Wie Sie die TISAX-Prüfung bestehen und Ihr Prüfergebnis mit Ihren Partnern teilen

Herausgeber

ENX Association
Eine französische Association nach dem Gesetz von 1901,
eingetragen bei der Sous-Préfecture Boulogne-Billancourt, Frankreich unter der Nummer w923004198.

Anschriften
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Frankreich
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Deutschland

Verfasser

Florian Gleich

Kontakt

tisax@enx.com
+49 69 9866927-77

Version

Datum:

06.01.2021

Version:

2.3

Klassifizierung:

Öffentlich

ENX doc ID:

602-DE

Urheberschutzvermerk

Alle Rechte vorbehalten.
ENX, TISAX und ihre jeweiligen Logos sind eingetragene Marken der ENX Association.
Erwähnte Marken Dritter sind Eigentum der jeweiligen Inhaber.

1. Überblick

1.1. Zweck

Willkommen bei TISAX, dem „Trusted Information Security Assessment Exchange“.

Einer Ihrer Partner hat Sie aufgefordert nachzuweisen, dass Ihr Informationssicherheitsmanagement den Anforderungen des „VDA[1] Information Security Assessment“ (ISA) entspricht. Und nun wollen Sie wissen, wie Sie dieser Aufforderung nachkommen können.

Der Zweck dieses Handbuchs ist es, Ihnen zu ermöglichen, der Aufforderung Ihres Partners nachzukommen — oder ihm zuvor zu kommen, indem Sie diese Anforderung erfüllen, noch bevor ein Partner danach fragt.

Dieses Handbuch beschreibt die Schritte, die Sie gehen müssen, um die TISAX-Prüfung zu bestehen und Ihr Prüfergebnis mit Ihrem Partner zu teilen.

Ein Informationssicherheitsmanagementsystems (ISMS) aufzubauen und aufrecht zu erhalten ist bereits eine komplexe Aufgabe. Ihrem Partner nachzuweisen, dass Ihr Informationssicherheitsmanagementsystem der Aufgabe gewachsen ist, erhöht die Komplexität weiter. Dieses Handbuch wird Ihnen nicht bei der Verwaltung Ihrer Informationssicherheit helfen. Aber es beabsichtigt, es Ihnen so einfach wie möglich zu machen, Ihre Anstrengungen gegenüber Ihrem Partner nachzuweisen.

1.2. Geltungsbereich

Dieses Handbuch gilt für alle TISAX-Prozesse, an denen Sie beteiligt sind.

Es enthält alles, was Sie wissen müssen, um den TISAX-Prozess zu durchlaufen.

Das Handbuch bietet einige Ratschläge zum Umgang mit den Anforderungen an die Informationssicherheit, die im Mittelpunkt der Prüfung stehen. Aber es beabsichtigt nicht, Sie grundsätzlich darüber aufzuklären, was Sie tun müssen, um die Informationssicherheitsprüfung zu bestehen.

1.3. Zielgruppe

Hauptzielgruppe dieses Handbuchs sind Unternehmen, die ein bestimmtes Niveau Ihres Informationssicherheitsmanagements gemäß den Anforderungen des „VDA Information Security Assessment“ (ISA) nachweisen wollen oder müssen.

Sobald Sie aktiv an den TISAX-Prozessen beteiligt sind, profitieren Sie von den Informationen in diesem Handbuch.

Auch Unternehmen, die ihren Zulieferer auffordern, ein bestimmtes Niveau des Informationssicherheitsmanagement nachzuweisen, werden davon profitieren. Dieses Handbuch ermöglicht es ihnen zu verstehen, was ihre Zulieferer tun müssen, um ihrer Aufforderung nachzukommen.

1.4. Aufbau

Wir beginnen mit einer kurzen Einführung in TISAX. Danach folgen direkt Anweisungen, WIE Dinge getan werden müssen. Sie werden alles finden, was Sie brauchen, um durch den Prozess zu kommen — in der Reihenfolge, in der Sie es wissen müssen.

Die geschätzte Lesezeit für das Dokument beträgt 75-90 Minuten.

1.5. Wie Sie dieses Dokument benutzen

Früher oder später werden Sie wahrscheinlich das meiste von dem, was in diesem Dokument beschrieben wird, verstehen wollen. Für eine gute Vorbereitung empfehlen wir, das gesamte Handbuch zu lesen.

Wir haben das Handbuch jedoch nach den drei Hauptschritten des TISAX-Prozesses strukturiert. So können Sie den Abschnitt wählen, den Sie gerade benötigen, und den Rest später lesen.

Das Handbuch nutzt Illustrationen, um Ihnen zu helfen Ihr Verständnis zu verbessern. Oft haben die Farben in den Abbildungen eine unterstützende Bedeutung. Wir empfehlen daher, das Dokument entweder auf einem Bildschirm oder als Farbausdruck zu lesen.

Wir freuen uns über Ihre Rückmeldung. Wenn Sie der Meinung sind, dass etwas in diesem Handbuch fehlt oder nicht einfach zu verstehen ist, teilen Sie uns das bitte mit. Wir und alle künftigen Leser dieses Handbuchs werden Ihnen für Ihre Rückmeldung dankbar sein.

Wenn Sie bereits eine vorherige Version des TISAX-Teilnehmerhandbuchs benutzt haben, dann finden Sie eventuell hilfreiche Anmerkungen am Ende des Dokuments in Abschnitt 8, “Dokumentenhistorie”.

1.6. Sprechen Sie uns an

Wir sind hier, um Sie durch den TISAX-Prozess zu führen und Ihre Fragen zu beantworten.

Schicken Sie uns eine email an:

tisax@enx.com

Oder rufen Sie uns an:

+49 69 9866927-77

Sie erreichen uns zu den üblichen Geschäftszeiten in Deutschland (UTC+01:00).

Wir sprechen alle Icon der Flagge von Deutschland Deutsch und Icon der Flagge des Vereinigten Königreichs Englisch. Zwei Kollegen sprechen Icon der Flagge von Italien Italienisch (Muttersprachler).

