Wie Sie die TISAX-Prüfung bestehen und Ihr Prüfergebnis mit Ihrem Partner teilen

Herausgeber

ENX Association
Eine französische Association nach dem Gesetz von 1901,
eingetragen bei der Sous-Préfecture Boulogne-Billancourt, Frankreich unter der Nummer w923004198.

Anschriften
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Frankreich
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Deutschland

Verfasser

Florian Gleich

Kontakt

Version

Datum:

07.12.2023

Version:

2.7

Klassifizierung:

Öffentlich

ENX doc ID:

602-DE

Urheberschutzvermerk

Alle Rechte vorbehalten.
ENX, TISAX und ihre jeweiligen Logos sind eingetragene Marken der ENX Association.
Erwähnte Marken Dritter sind Eigentum der jeweiligen Inhaber.

1. Überblick

1.1. Zweck

Willkommen bei TISAX, dem „Trusted Information Security Assessment Exchange“.

Einer Ihrer Partner hat Sie aufgefordert nachzuweisen, dass Ihr Informationssicherheitsmanagement den Anforderungen des „Information Security Assessment“ (ISA) entspricht. Und nun wollen Sie wissen, wie Sie dieser Aufforderung nachkommen können.

Der Zweck dieses Handbuchs ist es, Ihnen zu ermöglichen, der Aufforderung Ihres Partners nachzukommen — oder ihm zuvor zu kommen, indem Sie diese Anforderung erfüllen, noch bevor ein Partner danach fragt.

Dieses Handbuch beschreibt die Schritte, die Sie gehen müssen, um die TISAX-Prüfung zu bestehen und Ihr Prüfergebnis mit Ihrem Partner zu teilen.

Ein Informationssicherheitsmanagementsystems (ISMS) aufzubauen und aufrecht zu erhalten ist bereits eine komplexe Aufgabe. Ihrem Partner nachzuweisen, dass Ihr Informationssicherheitsmanagementsystem der Aufgabe gewachsen ist, erhöht die Komplexität weiter. Dieses Handbuch wird Ihnen nicht bei der Verwaltung Ihrer Informationssicherheit helfen. Aber es beabsichtigt, es Ihnen so einfach wie möglich zu machen, Ihre Anstrengungen gegenüber Ihrem Partner nachzuweisen.

1.2. Geltungsbereich

Dieses Handbuch gilt für alle TISAX-Prozesse, an denen Sie beteiligt sind.

Es enthält alles, was Sie wissen müssen, um den TISAX-Prozess zu durchlaufen.

Das Handbuch bietet einige Ratschläge zum Umgang mit den Anforderungen an die Informationssicherheit, die im Mittelpunkt der Prüfung stehen. Aber es beabsichtigt nicht, Sie grundsätzlich darüber aufzuklären, was Sie tun müssen, um die Informationssicherheitsprüfung zu bestehen.

1.3. Zielgruppe

Hauptzielgruppe dieses Handbuchs sind Unternehmen, die ein bestimmtes Niveau Ihres Informationssicherheitsmanagements gemäß den Anforderungen des „Information Security Assessment“ (ISA) nachweisen wollen oder müssen.

Sobald Sie aktiv an den TISAX-Prozessen beteiligt sind, profitieren Sie von den Informationen in diesem Handbuch.

Auch Unternehmen, die ihren Zulieferer auffordern, ein bestimmtes Niveau des Informationssicherheitsmanagement nachzuweisen, werden davon profitieren. Dieses Handbuch ermöglicht es ihnen zu verstehen, was ihre Zulieferer tun müssen, um ihrer Aufforderung nachzukommen.

1.4. Aufbau

Wir beginnen mit einer kurzen Einführung in TISAX. Danach folgen direkt Anweisungen, WIE Dinge getan werden müssen. Sie werden alles finden, was Sie brauchen, um durch den Prozess zu kommen — in der Reihenfolge, in der Sie es wissen müssen.

Die geschätzte Lesezeit für das Dokument beträgt 75-90 Minuten.

1.5. Wie Sie dieses Dokument benutzen

Früher oder später werden Sie wahrscheinlich das meiste von dem, was in diesem Dokument beschrieben wird, verstehen wollen. Für eine gute Vorbereitung empfehlen wir, das gesamte Handbuch zu lesen.

Wir haben das Handbuch jedoch nach den drei Hauptschritten des TISAX-Prozesses strukturiert. So können Sie den Abschnitt wählen, den Sie gerade benötigen, und den Rest später lesen.

Das Handbuch nutzt Illustrationen, um Ihnen zu helfen Ihr Verständnis zu verbessern. Oft haben die Farben in den Abbildungen eine unterstützende Bedeutung. Wir empfehlen daher, das Dokument entweder auf einem Bildschirm oder als Farbausdruck zu lesen.

