr Partner seine TISAX-Participant-ID mitteilen.
Der Einfachheit halber bietet unser Registrierungsformular eine Auswahlliste von Participant-IDs von einigen Firmen, die häufig Prüfergebnisse bekommen.[7]
-
Den erforderlichen Sharing-Level
Der Sharing-Level definiert die Tiefe, bis zu der Ihr Partner auf Ihr Prüfergebnis zugreifen kann.
Entweder verlangt Ihr Partner einen bestimmten Sharing-Level. Oder Sie müssen sich entscheiden, bis zu welcher Stufe Sie Ihrem Partner Zugang zu Ihrem Prüfergebnis gewähren wollen.
Weitere Informationen zum Sharing-Level finden Sie in Abschnitt 6.5, “Sharing-Level”.
Sie wollen sicherlich dafür sorgen, dass Sie diese Informationen haben.
|
Hinweis
|
Bitte beachten Sie:
|
|
Wichtig
|
Wichtiger Hinweis: Wenn Sie Ihr Prüfergebnis nicht veröffentlichen oder nicht teilen, kann niemand Ihr Prüfergebnis sehen. |
|
Wichtig
|
Wichtiger Hinweis: Sie können keine Veröffentlichungen und kein Sharing widerrufen. Weitere Informationen finden Sie in Abschnitt 6.4, “Dauerhaftigkeit der ausgetauschten Ergebnisse”. |
|
Hinweis
|
Bitte beachten Sie: Es mag seltsam klingen, aber Sie können Ihr „Prüfergebnis“ auch dann teilen, wenn Sie noch nicht mit dem Prüfprozess begonnen haben. In diesem frühen Stadium teilen Sie lediglich den „Prüfungs-Status“. Der Teilnehmer, mit dem Sie Ihr „Prüfergebnis“ teilen, sieht, wo Sie sich im Prüfprozess befinden. Einige TISAX-Teilnehmer müssen eine Sonderfreigabe erteilen, wenn Sie TISAX-Labels vorlegen müssen, aber den Prüfprozess noch nicht abgeschlossen haben. In einem solchen Fall muss Ihr Partner möglicherweise Ihren „Prüfungs-Status“ in seinem Konto für das ENX-Portal sehen. Weitere Informationen über den Prüfungs-Status finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”. |
Weitere Informationen zum Veröffentlichen und Teilen Ihres Prüfergebnisses finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.
4.3.3. Prüfziele
Sie müssen Ihr(e) Prüfziel(e) während des Registrierungsprozesses definieren. Das Prüfziel ( Assessment objective) bestimmt die maßgeblichen Anforderungen, die Ihr Informationssicherheitsmanagementsystem (ISMS) zu erfüllen hat. Das Prüfziel richtet sich ausschließlich nach der Art der Daten, die Sie im Auftrag Ihres Partners verarbeiten.
In den folgenden Abschnitten beschreiben wir die Prüfziele und beraten Sie bei der Auswahl der richtigen Prüfziele.
Die Verwendung von Prüfzielen erleichtert die TISAX-bezogene Kommunikation mit Ihrem Partner und unseren TISAX-Prüfdienstleistern, da sie sich auf einen definierten Input für den TISAX-Prüfprozess beziehen.
|
Hinweis
|
Bitte beachten Sie: Einige Partner könnten Sie auffordern, sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen zu lassen, anstatt ein Prüfziel vorzugeben. Weitere Informationen zu den Assessment-Leveln finden Sie in Abschnitt 4.3.3.5, “Schutzbedarfe und Assessment-Level” (Unterabschnitt „Weitere Informationen“). |
4.3.3.1. Liste der Prüfziele
Derzeit gibt es zehn TISAX-Prüfziele. Sie müssen mindestens ein Prüfziel auswählen. Sie können aber auch mehrere auswählen.
Sie können Ihr Prüfziel als Maßstab für Ihr Informationssicherheitsmanagementsystem betrachten. Das Prüfziel ist ein entscheidender Input für den TISAX-Prozess. Alle TISAX-Prüfdienstleister orientieren sich bei ihrer Prüfstrategie vor allem am Prüfziel.
Die derzeitigen TISAX-Prüfziele sind:
| Nr. | Name | Beschreibung |
|---|---|---|
1. |
Info high |
|
2. |
Info very high |
|
3. |
High availability |
|
4. |
Very high availability |
|
5. |
Proto parts |
|
6. |
Proto vehicles |
|
7. |
Test vehicles |
|
8. |
Proto events |
|
9. |
Data |
|
10. |
Special data |
|
Beispiel: Wenn Sie Erprobungsfahrten auf öffentlichen Straßen durchführen, dann ist das Prüfziel Nr. 7 „Test vehicles“ eines Ihrer Prüfziele.
|
Wichtig
|
Wichtiger Hinweis: Bei TISAX ist in der Regel das „Prüfziel“ der Prozess-Input. Einige Partner könnten Sie hingegen auffordern, sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen zu lassen. Weitere Informationen zum Zusammenhang zwischen Schutzbedarfen und „Assessment-Leveln“ finden Sie in Abschnitt 4.3.3.5, “Schutzbedarfe und Assessment-Level”. |
4.3.3.2. Prüfziele und ISA
Der ISA enthält drei Kriterienkataloge (Informationssicherheit, Prototypenschutz, Datenschutz). Jeder Kriterienkatalog setzt sich aus sogenannten „Kontrollfragen“ und den dazugehörigen Anforderungen zusammen.
Jedes Prüfziel definiert:
-
den/die anwendbaren ISA-Kriterienkatalog(e)
-
die Kontrollfragen, die Sie beantworten müssen
-
die Anforderungen, die Sie erfüllen müssen
Für einige Prüfziele ist nur eine Teilmenge der Kontrollfragen und Anforderungen anwendbar.
Weitere Informationen zu den TISAX-Prüfzielen und den anwendbaren Kontrollfragen und Anforderungen finden Sie in Abschnitt 5.2.2, “Das ISA-Dokument verstehen”.
4.3.3.3. Prüfziele und TISAX-Labels
Ihr Partner könnte von „TISAX-Labels“ sprechen. „Prüfziele“ und „TISAX-Labels“ sind nahezu identisch. Der Unterschied besteht darin, dass Sie mit den „Prüfzielen“ in den Prüfprozess einsteigen und beim Bestehen der Prüfung die entsprechenden „TISAX-Labels“ erhalten.
Beispiel: Ihr Partner verlangt von Ihnen das TISAX-Label „Info high“. Dann wählen Sie „Info high“ als Ihr Prüfziel aus.
Die Abbildung unten zeigt Input und Output des TISAX-Prozesses:
Weitere Informationen zu TISAX-Labels finden Sie in Abschnitt 5.4.14, “TISAX-Labels”.
4.3.3.4. Auswahl des Prüfziels
Im Idealfall sagt Ihnen Ihr Partner genau, welche Prüfziele Sie erreichen müssen.</