1.7. Das TISAX-Teilnehmerhandbuch in anderen Sprachen und Formaten

Das TISAX-Teilnehmerhandbuch ist in den folgenden Sprachen und Formaten verfügbar:

Sprache Version Format Link Größe

Icon der Flagge des Vereinigten Königreichs Englisch

2.3

Online

https://www.enx.com/handbook/tisax-participant-handbook.html

n/a

Offline

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

6.4 MB

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

6.4 MB

Icon der Flagge von Deutschland Deutsch

2.3

Online

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

n/a

Offline

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

6,4 MB

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

5,0 MB

Icon der Flagge von Frankreich Französisch

2.3 beta

Online

https://www.enx.com/handbook/tph-fr.html

n/a

Offline

https://www.enx.com/handbook/tph-fr-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-fr.pdf

7,0 MB

Icon der Flagge von China Chinesisch

2.3 beta

Online

https://www.enx.com/handbook/tph-cn.html

n/a

Offline

https://www.enx.com/handbook/tph-cn-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-cn.pdf

7,0 MB

Wichtig

Wichtiger Hinweis:

Die englische Version ist die führende Version.
Alle anderen Sprachen sind Übersetzungen der englischen Version.
Im Zweifelsfall ist die englische Version maßgebend.

1.7.1. Zur deutschen Übersetzung

Dieses TISAX-Teilnehmerhandbuch ist eine Übersetzung der englischen Version.

Alle TISAX zugrunde liegenden Dokumente sind auf Englisch entstanden (z. B. sämtliche Verträge und Vorgaben für die TISAX-Prüfdienstleister). Folglich kann es Ihnen passieren, dass Ihr Partner oder Ihr Prüfdienstleister einige der TISAX-spezifischen Begriffe auf Englisch verwendet.

Um Ihnen eine Zuordnung zu ermöglichen, haben wir in der deutschen Übersetzung des TISAX-Teilnehmerhandbuchs den englischen TISAX-Originalbegriff entweder beibehalten (ggf. leicht „eingedeutscht“) oder in Klammern direkt hinter der deutschen Übersetzung angeben.

1.7.2. Zum Online-Format

Jeder Abschnitt hat eine eindeutige ID (Format: ID1234).
Eine ID referenziert einen bestimmten Abschnitt, ungeachtet der Sprache.
Wenn Sie auf einen bestimmten Abschnitt verlinken möchten, können Sie:

  • Entweder auf den Abschnittstitel rechtsklicken und den Link kopieren

  • oder Sie klicken auf den Abschnittstitel und kopieren den Link aus der Adresszeile Ihres Browsers.

Die meisten Abbildungen sind in einem größeren Format verfügbar, als hier standardmäßig angezeigt wird. Klicken Sie auf eine Abbildung, um die größere Version zu öffnen.

1.7.3. Zum Offline-Format

Das Offline-Format behält die meisten Eigenschaften des Online-Formats. Vor allem die Abbildungen sind in die HTML-Datei eingebettet. Sie brauchen nur eine Datei, um das Offline-Format zu nutzen.

Im Vergleich zum Online-Format, fehlen dem Offline-Format:

  • die größeren Abbildungen

  • die Original-Schriftarten des Online-Formats
    Die Einstellungen Ihres Browsers bestimmen die Schriftarten.

1.7.4. Zum PDF-Format

Das PDF-Format basiert auf dem Online-Format. Im Grunde benutzen wir einen Browser, um das Online-Format als PDF zu speichern.

Wenn Sie das PDF-Format auf Ihrem Computer benutzen, können Sie weiterhin auf alle Referenzen klicken. Wenn Sie hingegen die PDF-Version ausdrucken, werden Sie keine Seitenzahlen haben und Referenzen selbst nachschauen müssen.

2. Einleitung

In den folgenden Abschnitten stellen wir Ihnen das TISAX-Konzept vor.

Wenn Sie es eilig haben, können Sie diese überspringen und sofort mit Abschnitt 4.3, “Vorbereitung auf die Registrierung” beginnen.

2.1. Warum TISAX?

Oder besser gesagt, warum Sind Sie hier?

Um diese Frage zu beantworten, beginnen wir mit ein paar generellen Überlegungen zum Geschäftsleben im Allgemeinen und zum Schutz von Informationen im Besonderen.

Stellen Sie sich Ihren Partner vor. Er hat vertrauliche Informationen. Er will sie mit seinem Zulieferer teilen — mit Ihnen. Die Zusammenarbeit zwischen Ihnen und Ihrem Partner schafft Werte. Die Informationen, die Ihr Partner mit Ihnen teilt, sind ein wichtiger Teil dieser Wertschöpfung. Deshalb will er sie angemessen schützen. Und er möchte sicher sein, dass Sie seine Informationen mit der gleichen Sorgfalt behandeln.

Aber wie kann er sicher sein, dass seine Informationen in guten Händen sind? Er kann Ihnen nicht einfach „glauben“. Ihr Partner braucht Nachweise.

Jetzt kommen zwei Fragen auf. Wer bestimmt, was „sicherer“ Umgang mit Informationen bedeutet? Und als nächstes: Wie können sie es nachweisen?

2.2. Wer bestimmt, was "sicher" bedeutet?

Weder Ihr Partner noch Sie sind die Einzigen, die sich diesen Fragen zum ersten Mal stellen müssen. Fast jeder muss Antworten darauf finden und die meisten Antworten werden sich in gewisser Weise ähneln.

Jedes Mal, wenn Sie selbstständig eine Lösung für ein alltägliches Problem finden müssten, nimmt Ihnen eine Standardmethode die Arbeit ab, alles von Grund auf neu zu erfinden. Während die Definition eines Standards einen enormen Aufwand bedeutet, wird er aber nur einmal erbracht und die späteren Nutzer profitieren jedes Mal davon.

Es gibt sicherlich unterschiedliche Ansichten darüber, was für den Schutz von Informationen das Richtige ist. Doch aufgrund der oben genannten Vorteile setzen die meisten Unternehmen auf Standards. Ein Standard ist die komprimierte Form aller erprobten und bewährten Best Practices für eine bestimmte Herausforderung.

Standards wie ISO/IEC 27001 (über Informationssicherheitsmanagementsysteme, ISMS) und deren Implementierung stellen in Ihrem Fall die anerkannteste Art der sicheren Verarbeitung von vertraulichen Informationen dar. Ein solcher Standard erspart Ihnen, das Rad neu zu erfinden. Noch wichtiger ist, dass Standards eine gemeinsame Basis bilden, wenn zwei Unternehmen vertrauliche Daten austauschen müssen.

