Wie Sie die TISAX-Prüfung bestehen und Ihr Prüfergebnis mit Ihren Partnern teilen
Herausgeber
ENX Association
Eine französische Association nach dem Gesetz von 1901,
eingetragen bei der Sous-Préfecture Boulogne-Billancourt, Frankreich unter der Nummer w923004198.
Anschriften
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Frankreich
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Deutschland
Verfasser
Florian Gleich
Kontakt
tisax@enx.com
+49 69 9866927-77
Version
Datum: |
06.01.2021 |
Version: |
2.3 |
Klassifizierung: |
Öffentlich |
ENX doc ID: |
602-DE |
Urheberschutzvermerk
Alle Rechte vorbehalten.
ENX, TISAX und ihre jeweiligen Logos sind eingetragene Marken der ENX Association.
Erwähnte Marken Dritter sind Eigentum der jeweiligen Inhaber.
1. Überblick
1.1. Zweck
Willkommen bei TISAX, dem „Trusted Information Security Assessment Exchange“.
Einer Ihrer Partner hat Sie aufgefordert nachzuweisen, dass Ihr Informationssicherheitsmanagement den Anforderungen des „VDA[1] Information Security Assessment“ (ISA) entspricht. Und nun wollen Sie wissen, wie Sie dieser Aufforderung nachkommen können.
Der Zweck dieses Handbuchs ist es, Ihnen zu ermöglichen, der Aufforderung Ihres Partners nachzukommen — oder ihm zuvor zu kommen, indem Sie diese Anforderung erfüllen, noch bevor ein Partner danach fragt.
Dieses Handbuch beschreibt die Schritte, die Sie gehen müssen, um die TISAX-Prüfung zu bestehen und Ihr Prüfergebnis mit Ihrem Partner zu teilen.
Ein Informationssicherheitsmanagementsystems (ISMS) aufzubauen und aufrecht zu erhalten ist bereits eine komplexe Aufgabe. Ihrem Partner nachzuweisen, dass Ihr Informationssicherheitsmanagementsystem der Aufgabe gewachsen ist, erhöht die Komplexität weiter. Dieses Handbuch wird Ihnen nicht bei der Verwaltung Ihrer Informationssicherheit helfen. Aber es beabsichtigt, es Ihnen so einfach wie möglich zu machen, Ihre Anstrengungen gegenüber Ihrem Partner nachzuweisen.
1.2. Geltungsbereich
Dieses Handbuch gilt für alle TISAX-Prozesse, an denen Sie beteiligt sind.
Es enthält alles, was Sie wissen müssen, um den TISAX-Prozess zu durchlaufen.
Das Handbuch bietet einige Ratschläge zum Umgang mit den Anforderungen an die Informationssicherheit, die im Mittelpunkt der Prüfung stehen. Aber es beabsichtigt nicht, Sie grundsätzlich darüber aufzuklären, was Sie tun müssen, um die Informationssicherheitsprüfung zu bestehen.
1.3. Zielgruppe
Hauptzielgruppe dieses Handbuchs sind Unternehmen, die ein bestimmtes Niveau Ihres Informationssicherheitsmanagements gemäß den Anforderungen des „VDA Information Security Assessment“ (ISA) nachweisen wollen oder müssen.
Sobald Sie aktiv an den TISAX-Prozessen beteiligt sind, profitieren Sie von den Informationen in diesem Handbuch.
Auch Unternehmen, die ihren Zulieferer auffordern, ein bestimmtes Niveau des Informationssicherheitsmanagement nachzuweisen, werden davon profitieren. Dieses Handbuch ermöglicht es ihnen zu verstehen, was ihre Zulieferer tun müssen, um ihrer Aufforderung nachzukommen.
1.4. Aufbau
Wir beginnen mit einer kurzen Einführung in TISAX. Danach folgen direkt Anweisungen, WIE Dinge getan werden müssen. Sie werden alles finden, was Sie brauchen, um durch den Prozess zu kommen — in der Reihenfolge, in der Sie es wissen müssen.
Die geschätzte Lesezeit für das Dokument beträgt 75-90 Minuten.
1.5. Wie Sie dieses Dokument benutzen
Früher oder später werden Sie wahrscheinlich das meiste von dem, was in diesem Dokument beschrieben wird, verstehen wollen. Für eine gute Vorbereitung empfehlen wir, das gesamte Handbuch zu lesen.
Wir haben das Handbuch jedoch nach den drei Hauptschritten des TISAX-Prozesses strukturiert. So können Sie den Abschnitt wählen, den Sie gerade benötigen, und den Rest später lesen.
Das Handbuch nutzt Illustrationen, um Ihnen zu helfen Ihr Verständnis zu verbessern. Oft haben die Farben in den Abbildungen eine unterstützende Bedeutung. Wir empfehlen daher, das Dokument entweder auf einem Bildschirm oder als Farbausdruck zu lesen.
Wir freuen uns über Ihre Rückmeldung. Wenn Sie der Meinung sind, dass etwas in diesem Handbuch fehlt oder nicht einfach zu verstehen ist, teilen Sie uns das bitte mit. Wir und alle künftigen Leser dieses Handbuchs werden Ihnen für Ihre Rückmeldung dankbar sein.
Wenn Sie bereits eine vorherige Version des TISAX-Teilnehmerhandbuchs benutzt haben, dann finden Sie eventuell hilfreiche Anmerkungen am Ende des Dokuments in Abschnitt 8, “Dokumentenhistorie”.
1.6. Sprechen Sie uns an
Wir sind hier, um Sie durch den TISAX-Prozess zu führen und Ihre Fragen zu beantworten.