Wir freuen uns über Ihre Rückmeldung. Wenn Sie der Meinung sind, dass etwas in diesem Handbuch fehlt oder nicht einfach zu verstehen ist, teilen Sie uns das bitte mit. Wir und alle künftigen Leser dieses Handbuchs werden Ihnen für Ihre Rückmeldung dankbar sein.

Wenn Sie bereits eine vorherige Version des TISAX-Teilnehmerhandbuchs benutzt haben, dann finden Sie eventuell hilfreiche Anmerkungen am Ende des Dokuments in Abschnitt 8, “Dokumentenhistorie”.

1.6. Sprechen Sie uns an

Wir sind hier, um Sie durch den TISAX-Prozess zu führen und Ihre Fragen zu beantworten.

Schicken Sie uns eine E-Mail an:

tisax@enx.com

Oder rufen Sie uns an:

+49 69 9866927-77

Sie erreichen uns zu den üblichen Geschäftszeiten in Deutschland (UTC+01:00).

Wir sprechen alle Icon der Flagge von Deutschland Deutsch und Icon der Flagge des Vereinigten Königreichs Englisch. Ein Kollege spricht Icon der Flagge von Italien Italienisch (Muttersprachler).

1.7. Das TISAX-Teilnehmerhandbuch in anderen Sprachen und Formaten

Das TISAX-Teilnehmerhandbuch ist in den folgenden Sprachen und Formaten verfügbar:

Sprache Version Format Link

Icon der Flagge des Vereinigten Königreichs Englisch

2.7

Online

https://www.enx.com/handbook/tisax-participant-handbook.html

Offline

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

Icon der Flagge von Deutschland Deutsch

2.7

Online

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

Offline

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

Icon der Flagge von Frankreich Französisch

2.7

Online

https://www.enx.com/handbook/tph-fr.html

Offline

https://www.enx.com/handbook/tph-fr-offline.html

PDF

https://www.enx.com/handbook/tph-fr.pdf

Icon der Flagge von China Chinesisch

2.7

Online

https://www.enx.com/handbook/tph-cn.html

Offline

https://www.enx.com/handbook/tph-cn-offline.html

PDF

https://www.enx.com/handbook/tph-cn.pdf

Icon der Flagge von Spanien Spanish

2.7

Online

https://www.enx.com/handbook/tph-es.html

Offline

https://www.enx.com/handbook/tph-es-offline.html

PDF

https://www.enx.com/handbook/tph-es.pdf

Icon der Flagge von Japan Japanisch

2.7

Online

https://www.enx.com/handbook/tph-jp.html

Offline

https://www.enx.com/handbook/tph-jp-offline.html

PDF

https://www.enx.com/handbook/tph-jp.pdf

Icon der Flagge von Brasilien Brasilianisches Portugiesisch

2.7

Online

https://www.enx.com/handbook/tph-pt.html

Offline

https://www.enx.com/handbook/tph-pt-offline.html

PDF

https://www.enx.com/handbook/tph-pt.pdf

Icon der Flagge von Italien Italienisch

2.7

Online

https://www.enx.com/handbook/tph-it.html

Offline

https://www.enx.com/handbook/tph-it-offline.html

PDF

https://www.enx.com/handbook/tph-it.pdf

Icon of the flag of South Korea Koreanisch

2.7

Online

https://www.enx.com/handbook/tph-kr.html

Offline

https://www.enx.com/handbook/tph-kr-offline.html

PDF

https://www.enx.com/handbook/tph-kr.pdf

Wichtig

Wichtiger Hinweis:

Die englische Version ist die führende Version.
Alle anderen Sprachen sind Übersetzungen der englischen Version.
Im Zweifelsfall ist die englische Version maßgebend.

1.7.1. Zur deutschen Übersetzung

Dieses TISAX-Teilnehmerhandbuch ist eine Übersetzung der englischen Version.

Alle TISAX zugrunde liegenden Dokumente sind auf Englisch entstanden (z. B. sämtliche Verträge und Vorgaben für die TISAX-Prüfdienstleister). Folglich kann es Ihnen passieren, dass Ihr Partner oder Ihr Prüfdienstleister einige der TISAX-spezifischen Begriffe auf Englisch verwendet.

Um Ihnen eine Zuordnung zu ermöglichen, haben wir in der deutschen Übersetzung des TISAX-Teilnehmerhandbuchs den englischen TISAX-Originalbegriff entweder beibehalten (ggf. leicht „eingedeutscht“) oder in Klammern direkt hinter der deutschen Übersetzung angeben.