2.3. Der Weg der Automobilindustrie

Branchenunabhängige Standards sind naturgemäß eher als Universallösung konzipiert als auf die spezifischen Bedürfnisse von Unternehmen aus der Automobilindustrie zugeschnitten.

Die Automobilindustrie hat bereits vor langer Zeit Verbände gegründet, deren Ziel es unter anderem ist, Standards zu verfeinern und zu definieren, die ihre spezifischen Bedürfnisse berücksichtigen. Der Verband der Automobilindustrie (VDA) ist einer davon. Innerhalb der Arbeitsgruppe, die sich mit Informationssicherheit beschäftigt, kamen mehrere Mitglieder der Automobilindustrie zu dem Schluss, dass sie ähnliche Bedürfnisse haben, bestehende Standards für das Informationssicherheitsmanagement anzupassen.

Das Ergebnis der gemeinsamen Anstrengungen ist ein Fragebogen, der die branchenweit akzeptierten Anforderungen der Automobilindustrie an die Informationssicherheit abdeckt. Er wird als „VDA Information Security Assessment“ (ISA) bezeichnet.

Mit dem ISA haben wir nun eine Antwort auf die Frage „Wer bestimmt, was „sicher“ bedeutet?“. Durch den VDA bietet die Automobilindustrie selbst ihren Mitgliedern diese Antwort an.

2.4. Wie können Sie Sicherheit effizient nachweisen?

Während einige Unternehmen den ISA nur für interne Zwecke nutzen, bewerten andere damit die Reife des Informationssicherheitsmanagements ihrer Zulieferer. In einigen dieser Fälle war eine „Selbsteinschätzung“ eine ausreichende Grundlage für die Geschäftsbeziehung. In bestimmten Fällen führten Unternehmen jedoch eine vollständige Prüfung des Informationssicherheitsmanagements ihrer Zulieferer durch (einschließlich Vor-Ort-Prüfungen).

Neben einem allgemein zunehmenden Bewusstsein für die Notwendigkeit des Informationssicherheitsmanagements und der zunehmenden Akzeptanz des ISA als Instrument zur Informationssicherheitsprüfung sahen sich immer mehr Zulieferer mit ähnlichen Anfragen verschiedener Partner konfrontiert.

Diese Partner wendeten noch unterschiedliche Standards an und hatten unterschiedliche Auffassungen davon, wie sie zu interpretieren sind. Aber die Zulieferer mussten im Wesentlichen die gleichen Dinge nachweisen, nur auf verschiedene Weisen.

Und je mehr Zulieferer von ihren Partnern aufgefordert wurden, ihr Niveau des Informationssicherheitsmanagements nachzuweisen, desto lauter wurden die Stimmen, die sich über wiederholte Anstrengungen beklagten. Einem Prüfdienstleister nach dem anderen die gleichen Maßnahmen des Informationssicherheitsmanagements zu zeigen, ist einfach nicht effizient.

Was kann man tun, um dies effizienter zu gestalten? Wäre es nicht hilfreich, wenn der Bericht eines Prüfers für verschiedene Partner wiederverwendet werden könnte?

Die OEMs und Zulieferer in der VDA-Arbeitsgruppe, die für die Pflege des ISA zuständig ist, hörten die Klagen ihrer Zulieferer. Nun bieten sie ihren Zulieferern und allen anderen Unternehmen der Automobilindustrie eine Antwort auf die Frage „Wie weist man Sicherheit nach?“.

Die Antwort ist TISAX, kurz für „Trusted Information Security Assessment Exchange“ (in etwa „Vertrauenswürdiger Austausch von Informationssicherheitsprüfungen“).

3. Der TISAX-Prozess

3.1. Überblick

Der TISAX-Prozess beginnt in der Regel[2] damit, dass einer Ihrer Partner Sie auffordert, ein definiertes Niveau des Informationssicherheitsmanagements gemäß den Anforderungen des „VDA Information Security Assessment“ (ISA) nachzuweisen. Um dieser Aufforderung nachzukommen, müssen Sie den 3-schrittigen TISAX-Prozess durchlaufen. Dieser Abschnitt gibt Ihnen einen Überblick über die notwendigen Schritte.

Der 3-schrittige TISAX-Prozess besteht aus den folgenden Schritten:

TISAX-Prozess-Überblick
Abbildung 1. TISAX-Prozess-Überblick
  1. Registrierung
    Wir sammeln Informationen über Ihr Unternehmen und was Bestandteil der Prüfung sein soll.

  2. Prüfung
    Sie durchlaufen die Prüfung(en), die von einem unserer TISAX-Prüfdienstleister durchgeführt wird/werden.

  3. Austausch
    Sie teilen Ihr Prüfergebnis mit Ihrem Partner.

Jeder Schritt besteht aus Teilschritten. Diese werden in den drei folgenden Abschnitten kurz dargestellt und in den jeweiligen Abschnitten weiter unten detailliert beschrieben.

Hinweis

Bitte beachten Sie:

Wir würden Ihnen gerne einen Anhaltspunkt geben, wie lange es dauern wird, bis Sie Ihr TISAX-Prüfergebnis erhalten. Aber wir bitten aber um Ihr Verständnis, dass es uns nicht möglich ist, dies zuverlässig vorhersagen zu können. Die Gesamtdauer des TISAX-Prozesses hängt von zu vielen Faktoren ab. Die große Bandbreite an Unternehmensgrößen, Prüfzielen und die jeweiligen Zustände eines Informationssicherheits-managementsystems machen dies unmöglich.

TISAX definiert jedoch eine maximale Dauer von neun Monaten für den gesamten TISAX-Prüfprozess.

3.2. Registrierung

Ihr erster Schritt ist die TISAX-Registrierung.

Der Hauptzweck der TISAX-Registrierung besteht darin, Informationen über Ihr Unternehmen zu sammeln. Wir verwenden einen Online-Registrierungsprozess, um Ihnen zu helfen, uns diese Informationen zur Verfügung zu stellen.