Schicken Sie uns eine email an: |
|
Oder rufen Sie uns an: |
+49 69 9866927-77 |
Sie erreichen uns zu den üblichen Geschäftszeiten in Deutschland (UTC+01:00).
Wir sprechen alle Deutsch und
Englisch. Zwei Kollegen sprechen
Italienisch (Muttersprachler).
1.7. Das TISAX-Teilnehmerhandbuch in anderen Sprachen und Formaten
Das TISAX-Teilnehmerhandbuch ist in den folgenden Sprachen und Formaten verfügbar:
Sprache | Version | Format | Link | Größe |
---|---|---|---|---|
|
2.3 |
Online |
https://www.enx.com/handbook/tisax-participant-handbook.html |
n/a |
Offline |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
6.4 MB |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
6.4 MB |
|||
|
2.3 |
Online |
n/a |
|
Offline |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
6,4 MB |
||
5,0 MB |
||||
|
2.3 beta |
Online |
n/a |
|
Offline |
7,0 MB |
|||
7,0 MB |
||||
|
2.3 beta |
Online |
n/a |
|
Offline |
7,0 MB |
|||
7,0 MB |
Wichtig
|
Wichtiger Hinweis: Die englische Version ist die führende Version. |
1.7.1. Zur deutschen Übersetzung
Dieses TISAX-Teilnehmerhandbuch ist eine Übersetzung der englischen Version.
Alle TISAX zugrunde liegenden Dokumente sind auf Englisch entstanden (z. B. sämtliche Verträge und Vorgaben für die TISAX-Prüfdienstleister). Folglich kann es Ihnen passieren, dass Ihr Partner oder Ihr Prüfdienstleister einige der TISAX-spezifischen Begriffe auf Englisch verwendet.
Um Ihnen eine Zuordnung zu ermöglichen, haben wir in der deutschen Übersetzung des TISAX-Teilnehmerhandbuchs den englischen TISAX-Originalbegriff entweder beibehalten (ggf. leicht „eingedeutscht“) oder in Klammern direkt hinter der deutschen Übersetzung angeben.
1.7.2. Zum Online-Format
Jeder Abschnitt hat eine eindeutige ID (Format: ID1234).
Eine ID referenziert einen bestimmten Abschnitt, ungeachtet der Sprache.
Wenn Sie auf einen bestimmten Abschnitt verlinken möchten, können Sie:
-
Entweder auf den Abschnittstitel rechtsklicken und den Link kopieren
-
oder Sie klicken auf den Abschnittstitel und kopieren den Link aus der Adresszeile Ihres Browsers.
Die meisten Abbildungen sind in einem größeren Format verfügbar, als hier standardmäßig angezeigt wird. Klicken Sie auf eine Abbildung, um die größere Version zu öffnen.
1.7.3. Zum Offline-Format
Das Offline-Format behält die meisten Eigenschaften des Online-Formats. Vor allem die Abbildungen sind in die HTML-Datei eingebettet. Sie brauchen nur eine Datei, um das Offline-Format zu nutzen.
Im Vergleich zum Online-Format, fehlen dem Offline-Format:
-
die größeren Abbildungen
-
die Original-Schriftarten des Online-Formats
Die Einstellungen Ihres Browsers bestimmen die Schriftarten.
1.7.4. Zum PDF-Format
Das PDF-Format basiert auf dem Online-Format. Im Grunde benutzen wir einen Browser, um das Online-Format als PDF zu speichern.
Wenn Sie das PDF-Format auf Ihrem Computer benutzen, können Sie weiterhin auf alle Referenzen klicken. Wenn Sie hingegen die PDF-Version ausdrucken, werden Sie keine Seitenzahlen haben und Referenzen selbst nachschauen müssen.
2. Einleitung
In den folgenden Abschnitten stellen wir Ihnen das TISAX-Konzept vor.
Wenn Sie es eilig haben, können Sie diese überspringen und sofort mit Abschnitt 4.3, “Vorbereitung auf die Registrierung” beginnen.
2.1. Warum TISAX?
Oder besser gesagt, warum Sind Sie hier?
Um diese Frage zu beantworten, beginnen wir mit ein paar generellen Überlegungen zum Geschäftsleben im Allgemeinen und zum Schutz von Informationen im Besonderen.
Stellen Sie sich Ihren Partner vor. Er hat vertrauliche Informationen. Er will sie mit seinem Zulieferer teilen — mit Ihnen. Die Zusammenarbeit zwischen Ihnen und Ihrem Partner schafft Werte. Die Informationen, die Ihr Partner mit Ihnen teilt, sind ein wichtiger Teil dieser Wertschöpfung. Deshalb will er sie angemessen schützen. Und er möchte sicher sein, dass Sie seine Informationen mit der gleichen Sorgfalt behandeln.
Aber wie kann er sicher sein, dass seine Informationen in guten Händen sind? Er kann Ihnen nicht einfach „glauben“. Ihr Partner braucht Nachweise.
Jetzt kommen zwei Fragen auf. Wer bestimmt, was „sicherer“ Umgang mit Informationen bedeutet? Und als nächstes: Wie können sie es nachweisen?
2.2. Wer bestimmt, was "sicher" bedeutet?
Weder Ihr Partner noch Sie sind die Einzigen, die sich diesen Fragen zum ersten Mal stellen müssen. Fast jeder muss Antworten darauf finden und die meisten Antworten werden sich in gewisser Weise ähneln.