1.7.2. Zum Online-Format

Jeder Abschnitt hat eine eindeutige ID (Format: ID1234).
Eine ID referenziert einen bestimmten Abschnitt, ungeachtet der Sprache.
Wenn Sie auf einen bestimmten Abschnitt verlinken möchten, können Sie:

  • Entweder auf den Abschnittstitel rechtsklicken und den Link kopieren

  • oder Sie klicken auf den Abschnittstitel und kopieren den Link aus der Adresszeile Ihres Browsers.

Die meisten Abbildungen sind in einem größeren Format verfügbar, als hier standardmäßig angezeigt wird. Klicken Sie auf eine Abbildung, um die größere Version zu öffnen.

1.7.3. Zum Offline-Format

Das Offline-Format behält die meisten Eigenschaften des Online-Formats. Vor allem die Abbildungen sind in die HTML-Datei eingebettet. Sie brauchen nur eine Datei, um das Offline-Format zu nutzen.

Im Vergleich zum Online-Format, fehlen dem Offline-Format:

  • die größeren Abbildungen

  • die Original-Schriftarten des Online-Formats
    Die Einstellungen Ihres Browsers bestimmen die Schriftarten.

1.7.4. Zum PDF-Format

Wenn Sie das PDF-Format auf Ihrem Computer benutzen, können Sie weiterhin auf alle Referenzen klicken. Wenn Sie hingegen die PDF-Version ausdrucken, werden Sie keine Seitenzahlen haben und Referenzen selbst nachschauen müssen.

2. Einleitung

In den folgenden Abschnitten stellen wir Ihnen das TISAX-Konzept vor.

Wenn Sie es eilig haben, können Sie diese überspringen und sofort mit Abschnitt 4.3, “Vorbereitung auf die Registrierung” beginnen.

2.1. Warum TISAX?

Oder besser gesagt, warum Sind Sie hier?

Um diese Frage zu beantworten, beginnen wir mit ein paar generellen Überlegungen zum Geschäftsleben im Allgemeinen und zum Schutz von Informationen im Besonderen.

Stellen Sie sich Ihren Partner vor. Er hat vertrauliche Informationen. Er will sie mit seinem Zulieferer teilen — mit Ihnen. Die Zusammenarbeit zwischen Ihnen und Ihrem Partner schafft Werte. Die Informationen, die Ihr Partner mit Ihnen teilt, sind ein wichtiger Teil dieser Wertschöpfung. Deshalb will er sie angemessen schützen. Und er möchte sicher sein, dass Sie seine Informationen mit der gleichen Sorgfalt behandeln.

Aber wie kann er sicher sein, dass seine Informationen in guten Händen sind? Er kann Ihnen nicht einfach „glauben“. Ihr Partner braucht Nachweise.

Jetzt kommen zwei Fragen auf. Wer bestimmt, was „sicherer“ Umgang mit Informationen bedeutet? Und als nächstes: Wie können sie es nachweisen?

2.2. Wer bestimmt, was "sicher" bedeutet?

Weder Ihr Partner noch Sie sind die Einzigen, die sich diesen Fragen zum ersten Mal stellen müssen. Fast jeder muss Antworten darauf finden und die meisten Antworten werden sich in gewisser Weise ähneln.

Jedes Mal, wenn Sie selbstständig eine Lösung für ein alltägliches Problem finden müssten, nimmt Ihnen eine Standardmethode die Arbeit ab, alles von Grund auf neu zu erfinden. Während die Definition eines Standards einen enormen Aufwand bedeutet, wird er aber nur einmal erbracht und die späteren Nutzer profitieren jedes Mal davon.

Es gibt sicherlich unterschiedliche Ansichten darüber, was für den Schutz von Informationen das Richtige ist. Doch aufgrund der oben genannten Vorteile setzen die meisten Unternehmen auf Standards. Ein Standard ist die komprimierte Form aller erprobten und bewährten Best Practices für eine bestimmte Herausforderung.

Standards wie ISO/IEC 27001 (über Informationssicherheitsmanagementsysteme, ISMS) und deren Implementierung stellen in Ihrem Fall die anerkannteste Art der sicheren Verarbeitung von vertraulichen Informationen dar. Ein solcher Standard erspart Ihnen, das Rad neu zu erfinden. Noch wichtiger ist, dass Standards eine gemeinsame Basis bilden, wenn zwei Unternehmen vertrauliche Daten austauschen müssen.

2.3. Der Weg der Automobilindustrie

Branchenunabhängige Standards sind naturgemäß eher als Universallösung konzipiert als auf die spezifischen Bedürfnisse von Unternehmen aus der Automobilindustrie zugeschnitten.