Die Registrierung ist die Voraussetzung für alle weiteren Schritte und sie ist kostenpflichtig.

Während des Online-Registrierungsprozesses:

  • bitten wir Sie um Kontaktdaten und Abrechnungsinformationen.

  • müssen Sie unsere Allgemeinen Geschäftsbedingungen akzeptieren.

  • können Sie den Scope der Informationssicherheitsprüfung festlegen.

Um direkt mit diesem Schritt zu starten, lesen Sie bitte weiter in Abschnitt 4, “Registrierung (Schritt 1)”.

Der Online-Registrierungsprozess ist in Abschnitt 4.5, “Online-Registrierungsprozess” ausführlich beschrieben. Aber wenn Sie gleich anfangen wollen, gehen Sie bitte zu Icon der Flagge von Deutschland enx.com/de-de/TISAX/.

3.3. Prüfung

Im zweiten Schritt durchlaufen Sie die Informationssicherheitsprüfung.

Es gibt vier Teilschritte:

  1. Prüfungsvorbereitung
    Sie müssen die Prüfung vorbereiten. Das Maß hängt vom derzeitigen Reifegrad Ihres Informationssicherheits-managementsystems ab. Aber Ihre Vorbereitung muss auf dem ISA-Katalog basieren.

  2. Prüfdienstleisterauswahl
    Sobald Sie für die Prüfung bereit sind, müssen Sie einen unserer TISAX-Prüfdienstleister auswählen.

  3. Informationssicherheitsprüfung(en)
    Ihr Prüfdienstleister führt die Prüfung auf der Grundlage eines Prüf-Scopes durch, der zu den Anforderungen Ihres Partners passt. Der Prüfprozess besteht mindestens aus der Erstprüfung.
    Wenn Ihr Unternehmen die Prüfung nicht im ersten Anlauf besteht, kann der Prüfprozess weitere Schritte erforderlich machen.

  4. Prüfergebnis
    Sobald Ihr Unternehmen die Prüfung bestanden hat, erhalten Sie von Ihrem Prüfdienstleister den offiziellen TISAX-Bericht. Ihr Prüfergebnis erhält auch TISAX-Labels[3].

Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 5, “Prüfung (Schritt 2)”.

3.4. Austausch

Ihr dritter und letzter Schritt besteht darin, Ihr Prüfergebnis mit Ihrem Partner zu teilen. Der Inhalt des TISAX-Berichts ist in Ebenen gegliedert. Sie können entscheiden, bis zu welcher Ebene Ihr Partner Zugang erhält.

Ihr Prüfergebnis ist drei Jahre gültig. Sofern Sie dann noch Zulieferer Ihres Partners sind, müssen Sie Ihr Prüfergebnis erneuern, indem Sie den 3-schrittigen Prozess erneut durchlaufen[4].

Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.


Nachdem Sie nun eine grundlegende Vorstellung davon haben, wie der TISAX-Prozess aussieht, finden Sie in den nächsten Abschnitten Anweisungen, wie Sie die einzelnen Schritte absolvieren können.

4. Registrierung (Schritt 1)

Die geschätzte Lesezeit für den Registrierungsabschnitt beträgt 30-40 Minuten.

4.1. Überblick

Die TISAX-Registrierung ist Ihr erster Schritt. Sie ist die Voraussetzung für alle weiteren Schritte.

Die folgenden Abschnitte führen Sie durch die Registrierung:

  1. Wir beginnen mit der Erläuterung eines wesentlichen neuen Begriffs.

  2. Dann beraten wir Sie, was Sie tun sollten, um auf die Online-Registrierung vorbereitet zu sein.

  3. Anschließend führen wir Sie durch den Online-Registrierungsprozess.

4.2. Sie sind ein TISAX-Teilnehmer

Lassen Sie uns zuerst einen neuen Begriff einführen, den Sie verstehen müssen. Bisher waren Sie der „Zulieferer“. Sie sind hier, um eine Anforderung Ihres „Kunden“ zu erfüllen. TISAX selbst unterscheidet jedoch nicht wirklich zwischen diesen beiden Rollen. Für TISAX ist jeder, der sich registriert hat, ein „Teilnehmer“. Sie — wie auch Ihr Partner — „beteiligen“ sich am Austausch von Ergebnissen von Informationssicherheitsprüfungen.

Registrieren Sie sich
Abbildung 2. Registrieren Sie sich, um ein TISAX-Teilnehmer zu werden

Um die beiden Rollen von Anfang an abzubilden, bezeichnen wir Sie, den Zulieferer, als „aktiven Teilnehmer“. Wir bezeichnen Ihren Partner als „passiven Teilnehmer“. Als „aktiver Teilnehmer“ werden Sie TISAX-geprüft und teilen Ihr Prüfergebnis mit anderen Teilnehmern. Der „passive Teilnehmer“ ist derjenige, der eine TISAX-Prüfung verlangt. Der „passive Teilnehmer“ erhält Ihr Prüfergebnis.

Passiver Teilnehmer und aktiver Teilnehmer
Abbildung 3. Passiver Teilnehmer und aktiver Teilnehmer

Jedes Unternehmen kann in beiden Rollen agieren. Sie können ein Prüfergebnis mit Ihrem Partner teilen und gleichzeitig Ihre eigenen Zulieferer auffordern, sich nach TISAX prüfen zu lassen.

TISAX-Teilnehmer können gleichzeitig aktiv und passiv sein
Abbildung 4. TISAX-Teilnehmer können gleichzeitig aktiv und passiv sein

Sofern Ihre eigenen Zulieferer auch mit den vertraulichen Informationen Ihres Partners umgehen, kann es sogar besonders sinnvoll sein, wenn Sie Ihre eigenen Zulieferer auffordern, sich einer TISAX-Prüfung zu unterziehen.

4.3. Vorbereitung auf die Registrierung

In diesem Abschnitt geben wir Ihnen Empfehlungen, wie Sie sich auf die Registrierung vorbereiten. Wir beschreiben den Registrierungsprozess selbst im Detail in Abschnitt 4.5, “Online-Registrierungsprozess”.

Bevor Sie mit der Online-Registrierung beginnen, empfehlen wir Ihnen dringend:

  • einige Informationen im Voraus zusammen zu tragen

  • und bereits einige Entscheidungen zu treffen.