Jedes Mal, wenn Sie selbstständig eine Lösung für ein alltägliches Problem finden müssten, nimmt Ihnen eine Standardmethode die Arbeit ab, alles von Grund auf neu zu erfinden. Während die Definition eines Standards einen enormen Aufwand bedeutet, wird er aber nur einmal erbracht und die späteren Nutzer profitieren jedes Mal davon.
Es gibt sicherlich unterschiedliche Ansichten darüber, was für den Schutz von Informationen das Richtige ist. Doch aufgrund der oben genannten Vorteile setzen die meisten Unternehmen auf Standards. Ein Standard ist die komprimierte Form aller erprobten und bewährten Best Practices für eine bestimmte Herausforderung.
Standards wie ISO/IEC 27001 (über Informationssicherheitsmanagementsysteme, ISMS) und deren Implementierung stellen in Ihrem Fall die anerkannteste Art der sicheren Verarbeitung von vertraulichen Informationen dar. Ein solcher Standard erspart Ihnen, das Rad neu zu erfinden. Noch wichtiger ist, dass Standards eine gemeinsame Basis bilden, wenn zwei Unternehmen vertrauliche Daten austauschen müssen.
2.3. Der Weg der Automobilindustrie
Branchenunabhängige Standards sind naturgemäß eher als Universallösung konzipiert als auf die spezifischen Bedürfnisse von Unternehmen aus der Automobilindustrie zugeschnitten.
Die Automobilindustrie hat bereits vor langer Zeit Verbände gegründet, deren Ziel es unter anderem ist, Standards zu verfeinern und zu definieren, die ihre spezifischen Bedürfnisse berücksichtigen. Der Verband der Automobilindustrie (VDA) ist einer davon. Innerhalb der Arbeitsgruppe, die sich mit Informationssicherheit beschäftigt, kamen mehrere Mitglieder der Automobilindustrie zu dem Schluss, dass sie ähnliche Bedürfnisse haben, bestehende Standards für das Informationssicherheitsmanagement anzupassen.
Das Ergebnis der gemeinsamen Anstrengungen ist ein Fragebogen, der die branchenweit akzeptierten Anforderungen der Automobilindustrie an die Informationssicherheit abdeckt. Er wird als „VDA Information Security Assessment“ (ISA) bezeichnet.
Mit dem ISA haben wir nun eine Antwort auf die Frage „Wer bestimmt, was „sicher“ bedeutet?“. Durch den VDA bietet die Automobilindustrie selbst ihren Mitgliedern diese Antwort an.
2.4. Wie können Sie Sicherheit effizient nachweisen?
Während einige Unternehmen den ISA nur für interne Zwecke nutzen, bewerten andere damit die Reife des Informationssicherheitsmanagements ihrer Zulieferer. In einigen dieser Fälle war eine „Selbsteinschätzung“ eine ausreichende Grundlage für die Geschäftsbeziehung. In bestimmten Fällen führten Unternehmen jedoch eine vollständige Prüfung des Informationssicherheitsmanagements ihrer Zulieferer durch (einschließlich Vor-Ort-Prüfungen).
Neben einem allgemein zunehmenden Bewusstsein für die Notwendigkeit des Informationssicherheitsmanagements und der zunehmenden Akzeptanz des ISA als Instrument zur Informationssicherheitsprüfung sahen sich immer mehr Zulieferer mit ähnlichen Anfragen verschiedener Partner konfrontiert.
Diese Partner wendeten noch unterschiedliche Standards an und hatten unterschiedliche Auffassungen davon, wie sie zu interpretieren sind. Aber die Zulieferer mussten im Wesentlichen die gleichen Dinge nachweisen, nur auf verschiedene Weisen.
Und je mehr Zulieferer von ihren Partnern aufgefordert wurden, ihr Niveau des Informationssicherheitsmanagements nachzuweisen, desto lauter wurden die Stimmen, die sich über wiederholte Anstrengungen beklagten. Einem Prüfdienstleister nach dem anderen die gleichen Maßnahmen des Informationssicherheitsmanagements zu zeigen, ist einfach nicht effizient.
Was kann man tun, um dies effizienter zu gestalten? Wäre es nicht hilfreich, wenn der Bericht eines Prüfers für verschiedene Partner wiederverwendet werden könnte?
Die OEMs und Zulieferer in der VDA-Arbeitsgruppe, die für die Pflege des ISA zuständig ist, hörten die Klagen ihrer Zulieferer. Nun bieten sie ihren Zulieferern und allen anderen Unternehmen der Automobilindustrie eine Antwort auf die Frage „Wie weist man Sicherheit nach?“.
Die Antwort ist TISAX, kurz für „Trusted Information Security Assessment Exchange“ (in etwa „Vertrauenswürdiger Austausch von Informationssicherheitsprüfungen“).
3. Der TISAX-Prozess
3.1. Überblick
Der TISAX-Prozess beginnt in der Regel[2] damit, dass einer Ihrer Partner Sie auffordert, ein definiertes Niveau des Informationssicherheitsmanagements gemäß den Anforderungen des „VDA Information Security Assessment“ (ISA) nachzuweisen. Um dieser Aufforderung nachzukommen, müssen Sie den 3-schrittigen TISAX-Prozess durchlaufen. Dieser Abschnitt gibt Ihnen einen Überblick über die notwendigen Schritte.
Der 3-schrittige TISAX-Prozess besteht aus den folgenden Schritten:
-
Registrierung
Wir sammeln Informationen über Ihr Unternehmen und was Bestandteil der Prüfung sein soll. -
Prüfung
Sie durchlaufen die Prüfung(en), die von einem unserer TISAX-Prüfdienstleister durchgeführt wird/werden. -
Austausch
Sie teilen Ihr Prüfergebnis mit Ihrem Partner.