4.3.1. Die rechtliche Grundlage

Normalerweise müssen Sie zwei Verträge unterschreiben. Den ersten Vertrag gehen Sie zwischen Ihnen und der ENX Association ein: Die „TISAX Allgemeine Teilnahmebedingungen“ (TISAX-Teilnehmer-AGBs). Der zweite Vertrag besteht zwischen Ihnen und einem unserer TISAX-Prüfdienstleister. Für die Registrierung betrachten wir nur den ersten Vertrag.

Die TISAX-Teilnehmer-AGBs regeln unsere gegenseitige Beziehung und Ihre Beziehung zu anderen TISAX-Teilnehmern. Sie definieren die Rechte und Pflichten für uns alle. Neben den üblichen Klauseln, die Sie in den meisten Verträgen finden, definieren sie den Umgang mit den während des TISAX-Prozesses erhaltenen und ausgetauschten Informationen im Detail. Hauptziel dieser Regeln ist dabei der vertrauliche Umgang mit den TISAX-Prüfergebnissen. Da alle TISAX-Teilnehmer den gleichen Regeln unterliegen, können Sie von Ihrem Partner (in seiner Rolle als passiver Teilnehmer) einen angemessenen Schutz Ihres TISAX-Prüfergebnisses erwarten.

Bei der Online-Registrierung werden wir Sie relativ früh bitten, die TISAX-Teilnehmer-AGBs zu akzeptieren. Da es sich um einen richtigen Vertrag handelt, empfehlen wir Ihnen, die TISAX-Teilnehmer-AGBs zu lesen, bevor Sie mit der Online-Registrierung beginnen. Ein Grund dafür ist, dass Sie je nach Ihrer Rolle in Ihrem Unternehmen gegebenenfalls eine Genehmigung von einem internen oder externen Anwalt einholen müssen.

Sie können die „TISAX Allgemeine Teilnahmebedingungen“[5] auf unserer Website herunterladen unter:
Icon der Flagge von Deutschland enx.com/de-de/TISAX/downloads/

Direkter PDF-Download:
Icon der Flagge von Deutschland enx.com/tisaxgtcde.pdf

Wichtig

Wichtiger Hinweis:

Die TISAX-Teilnehmer-AGBs sind in einer deutschen Übersetzung verfügbar. Bei der Online-Registrierung müssen Sie allerdings die englische Version akzeptieren (diese ist ebenfalls im oben verlinkten Dokument enthalten).

Während des Online-Registrierungsprozesses werden Sie gebeten, zwei Pflichtkästchen anzukreuzen:

  • ❏ We accept the TISAX Participation General Terms and Conditions
    Icon der Flagge von Deutschland Wir akzeptieren die TISAX Allgemeine Teilnahmebedingungen

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
    Icon der Flagge von Deutschland Wir bestätigen die Kenntnis des Antragstellers von der Befreiung der beruflichen Schweigepflicht des Prüfdienstleisters gemäß Abschnitt IX.5. und X.3 der TISAX Allgemeine Teilnahmebedingungen;

Das zweite Kästchen gibt es, da einige unserer TISAX-Prüfdienstleister Wirtschaftsprüfer sind. Sie haben besondere Anforderungen hinsichtlich des Berufsgeheimnisses. Sie sollten in Erwägung ziehen, diesen Klauseln besondere Aufmerksamkeit zu schenken, bevor Sie das Kästchen ankreuzen.

Wenn Sie üblicherweise eine Geheimhaltungsvereinbarung („NDA“) zwischen Ihnen und jedem benötigen, der mit vertraulichen Informationen umgeht, bitten wir Sie, die entsprechenden Abschnitte in unseren AGBs zu lesen. Diese sollten alle Ihre Bedenken zerstreuen.

Zum Abschluss des rechtlichen Teils bitten wir um Verständnis, dass das System davon abhängt, dass jeder die gleichen Regeln akzeptiert. Wir können daher keine zusätzlichen Allgemeinen Geschäftsbedingungen akzeptieren[6].

4.3.2. Der TISAX-Prüf-Scope

Im zweiten Schritt des TISAX-Prozesses führt einer unserer TISAX-Prüfdienstleister die Informationssicherheitsprüfung durch. Er muss wissen, wo er anfangen und wo er aufhören soll. Deshalb müssen Sie einen „Prüf-Scope“ (Scope = Umfang; Icon der Flagge des Vereinigten Königreichs Assessment scope) definieren.

Der „Prüf-Scope“ beschreibt den Umfang der Informationssicherheitsprüfung. Einfach ausgedrückt ist jeder Teil Ihres Unternehmens, der mit vertraulichen Informationen Ihres Partners umgeht, Teil des Prüf-Scopes. Sie können ihn als ein wesentliches Element der Aufgabenbeschreibung des Prüfdienstleisters betrachten. Er gibt vor, was der Prüfdienstleister zu prüfen hat.

Der Prüf-Scope ist aus zwei Gründen wichtig:

  1. Ein Prüfergebnis erfüllt nur dann die Anforderungen Ihres Partners, wenn der jeweilige Prüf-Scope alle Teile Ihres Unternehmens umfasst, die mit Informationen Ihres Partners umgehen.

  2. Ein genau definierter Prüf-Scope ist eine wesentliche Voraussetzung für aussagekräftige Kostenkalkulationen durch unsere TISAX-Prüfdienstleister.

Wichtig

Wichtiger Hinweis:

Wenn Ihr Unternehmen eine ISO/IEC 27001-Zertifizierung hat: Die Definition des „TISAX-Prüf-Scopes“ und die für die ISO/IEC 27001-Zertifizierung erforderliche Scope-Definition haben eine ähnliche Abdeckung. Der Unterschied liegt darin, dass der Scope in TISAX vordefiniert ist.

4.3.2.1. Beschreibung des Prüf-Scopes

Die Beschreibung des Prüf-Scopes definiert den Umfang der Prüfung. Für die Beschreibung des Prüf-Scopes müssen Sie eine von zwei Prüf-Scope-Type wählen:

  1. Standard scope (Icon der Flagge von Deutschland Standard-Scope)

  2. Custom scope (Icon der Flagge von Deutschland Angepasster Scope)

    1. Extended scope (Icon der Flagge von Deutschland Erweiterter Scope)

    2. Narrowed scope (Icon der Flagge von Deutschland Eingeschränkter Scope)

4.3.2.2. Standard-Scope

Die Beschreibung des Standard-Scope ist die Grundlage für eine TISAX-Prüfung. Andere TISAX-Teilnehmer akzeptieren nur Prüfergebnisse, die auf der Beschreibung des Standard-Scope basieren.

Die Beschreibung des Standard-Scope ist vordefiniert und kann nicht von Ihnen geändert werden. Wenn Sie aus irgendeinem Grund eine angepasste Beschreibung verwenden möchten, können Sie den Umfang Ihrer Prüfung entweder erweitern oder einschränken.

Einen Standard-Scope zu haben hat für Sie den bedeutenden Vorteil, dass Sie sich keine eigene Definition überlegen müssen.

Dies ist die Beschreibung des „Standard scope“[7]:

Icon der Flagge des Vereinigten Königreichs

Icon der Flagge von Deutschland

The standard scope comprises all processes and involved resources at the sites defined below that are subject to security requirements from partners in the automotive industry. Involved processes and resources include collection of information, storage of information and processing of information.

Examples for involved resources: Work equipment, employees, IT systems including cloud services such as infrastructure/ platform/software as a service, physical sites, relevant contractors

Examples for sites: Office sites, development sites, production sites, data centres
Der Standard-Scope erfasst alle Prozesse, Verfahren und beteiligte Ressourcen an den unten definierten Standorten mit denen Informationen verarbeitet werden, die Sicherheitsanforderungen von Partnern aus der Automobilindustrie unterliegen. Dies schließt sowohl die Erhebung, die Speicherung wie auch die Verarbeitung von Informationen ein.

Beispiele für beteiligte Ressourcen: Arbeitsmittel, Mitarbeiter, IT-Systeme einschließlich Cloud-Diensten wie Infrastruktur/Plattform/Software als Service, physische Standorte, relevante Subunternehmer

Beispiele für Standorte: Bürostandorte, Entwicklungsstandorte, Produktionsstandorte, Rechenzentren

Wir empfehlen dringend, den Standard-Scope zu wählen. Alle TISAX-Teilnehmer akzeptieren die Ergebnisse der Informationssicherheitsprüfung auf Basis des Standard-Scopes.

4.3.2.3. Angepasster Prüf-Scope

Den Standard-Scope wählen fast alle TISAX-Teilnehmer. Unter bestimmten und seltenen Umständen kann es jedoch erforderlich sein, einen angepassten Prüf-Scope zu wählen.

Scope-Typen: Erweiterter Scope
Abbildung 5. Scope-Typen: Erweiterter Scope, Standard-Scope, Eingeschränkter Scope
  1. Erweiterter Scope

    Sie können den Scope erweitern. Ein erweiterter Scope umfasst MEHR als der Standard-Scope. Der Prüfdienstleister führt weitergehende Prüfungen durch.

    Zweck: Ein erweiterter Scope kann relevant sein, wenn Sie Ihre TISAX-Prüfung für interne Zwecke oder außerhalb der Automobilindustrie einsetzen wollen.

    TISAX-Labels und Ergebnisse teilen: Ein erweiterter Scope umfasst immer den Standard-Scope. Deshalb erhält ein erweiterter Scope TISAX-Labels[8]. Andere TISAX-Teilnehmer werden das Prüfergebnis weiterhin akzeptieren.

    Beschreibung: Während der Standard-Scope eine vordefinierte Beschreibung hat, müssen Sie Ihre eigene angepasste Beschreibung schreiben, wenn Sie einen erweiterten Scope benötigen.

  2. Eingeschränkter Scope

    Sie können den Scope einschränken. Ein eingeschränkter Scope umfasst WENIGER als der Standard-Scope. Der Prüfdienstleister könnte bestimmte Prüfungen auslassen oder kürzen.

    Zweck: Wenn Sie Standorte haben, die zu unterschiedlichen Prüf-Scopes gehören und die Leistungen an einem bestimmten Standort (z. B. Rechenzentrum) nutzen, können Sie für diese Leistungen einen eingeschränkten Scope verwenden. So kann ein TISAX-Prüfdienstleister das Prüfergebnis des eingeschränkten Scopes problemlos wiederverwenden.

    Beispiel: Sie haben viele Standorte (möglicherweise Bestandteil verschiedener Prüf-Scopes) und Sie haben eine zentrale IT-Abteilung an einem dieser Standorte. Die Festlegung eines eingeschränkten Scopes nur für die IT-Abteilung kann die Wiederverwendung des jeweiligen Prüfergebnisses in den anderen Prüf-Scopes erleichtern.

    TISAX-Labels und Teilen von Ergebnissen: Eingeschränkte Scopes erhalten keine TISAX-Labels. Technisch gesehen wird Ihr Prüfergebnis im ENX-Portal mit Datum, Gültigkeitsdauer und der Angabe, ob das Gesamtprüfergebnis konform oder nicht konform ist, gespeichert. Sie könnten ein solches Prüfergebnis teilen. Aber das Teilen eines Prüfergebnisses ohne TISAX-Label wird für die meisten Empfänger wie eine nicht bestandene Prüfung aussehen. Andere TISAX-Teilnehmer akzeptieren im Allgemeinen keine Bewertungsergebnisse mit eingeschränktem Scope.

    Beschreibung: Wie schon für den erweiterten Scope, müssen Sie Ihre eigene angepasste Scope-Beschreibung festlegen, wenn Sie einen eingeschränkten Scope benötigen.
    Hier ist ein Beispiel die Beschreibung eines eingeschränkten Scopes:
    Physische Sicherheit, Ressourcen und Prozesse des Rechenzentrums, die zur Erfüllung der Dienstleistungen von Unternehmen X[9] verwendet werden.

    Wichtig

    Wichtiger Hinweis:

    Eine Prüfung mit eingeschränktem Scope erhält keine TISAX-Labels. Wir raten daher generell davon ab, einen eingeschränkten Scope zu wählen — vor allem, weil andere Teilnehmer in der Regel keine Prüfergebnisse mit eingeschränktem Scope akzeptieren. Bitte konsultieren Sie Ihren Partner, bevor Sie sich für einen eingeschränkten Scope entscheiden.