Jeder Schritt besteht aus Teilschritten. Diese werden in den drei folgenden Abschnitten kurz dargestellt und in den jeweiligen Abschnitten weiter unten detailliert beschrieben.
Hinweis
|
Bitte beachten Sie: Wir würden Ihnen gerne einen Anhaltspunkt geben, wie lange es dauern wird, bis Sie Ihr TISAX-Prüfergebnis erhalten. Aber wir bitten aber um Ihr Verständnis, dass es uns nicht möglich ist, dies zuverlässig vorhersagen zu können. Die Gesamtdauer des TISAX-Prozesses hängt von zu vielen Faktoren ab. Die große Bandbreite an Unternehmensgrößen, Prüfzielen und die jeweiligen Zustände eines Informationssicherheits-managementsystems machen dies unmöglich. TISAX definiert jedoch eine maximale Dauer von neun Monaten für den gesamten TISAX-Prüfprozess. |
3.2. Registrierung
Ihr erster Schritt ist die TISAX-Registrierung.
Der Hauptzweck der TISAX-Registrierung besteht darin, Informationen über Ihr Unternehmen zu sammeln. Wir verwenden einen Online-Registrierungsprozess, um Ihnen zu helfen, uns diese Informationen zur Verfügung zu stellen.
Die Registrierung ist die Voraussetzung für alle weiteren Schritte und sie ist kostenpflichtig.
Während des Online-Registrierungsprozesses:
-
bitten wir Sie um Kontaktdaten und Abrechnungsinformationen.
-
müssen Sie unsere Allgemeinen Geschäftsbedingungen akzeptieren.
-
können Sie den Scope der Informationssicherheitsprüfung festlegen.
Um direkt mit diesem Schritt zu starten, lesen Sie bitte weiter in Abschnitt 4, “Registrierung (Schritt 1)”.
Der Online-Registrierungsprozess ist in Abschnitt 4.5, “Online-Registrierungsprozess” ausführlich beschrieben. Aber wenn Sie gleich anfangen wollen, gehen Sie bitte zu enx.com/de-de/TISAX/.
3.3. Prüfung
Im zweiten Schritt durchlaufen Sie die Informationssicherheitsprüfung.
Es gibt vier Teilschritte:
-
Prüfungsvorbereitung
Sie müssen die Prüfung vorbereiten. Das Maß hängt vom derzeitigen Reifegrad Ihres Informationssicherheits-managementsystems ab. Aber Ihre Vorbereitung muss auf dem ISA-Katalog basieren. -
Prüfdienstleisterauswahl
Sobald Sie für die Prüfung bereit sind, müssen Sie einen unserer TISAX-Prüfdienstleister auswählen. -
Informationssicherheitsprüfung(en)
Ihr Prüfdienstleister führt die Prüfung auf der Grundlage eines Prüf-Scopes durch, der zu den Anforderungen Ihres Partners passt. Der Prüfprozess besteht mindestens aus der Erstprüfung.
Wenn Ihr Unternehmen die Prüfung nicht im ersten Anlauf besteht, kann der Prüfprozess weitere Schritte erforderlich machen. -
Prüfergebnis
Sobald Ihr Unternehmen die Prüfung bestanden hat, erhalten Sie von Ihrem Prüfdienstleister den offiziellen TISAX-Bericht. Ihr Prüfergebnis erhält auch TISAX-Labels[3].
Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 5, “Prüfung (Schritt 2)”.
3.4. Austausch
Ihr dritter und letzter Schritt besteht darin, Ihr Prüfergebnis mit Ihrem Partner zu teilen. Der Inhalt des TISAX-Berichts ist in Ebenen gegliedert. Sie können entscheiden, bis zu welcher Ebene Ihr Partner Zugang erhält.
Ihr Prüfergebnis ist drei Jahre gültig. Sofern Sie dann noch Zulieferer Ihres Partners sind, müssen Sie Ihr Prüfergebnis erneuern, indem Sie den 3-schrittigen Prozess erneut durchlaufen[4].
Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.
Nachdem Sie nun eine grundlegende Vorstellung davon haben, wie der TISAX-Prozess aussieht, finden Sie in den nächsten Abschnitten Anweisungen, wie Sie die einzelnen Schritte absolvieren können.
4. Registrierung (Schritt 1)
Die geschätzte Lesezeit für den Registrierungsabschnitt beträgt 30-40 Minuten.
4.1. Überblick
Die TISAX-Registrierung ist Ihr erster Schritt. Sie ist die Voraussetzung für alle weiteren Schritte.
Die folgenden Abschnitte führen Sie durch die Registrierung:
-
Wir beginnen mit der Erläuterung eines wesentlichen neuen Begriffs.
-
Dann beraten wir Sie, was Sie tun sollten, um auf die Online-Registrierung vorbereitet zu sein.
-
Anschließend führen wir Sie durch den Online-Registrierungsprozess.
4.2. Sie sind ein TISAX-Teilnehmer
Lassen Sie uns zuerst einen neuen Begriff einführen, den Sie verstehen müssen. Bisher waren Sie der „Zulieferer“. Sie sind hier, um eine Anforderung Ihres „Kunden“ zu erfüllen. TISAX selbst unterscheidet jedoch nicht wirklich zwischen diesen beiden Rollen. Für TISAX ist jeder, der sich registriert hat, ein „Teilnehmer“. Sie — wie auch Ihr Partner — „beteiligen“ sich am Austausch von Ergebnissen von Informationssicherheitsprüfungen.