4.3.2.4. Festlegung des Scopes

Ihre nächste Aufgabe nach der Definition des Scope-Typs ist die Entscheidung, welche Standorte zum Prüf-Scope gehören.

Ist Ihr Unternehmen klein (also nur ein Standort), so ist dies eine einfache Aufgabe. Sie fügen einfach Ihren Standort zum Prüf-Scope hinzu.

Ist Ihr Unternehmen groß, sollten Sie die Registrierung mehrerer Prüf-Scopes in Betracht ziehen.

Ein einziger Scope, der alle Ihre Standorte enthält, bietet Vorteile:

  • Sie haben einen Prüfbericht, ein Prüfergebnis, ein Ablaufdatum.

  • Sie profitieren möglicherweise von reduzierten Kosten für die Prüfung, da ein TISAX-Prüfdienstleister Ihre zentralen Prozesse, Verfahren und Ressourcen nur einmal bewerten muss.

Aber ein einzelner Scope kann Nachteile haben wie:

  • Die Prüfergebnisse stehen erst dann zur Verfügung, sobald der TISAX-Prüfdienstleister alle Standorte geprüft hat. Diese Tatsache kann relevant sein, wenn Sie dringend ein Prüfergebnis benötigen.

  • Das Prüfergebnis hängt davon ab, dass alle Standorte die Prüfung bestehen. Wenn nur ein Standort die Prüfung nicht besteht, haben Sie kein positives Prüfergebnis.[10]

4.3.2.5. Maßschneidern des Scopes

Die Frage, ob Sie nur einen oder mehrere Scopes brauchen, können nur Sie beantworten. Aber die Beantwortung der Fragen im folgenden Diagramm kann Ihnen bei der Entscheidung möglicherweise helfen.

Entscheidungsbaum für das Maßschneidern von Scopes
Abbildung 6. Entscheidungsbaum für das Maßschneidern von Scopes
Hinweis

Bitte beachten Sie:

Lassen Sie sich von dieser Entscheidung nicht einschüchtern. Sie können jeden Scope ändern, solange der Prüfdienstleister die Prüfung nicht abgeschlossen hat.

Wenn Sie beispielsweise während der Vorbereitung auf Ihre Prüfung feststellen, dass der Scope nicht passt, dann können Sie ihn entsprechend ändern. Oder Ihr Prüfdienstleister empfiehlt Ihnen möglicherweise in den ersten Phasen der Prüfung, den Scope zu ändern.

Hinweis: Wird etwas zum Prüf-Scope hinzugefügt, so erhöht sich das Entgelt und Sie erhalten keine Rückerstattung, wenn Sie Standorte aus dem Prüf-Scope entfernen.

4.3.2.6. Scope-Standorte

Nachdem Sie nun entschieden haben, welche Standorte Teil Ihres Prüf-Scopes sind, können Sie damit weitermachen, einige standortspezifische Informationen zusammen zu tragen.

Für jeden Standort fragen wir nach Informationen wie Firmenname und Adresse. Wir bitten auch um einige zusätzliche Informationen, die es unseren TISAX-Prüfdienstleistern ermöglichen, sich ein besseres Bild von Ihrer Unternehmensstruktur zu machen. Ihre Antworten sind die Grundlage für deren Aufwandsabschätzung.

Bitte bereiten Sie sich darauf vor, die folgenden Angaben für jeden Ihrer Standorte anzugeben (das rote Sternchen * markiert Pflichtfelder im Online-Prozess):

Tabelle 1. Standortspezifische Informationen
Feld Optionen

Standortname *

n/a

D&B D-U-N-S NUMMER

n/a

Standortart *

Campus im Besitz und ausschließlich vom Unternehmen genutzt
Gebäude im Besitz und ausschließlich vom Unternehmen genutzt
Von dem Unternehmen gemietete Gebäude
Etage/Büro von dem Unternehmen in einem gemeinsamen Haus gemietet
Büro mit anderen Unternehmen geteilt
Eigenes Rechenzentrum
Geteiltes Rechenzentrum

Passiver Standortschutz *

Ja
Nein

Branche
(Mehrfach-Auswahl möglich)

Informationstechnologie

  • ❏ IT Service

  • ❏ Telekommunikationsdienstleistung

  • ❏ Softwareentwicklung

Management

  • ❏ Beratung

Medien

  • ❏ Marketing

  • ❏ Agentur

  • ❏ Druckdienstleistung

  • ❏ Fotographie

  • ❏ Übersetzungsdienstleistung

Forschung Und Entwicklung

  • ❏ Fahrzeugprüfung

  • ❏ Fahrzeugsimulation

  • ❏ Prototypenbau

  • ❏ Fahrzeugmodelle

  • ❏ Entwicklungsdienstleistung

  • ❏ CAx-Entwicklungsservices

Produktion

  • ❏ Produktionsdienstleistungen

  • ❏ Auftragsfertigung/Lohnherstellung

  • ❏ Werkstatt

  • ❏ Logistik

Verkauf und Kundendienst

  • ❏ Import, NSC

  • ❏ Händlerbetrieb

  • ❏ Finanzdienstleistung

  • ❏ Versicherung

  • ❏ Schadensabwicklung

Andere Branche
(bitte eingeben)

Mitarbeiter am Standort: Insgesamt *

0
1-10
11-100
101-1.000
1.001-5.000
Mehr als 5.000

Mitarbeiter am Standort: IT *

0
1-10
11-25
26-50
Mehr als 50

Mitarbeiter am Standort: Informationssicherheit *

0
Teilzeit
1-5
6-25
Mehr als 25

Mitarbeiter am Standort: Standortsicherheit *

0
Teilzeit
1-3
4-10
Mehr als 10

Zertifikate für diesen Standort

ISO 27001
Andere (bitte eingeben)
ISAE 3402
SOC2

Hinweis

Bitte beachten Sie:

Bezügliche der „Branche“: Wählen Sie nach bestem Wissen. Es gibt kein Richtig oder Falsch bei der Auswahl aus den obigen Optionen. Wenn Sie keine Option finden, die zu Ihrer Art von Geschäft passt, geben Sie einfach die passende Option unter „Sonstiges“ ein.