Um die beiden Rollen von Anfang an abzubilden, bezeichnen wir Sie, den Zulieferer, als „aktiven Teilnehmer“. Wir bezeichnen Ihren Partner als „passiven Teilnehmer“. Als „aktiver Teilnehmer“ werden Sie TISAX-geprüft und teilen Ihr Prüfergebnis mit anderen Teilnehmern. Der „passive Teilnehmer“ ist derjenige, der eine TISAX-Prüfung verlangt. Der „passive Teilnehmer“ erhält Ihr Prüfergebnis.
Jedes Unternehmen kann in beiden Rollen agieren. Sie können ein Prüfergebnis mit Ihrem Partner teilen und gleichzeitig Ihre eigenen Zulieferer auffordern, sich nach TISAX prüfen zu lassen.
Sofern Ihre eigenen Zulieferer auch mit den vertraulichen Informationen Ihres Partners umgehen, kann es sogar besonders sinnvoll sein, wenn Sie Ihre eigenen Zulieferer auffordern, sich einer TISAX-Prüfung zu unterziehen.
4.3. Vorbereitung auf die Registrierung
In diesem Abschnitt geben wir Ihnen Empfehlungen, wie Sie sich auf die Registrierung vorbereiten. Wir beschreiben den Registrierungsprozess selbst im Detail in Abschnitt 4.5, “Online-Registrierungsprozess”.
Bevor Sie mit der Online-Registrierung beginnen, empfehlen wir Ihnen dringend:
-
einige Informationen im Voraus zusammen zu tragen
-
und bereits einige Entscheidungen zu treffen.
4.3.1. Die rechtliche Grundlage
Normalerweise müssen Sie zwei Verträge unterschreiben. Den ersten Vertrag gehen Sie zwischen Ihnen und der ENX Association ein: Die „TISAX Allgemeine Teilnahmebedingungen“ (TISAX-Teilnehmer-AGBs). Der zweite Vertrag besteht zwischen Ihnen und einem unserer TISAX-Prüfdienstleister. Für die Registrierung betrachten wir nur den ersten Vertrag.
Die TISAX-Teilnehmer-AGBs regeln unsere gegenseitige Beziehung und Ihre Beziehung zu anderen TISAX-Teilnehmern. Sie definieren die Rechte und Pflichten für uns alle. Neben den üblichen Klauseln, die Sie in den meisten Verträgen finden, definieren sie den Umgang mit den während des TISAX-Prozesses erhaltenen und ausgetauschten Informationen im Detail. Hauptziel dieser Regeln ist dabei der vertrauliche Umgang mit den TISAX-Prüfergebnissen. Da alle TISAX-Teilnehmer den gleichen Regeln unterliegen, können Sie von Ihrem Partner (in seiner Rolle als passiver Teilnehmer) einen angemessenen Schutz Ihres TISAX-Prüfergebnisses erwarten.
Bei der Online-Registrierung werden wir Sie relativ früh bitten, die TISAX-Teilnehmer-AGBs zu akzeptieren. Da es sich um einen richtigen Vertrag handelt, empfehlen wir Ihnen, die TISAX-Teilnehmer-AGBs zu lesen, bevor Sie mit der Online-Registrierung beginnen. Ein Grund dafür ist, dass Sie je nach Ihrer Rolle in Ihrem Unternehmen gegebenenfalls eine Genehmigung von einem internen oder externen Anwalt einholen müssen.
Sie können die „TISAX Allgemeine Teilnahmebedingungen“[5] auf unserer Website herunterladen unter:
enx.com/de-de/TISAX/downloads/
Direkter PDF-Download:
enx.com/tisaxgtcde.pdf
Wichtig
|
Wichtiger Hinweis: Die TISAX-Teilnehmer-AGBs sind in einer deutschen Übersetzung verfügbar. Bei der Online-Registrierung müssen Sie allerdings die englische Version akzeptieren (diese ist ebenfalls im oben verlinkten Dokument enthalten). |
Während des Online-Registrierungsprozesses werden Sie gebeten, zwei Pflichtkästchen anzukreuzen:
-
❏ We accept the TISAX Participation General Terms and Conditions
Wir akzeptieren die TISAX Allgemeine Teilnahmebedingungen
-
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
Wir bestätigen die Kenntnis des Antragstellers von der Befreiung der beruflichen Schweigepflicht des Prüfdienstleisters gemäß Abschnitt IX.5. und X.3 der TISAX Allgemeine Teilnahmebedingungen;
Das zweite Kästchen gibt es, da einige unserer TISAX-Prüfdienstleister Wirtschaftsprüfer sind. Sie haben besondere Anforderungen hinsichtlich des Berufsgeheimnisses. Sie sollten in Erwägung ziehen, diesen Klauseln besondere Aufmerksamkeit zu schenken, bevor Sie das Kästchen ankreuzen.
Wenn Sie üblicherweise eine Geheimhaltungsvereinbarung („NDA“) zwischen Ihnen und jedem benötigen, der mit vertraulichen Informationen umgeht, bitten wir Sie, die entsprechenden Abschnitte in unseren AGBs zu lesen. Diese sollten alle Ihre Bedenken zerstreuen.
Zum Abschluss des rechtlichen Teils bitten wir um Verständnis, dass das System davon abhängt, dass jeder die gleichen Regeln akzeptiert. Wir können daher keine zusätzlichen Allgemeinen Geschäftsbedingungen akzeptieren[6].
4.3.2. Der TISAX-Prüf-Scope
Im zweiten Schritt des TISAX-Prozesses führt einer unserer TISAX-Prüfdienstleister die Informationssicherheitsprüfung durch. Er muss wissen, wo er anfangen und wo er aufhören soll. Deshalb müssen Sie einen „Prüf-Scope“ (Scope = Umfang; Assessment scope) definieren.
Der „Prüf-Scope“ beschreibt den Umfang der Informationssicherheitsprüfung. Einfach ausgedrückt ist jeder Teil Ihres Unternehmens, der mit vertraulichen Informationen Ihres Partners umgeht, Teil des Prüf-Scopes. Sie können ihn als ein wesentliches Element der Aufgabenbeschreibung des Prüfdienstleisters betrachten. Er gibt vor, was der Prüfdienstleister zu prüfen hat.
Der Prüf-Scope ist aus zwei Gründen wichtig:
-
Ein Prüfergebnis erfüllt nur dann die Anforderungen Ihres Partners, wenn der jeweilige Prüf-Scope alle Teile Ihres Unternehmens umfasst, die mit Informationen Ihres Partners umgehen.
-
Ein genau definierter Prüf-Scope ist eine wesentliche Voraussetzung für aussagekräftige Kostenkalkulationen durch unsere TISAX-Prüfdienstleister.
Wichtig
|
Wichtiger Hinweis: Wenn Ihr Unternehmen eine ISO/IEC 27001-Zertifizierung hat: Die Definition des „TISAX-Prüf-Scopes“ und die für die ISO/IEC 27001-Zertifizierung erforderliche Scope-Definition haben eine ähnliche Abdeckung. Der Unterschied liegt darin, dass der Scope in TISAX vordefiniert ist. |
4.3.2.1. Beschreibung des Prüf-Scopes
Die Beschreibung des Prüf-Scopes definiert den Umfang der Prüfung. Für die Beschreibung des Prüf-Scopes müssen Sie eine von zwei Prüf-Scope-Type wählen:
-
Standard scope (
Standard-Scope)
-
Custom scope (
Angepasster Scope)
-
Extended scope (
Erweiterter Scope)
-
Narrowed scope (
Eingeschränkter Scope)
-
4.3.2.2. Standard-Scope
Die Beschreibung des Standard-Scope ist die Grundlage für eine TISAX-Prüfung. Andere TISAX-Teilnehmer akzeptieren nur Prüfergebnisse, die auf der Beschreibung des Standard-Scope basieren.
Die Beschreibung des Standard-Scope ist vordefiniert und kann nicht von Ihnen geändert werden. Wenn Sie aus irgendeinem Grund eine angepasste Beschreibung verwenden möchten, können Sie den Umfang Ihrer Prüfung entweder erweitern oder einschränken.
Einen Standard-Scope zu haben hat für Sie den bedeutenden Vorteil, dass Sie sich keine eigene Definition überlegen müssen.
Dies ist die Beschreibung des „Standard scope“[7]:
The standard scope comprises all processes and involved resources at the sites defined below that are subject to security requirements from partners in the automotive industry. Involved processes and resources include collection of information, storage of information and processing of information. Examples for involved resources: Work equipment, employees, IT systems including cloud services such as infrastructure/ platform/software as a service, physical sites, relevant contractors Examples for sites: Office sites, development sites, production sites, data centres |
Der Standard-Scope erfasst alle Prozesse, Verfahren und beteiligte Ressourcen an den unten definierten Standorten mit denen Informationen verarbeitet werden, die Sicherheitsanforderungen von Partnern aus der Automobilindustrie unterliegen. Dies schließt sowohl die Erhebung, die Speicherung wie auch die Verarbeitung von Informationen ein. Beispiele für beteiligte Ressourcen: Arbeitsmittel, Mitarbeiter, IT-Systeme einschließlich Cloud-Diensten wie Infrastruktur/Plattform/Software als Service, physische Standorte, relevante Subunternehmer Beispiele für Standorte: Bürostandorte, Entwicklungsstandorte, Produktionsstandorte, Rechenzentren |
Wir empfehlen dringend, den Standard-Scope zu wählen. Alle TISAX-Teilnehmer akzeptieren die Ergebnisse der Informationssicherheitsprüfung auf Basis des Standard-Scopes.
4.3.2.3. Angepasster Prüf-Scope
Den Standard-Scope wählen fast alle TISAX-Teilnehmer. Unter bestimmten und seltenen Umständen kann es jedoch erforderlich sein, einen angepassten Prüf-Scope zu wählen.
-
Erweiterter Scope
Sie können den Scope erweitern. Ein erweiterter Scope umfasst MEHR als der Standard-Scope. Der Prüfdienstleister führt weitergehende Prüfungen durch.
Zweck: Ein erweiterter Scope kann relevant sein, wenn Sie Ihre TISAX-Prüfung für interne Zwecke oder außerhalb der Automobilindustrie einsetzen wollen.
TISAX-Labels und Ergebnisse teilen: Ein erweiterter Scope umfasst immer den Standard-Scope. Deshalb erhält ein erweiterter Scope TISAX-Labels[8]. Andere TISAX-Teilnehmer werden das Prüfergebnis weiterhin akzeptieren.
Beschreibung: Während der Standard-Scope eine vordefinierte Beschreibung hat, müssen Sie Ihre eigene angepasste Beschreibung schreiben, wenn Sie einen erweiterten Scope benötigen.
-
Eingeschränkter Scope
Sie können den Scope einschränken. Ein eingeschränkter Scope umfasst WENIGER als der Standard-Scope. Der Prüfdienstleister könnte bestimmte Prüfungen auslassen oder kürzen.
Zweck: Wenn Sie Standorte haben, die zu unterschiedlichen Prüf-Scopes gehören und die Leistungen an einem bestimmten Standort (z. B. Rechenzentrum) nutzen, können Sie für diese Leistungen einen eingeschränkten Scope verwenden. So kann ein TISAX-Prüfdienstleister das Prüfergebnis des eingeschränkten Scopes problemlos wiederverwenden.