Für jeden Standort müssen Sie einen „Location name“ (Icon der Flagge von Deutschland Standort-Name) angeben. Der Zweck des Standort-Namens ist es, das Referenzieren des Standorts bei seiner Zuordnung zu einem Prüf-Scope zu vereinfachen.

Wir empfehlen, den Standort-Namen nach folgendem Muster zu vergeben:

Muster:

[Geografische Referenz]

Beispiel:

für die fiktive Firma „ACME“

  • Frankfurt
    (für einen Standort in der Stadt Frankfurt)

4.3.2.7. Scope-Name

Für jeden Scope müssen Sie einen „Scope name“ (Icon der Flagge von Deutschland Scope-Name) angeben. Der Zweck des Scope-Namens ist es, das Referenzieren des Scopes in jeder TISAX-bezogenen Kommunikation (z. B. mit Ihrem TISAX-Prüfdienstleister) zu vereinfachen.

Sie können jeden beliebigen Namen angeben. Aber Sie sollten denselben Scope-Namen nicht mehr als einem Scope zuweisen.

Wenn Sie später Ihre TISAX-Prüfung erneuern möchten, müssen Sie einen neuen Scope erstellen (möglicherweise identisch mit dem jetzigen Scope). Wir empfehlen daher, das Jahr der Prüfung in den Scope-Namen aufzunehmen.

Wir empfehlen, Scope-Namen nach folgendem Muster zu vergeben:

Muster:

[Geografische oder funktionale Referenz] [Jahr der Prüfung]

Beispiel:

für die fiktive Firma „ACME“

  • 2020
    (ohne geographische Referenz, falls Ihre Firma nur einen Standort hat)

  • Frankfurt 2020
    (für einen Scope mit mehreren Standorten in der Stadt Frankfurt)

  • Niedersachsen 2020
    (für einen Scope mit allen Standorten im Bundesland Niedersachsen)

  • Deutschland 2020
    (für einen Scope mit allen Standorten im Land Deutschland)

  • EMEA 2020
    (für einen Scope mit allen Standorten in der Region EMEA (“Europe, Middle East, Asia“))

  • Prototypen-Entwicklung 2020
    (funktionale Referenz für einen Scope mit allen Standorten, die an Prototypen-Entwicklung beteiligt sind)

4.3.2.8. Ansprechpartner

Für unsere Kommunikation mit Ihnen sammeln wir Informationen über Ansprechpartner in Ihrem Unternehmen.

Wir bitten um mindestens einen Ansprechpartner für Ihr Unternehmen als TISAX-Teilnehmer im Allgemeinen und einen für jeden Prüf-Scope. Sie haben die Möglichkeit, weitere Ansprechpartner anzugeben.

Bei der Vorbereitung auf Ihre Registrierung sollten Sie entscheiden, wer in Ihrem Unternehmen Ansprechpartner sein wird.

Wir bitten um die folgenden Kontaktdaten:

Tabelle 2. Kontaktdaten der Ansprechpartner
Angabe Pflichtfeld? Beispiel

1.

Anrede

Ja

Frau, Herr

2.

Akademischer Grad

Dr., Prof., andere

3.

Vorname

Ja

John

4.

Nachname

Ja

Doe

5.

Jobtitel

Ja

Leiter IT

6.

Abteilung

Ja

Informationstechnologie

7.

Telefonnummer

Ja

+49 69 986692777

8.

Weitere Telefonnummer

9.

E-Mail-Adresse

Ja

john.doe@acme.com

10.

Bevorzugte Sprache

Ja

Englisch (Standard)

11.

Andere Sprachen

Deutsch, Französisch

12.

Weitere Empfängerbezeichnung

HPC 1234

13.

Adresse

Ja

Bockenheimer Landstraße 97-99

14.

Postleitzahl

Ja

60325

15.

Stadt

Ja

Frankfurt

16.

Bundesland/Kanton

17.

Land

Ja

Deutschland

Wichtig

Wichtiger Hinweis:
 
Wir empfehlen, für jeden Ansprechpartner mindestens einen Vertreter zu benennen. Wenn ein Ansprechpartner zeitweise nicht verfügbar ist oder die Firma verlassen hat, dann gibt es jemanden anderen, der die Teilnehmerdaten Ihrer Firma verwalten kann.
Wenn Sie einen neuen Ansprechpartner benennen wollen (ohne andere verbliebene gültige Ansprechpartner), müssen Sie einen komplexen Prozess durchlaufen. Unser Prozess stellt sicher, dass nur für Ihre Firma rechtlich entscheidungsberechtigte Personen die Benennung eines neuen Hauptansprechpartners freigeben dürfen.

4.3.2.9. Veröffentlichen und Teilen

Der Hauptzweck von TISAX ist es, Ihr Prüfergebnis für andere TISAX-Teilnehmer zu veröffentlichen und es mit Ihrem Partner / Ihren Partnern zu teilen.

Über die Veröffentlichung und das Teilen Ihres Prüfergebnisses können Sie entweder während des Registrierungsprozesses oder zu einem späteren Zeitpunkt entscheiden.

Wenn Sie den TISAX-Prozess als Präventivschritt durchlaufen, können Sie sich bereits jetzt dafür entscheiden, Ihr Prüfergebnis in der Community der TISAX-Teilnehmer zu veröffentlichen. Ansonsten gibt es zum jetzigen Zeitpunkt nichts vorzubereiten.

Hat Ihr Partner Sie aufgefordert, den TISAX-Prozess zu durchlaufen, müssen Sie Ihr Prüfergebnis früher oder später mit Ihm teilen. Sie können mit Ihrem Partner bereits während der Registrierung Status-Informationen teilen. Sobald Ihr Prüfergebnis vorliegt, hat Ihr Partner automatisch die Berechtigung, darauf zuzugreifen[11].

Es gibt zwei Dinge, die Sie zum Teilen von Status-Informationen benötigen:

  1. Die TISAX-Participant-ID Ihres Partners

    In der Regel sollte Ihnen Ihr Partner seine TISAX-Participant-ID mitteilen.

    Der Einfachheit halber bietet unser Registrierungsfo