Beispiel: Sie haben viele Standorte (möglicherweise Bestandteil verschiedener Prüf-Scopes) und Sie haben eine zentrale IT-Abteilung an einem dieser Standorte. Die Festlegung eines eingeschränkten Scopes nur für die IT-Abteilung kann die Wiederverwendung des jeweiligen Prüfergebnisses in den anderen Prüf-Scopes erleichtern.
TISAX-Labels und Teilen von Ergebnissen: Eingeschränkte Scopes erhalten keine TISAX-Labels. Technisch gesehen wird Ihr Prüfergebnis im ENX-Portal mit Datum, Gültigkeitsdauer und der Angabe, ob das Gesamtprüfergebnis konform oder nicht konform ist, gespeichert. Sie könnten ein solches Prüfergebnis teilen. Aber das Teilen eines Prüfergebnisses ohne TISAX-Label wird für die meisten Empfänger wie eine nicht bestandene Prüfung aussehen. Andere TISAX-Teilnehmer akzeptieren im Allgemeinen keine Bewertungsergebnisse mit eingeschränktem Scope.
Beschreibung: Wie schon für den erweiterten Scope, müssen Sie Ihre eigene angepasste Scope-Beschreibung festlegen, wenn Sie einen eingeschränkten Scope benötigen.
Hier ist ein Beispiel die Beschreibung eines eingeschränkten Scopes:
Physische Sicherheit, Ressourcen und Prozesse des Rechenzentrums, die zur Erfüllung der Dienstleistungen von Unternehmen X[9] verwendet werden.WichtigWichtiger Hinweis:
Eine Prüfung mit eingeschränktem Scope erhält keine TISAX-Labels. Wir raten daher generell davon ab, einen eingeschränkten Scope zu wählen — vor allem, weil andere Teilnehmer in der Regel keine Prüfergebnisse mit eingeschränktem Scope akzeptieren. Bitte konsultieren Sie Ihren Partner, bevor Sie sich für einen eingeschränkten Scope entscheiden.
4.3.2.4. Festlegung des Scopes
Ihre nächste Aufgabe nach der Definition des Scope-Typs ist die Entscheidung, welche Standorte zum Prüf-Scope gehören.
Ist Ihr Unternehmen klein (also nur ein Standort), so ist dies eine einfache Aufgabe. Sie fügen einfach Ihren Standort zum Prüf-Scope hinzu.
Ist Ihr Unternehmen groß, sollten Sie die Registrierung mehrerer Prüf-Scopes in Betracht ziehen.
Ein einziger Scope, der alle Ihre Standorte enthält, bietet Vorteile:
-
Sie haben einen Prüfbericht, ein Prüfergebnis, ein Ablaufdatum.
-
Sie profitieren möglicherweise von reduzierten Kosten für die Prüfung, da ein TISAX-Prüfdienstleister Ihre zentralen Prozesse, Verfahren und Ressourcen nur einmal bewerten muss.
Aber ein einzelner Scope kann Nachteile haben wie:
-
Die Prüfergebnisse stehen erst dann zur Verfügung, sobald der TISAX-Prüfdienstleister alle Standorte geprüft hat. Diese Tatsache kann relevant sein, wenn Sie dringend ein Prüfergebnis benötigen.
-
Das Prüfergebnis hängt davon ab, dass alle Standorte die Prüfung bestehen. Wenn nur ein Standort die Prüfung nicht besteht, haben Sie kein positives Prüfergebnis.[10]
4.3.2.5. Maßschneidern des Scopes
Die Frage, ob Sie nur einen oder mehrere Scopes brauchen, können nur Sie beantworten. Aber die Beantwortung der Fragen im folgenden Diagramm kann Ihnen bei der Entscheidung möglicherweise helfen.
Hinweis
|
Bitte beachten Sie: Lassen Sie sich von dieser Entscheidung nicht einschüchtern. Sie können jeden Scope ändern, solange der Prüfdienstleister die Prüfung nicht abgeschlossen hat. Wenn Sie beispielsweise während der Vorbereitung auf Ihre Prüfung feststellen, dass der Scope nicht passt, dann können Sie ihn entsprechend ändern. Oder Ihr Prüfdienstleister empfiehlt Ihnen möglicherweise in den ersten Phasen der Prüfung, den Scope zu ändern. Hinweis: Wird etwas zum Prüf-Scope hinzugefügt, so erhöht sich das Entgelt und Sie erhalten keine Rückerstattung, wenn Sie Standorte aus dem Prüf-Scope entfernen. |
4.3.2.6. Scope-Standorte
Nachdem Sie nun entschieden haben, welche Standorte Teil Ihres Prüf-Scopes sind, können Sie damit weitermachen, einige standortspezifische Informationen zusammen zu tragen.
Für jeden Standort fragen wir nach Informationen wie Firmenname und Adresse. Wir bitten auch um einige zusätzliche Informationen, die es unseren TISAX-Prüfdienstleistern ermöglichen, sich ein besseres Bild von Ihrer Unternehmensstruktur zu machen. Ihre Antworten sind die Grundlage für deren Aufwandsabschätzung.
Bitte bereiten Sie sich darauf vor, die folgenden Angaben für jeden Ihrer Standorte anzugeben (das rote Sternchen * markiert Pflichtfelder im Online-Prozess):
Feld | Optionen |
---|---|
Standortname * |
n/a |
n/a |
|
Standortart * |
Campus im Besitz und ausschließlich vom Unternehmen genutzt |
Passiver Standortschutz * |
Ja |
Branche |
Informationstechnologie
Management
Medien
Forschung Und Entwicklung
Produktion
Verkauf und Kundendienst
Andere Branche |
Mitarbeiter am Standort: Insgesamt * |
0 |
Mitarbeiter am Standort: IT * |
0 |
Mitarbeiter am Standort: Informationssicherheit * |
0 |
Mitarbeiter am Standort: Standortsicherheit * |
0 |
Zertifikate für diesen Standort |
ISO 27001 |
Hinweis
|
Bitte beachten Sie: Bezügliche der „Branche“: Wählen Sie nach bestem Wissen. Es gibt kein Richtig oder Falsch bei der Auswahl aus den obigen Optionen. Wenn Sie keine Option finden, die zu Ihrer Art von Geschäft passt, geben Sie einfach die passende Option unter „Sonstiges“ ein. |
Für jeden Standort müssen Sie einen „Location name“ ( Standort-Name) angeben. Der Zweck des Standort-Namens ist es, das Referenzieren des Standorts bei seiner Zuordnung zu einem Prüf-Scope zu vereinfachen.
Wir empfehlen, den Standort-Namen nach folgendem Muster zu vergeben:
Muster: |
[Geografische Referenz] |
Beispiel: |
für die fiktive Firma „ACME“
|
4.3.2.7. Scope-Name
Für jeden Scope müssen Sie einen „Scope name“ ( Scope-Name) angeben. Der Zweck des Scope-Namens ist es, das Referenzieren des Scopes in jeder TISAX-bezogenen Kommunikation (z. B. mit Ihrem TISAX-Prüfdienstleister) zu vereinfachen.
Sie können jeden beliebigen Namen angeben. Aber Sie sollten denselben Scope-Namen nicht mehr als einem Scope zuweisen.
Wenn Sie später Ihre TISAX-Prüfung erneuern möchten, müssen Sie einen neuen Scope erstellen (möglicherweise identisch mit dem jetzigen Scope). Wir empfehlen daher, das Jahr der Prüfung in den Scope-Namen aufzunehmen.
Wir empfehlen, Scope-Namen nach folgendem Muster zu vergeben:
Muster: |
[Geografische oder funktionale Referenz] [Jahr der Prüfung] |
Beispiel: |
für die fiktive Firma „ACME“
|
4.3.2.8. Ansprechpartner
Für unsere Kommunikation mit Ihnen sammeln wir Informationen über Ansprechpartner in Ihrem Unternehmen.
Wir bitten um mindestens einen Ansprechpartner für Ihr Unternehmen als TISAX-Teilnehmer im Allgemeinen und einen für jeden Prüf-Scope. Sie haben die Möglichkeit, weitere Ansprechpartner anzugeben.
Bei der Vorbereitung auf Ihre Registrierung sollten Sie entscheiden, wer in Ihrem Unternehmen Ansprechpartner sein wird.
Wir bitten um die folgenden Kontaktdaten:
Angabe | Pflichtfeld? | Beispiel | |
---|---|---|---|
1. |
Anrede |
Ja |
Frau, Herr |
2. |
Akademischer Grad |
Dr., Prof., andere |
|
3. |
Vorname |
Ja |
John |
4. |
Nachname |
Ja |
Doe |
5. |
Jobtitel |
Ja |
Leiter IT |
6. |
Abteilung |
Ja |
Informationstechnologie |
7. |
Telefonnummer |
Ja |
+49 69 986692777 |
8. |
Weitere Telefonnummer |
||
9. |
E-Mail-Adresse |
Ja |
|
10. |
Bevorzugte Sprache |
Ja |
Englisch (Standard) |
11. |
Andere Sprachen |
Deutsch, Französisch |
|
12. |
Weitere Empfängerbezeichnung |
HPC 1234 |
|
13. |
Adresse |
Ja |
Bockenheimer Landstraße 97-99 |
14. |
Postleitzahl |
Ja |
60325 |
15. |
Stadt |
Ja |
Frankfurt |
16. |
Bundesland/Kanton |
||
17. |
Land |
Ja |
Deutschland |
Wichtig
|
Wichtiger Hinweis: |
4.3.2.9. Veröffentlichen und Teilen
Der Hauptzweck von TISAX ist es, Ihr Prüfergebnis für andere TISAX-Teilnehmer zu veröffentlichen und es mit Ihrem Partner / Ihren Partnern zu teilen.
Über die Veröffentlichung und das Teilen Ihres Prüfergebnisses können Sie entweder während des Registrierungsprozesses oder zu einem späteren Zeitpunkt entscheiden.
Wenn Sie den TISAX-Prozess als Präventivschritt durchlaufen, können Sie sich bereits jetzt dafür entscheiden, Ihr Prüfergebnis in der Community der TISAX-Teilnehmer zu veröffentlichen. Ansonsten gibt es zum jetzigen Zeitpunkt nichts vorzubereiten.
Hat Ihr Partner Sie aufgefordert, den TISAX-Prozess zu durchlaufen, müssen Sie Ihr Prüfergebnis früher oder später mit Ihm teilen. Sie können mit Ihrem Partner bereits während der Registrierung Status-Informationen teilen. Sobald Ihr Prüfergebnis vorliegt, hat Ihr Partner automatisch die Berechtigung, darauf zuzugreifen[11].
Es gibt zwei Dinge, die Sie zum Teilen von Status-Informationen benötigen:
-
Die TISAX-Participant-ID Ihres Partners
In der Regel sollte Ihnen Ihr Partner seine TISAX-Participant-ID mitteilen.
Der Einfachheit halber bietet unser Registrierungsfo