Die Automobilindustrie hat bereits vor langer Zeit Verbände gegründet, deren Ziel es unter anderem ist, Standards zu verfeinern und zu definieren, die ihre spezifischen Bedürfnisse berücksichtigen. Der Verband der Automobilindustrie (VDA) ist einer davon. Innerhalb der Arbeitsgruppe, die sich mit Informationssicherheit beschäftigt, kamen mehrere Mitglieder der Automobilindustrie zu dem Schluss, dass sie ähnliche Bedürfnisse haben, bestehende Standards für das Informationssicherheitsmanagement anzupassen.

Das Ergebnis der gemeinsamen Anstrengungen ist ein Fragebogen, der die branchenweit akzeptierten Anforderungen der Automobilindustrie an die Informationssicherheit abdeckt. Er wird als „Information Security Assessment“ (ISA) bezeichnet.

Mit dem ISA haben wir nun eine Antwort auf die Frage „Wer bestimmt, was „sicher“ bedeutet?“. Durch den VDA bietet die Automobilindustrie selbst ihren Mitgliedern diese Antwort an.

2.4. Wie können Sie Sicherheit effizient nachweisen?

Während einige Unternehmen den ISA nur für interne Zwecke nutzen, bewerten andere damit die Reife des Informationssicherheitsmanagements ihrer Zulieferer. In einigen dieser Fälle war eine „Selbsteinschätzung“ eine ausreichende Grundlage für die Geschäftsbeziehung. In bestimmten Fällen führten Unternehmen jedoch eine vollständige Prüfung des Informationssicherheitsmanagements ihrer Zulieferer durch (einschließlich Vor-Ort-Prüfungen).

Neben einem allgemein zunehmenden Bewusstsein für die Notwendigkeit des Informationssicherheitsmanagements und der zunehmenden Akzeptanz des ISA als Instrument zur Informationssicherheitsprüfung sahen sich immer mehr Zulieferer mit ähnlichen Anfragen verschiedener Partner konfrontiert.

Diese Partner wendeten noch unterschiedliche Standards an und hatten unterschiedliche Auffassungen davon, wie sie zu interpretieren sind. Aber die Zulieferer mussten im Wesentlichen die gleichen Dinge nachweisen, nur auf verschiedene Weisen.

Und je mehr Zulieferer von ihren Partnern aufgefordert wurden, ihr Niveau des Informationssicherheitsmanagements nachzuweisen, desto lauter wurden die Stimmen, die sich über wiederholte Anstrengungen beklagten. Einem Prüfdienstleister nach dem anderen die gleichen Maßnahmen des Informationssicherheitsmanagements zu zeigen, ist einfach nicht effizient.

Was kann man tun, um dies effizienter zu gestalten? Wäre es nicht hilfreich, wenn der Bericht eines Prüfers für verschiedene Partner wiederverwendet werden könnte?

Die OEMs und Zulieferer in der ENX-Arbeitsgruppe, die für die Pflege des ISA zuständig ist, hörten die Klagen ihrer Zulieferer. Nun bieten sie ihren Zulieferern und allen anderen Unternehmen der Automobilindustrie eine Antwort auf die Frage „Wie weist man Sicherheit nach?“.

Die Antwort ist TISAX, kurz für „Trusted Information Security Assessment Exchange“ (in etwa „Vertrauenswürdiger Austausch von Informationssicherheitsprüfungen“).

3. Der TISAX-Prozess

3.1. Überblick

Der TISAX-Prozess beginnt in der Regel[1] damit, dass einer Ihrer Partner Sie auffordert, ein definiertes Niveau des Informationssicherheitsmanagements gemäß den Anforderungen des „Information Security Assessment“ (ISA) nachzuweisen. Um dieser Aufforderung nachzukommen, müssen Sie den 3-schrittigen TISAX-Prozess durchlaufen. Dieser Abschnitt gibt Ihnen einen Überblick über die notwendigen Schritte.

Der 3-schrittige TISAX-Prozess besteht aus den folgenden Schritten:

TISAX-Prozess-Überblick
Abbildung 1. TISAX-Prozess-Überblick
  1. Registrierung
    Wir sammeln Informationen über Ihr Unternehmen und was Bestandteil der Prüfung sein soll.

  2. Prüfung
    Sie durchlaufen die Prüfung(en), die von einem unserer TISAX-Prüfdienstleister durchgeführt wird/werden.

  3. Austausch
    Sie teilen Ihr Prüfergebnis mit Ihrem Partner.

Jeder Schritt besteht aus Teilschritten. Diese werden in den drei folgenden Abschnitten kurz dargestellt und in den jeweiligen Abschnitten weiter unten detailliert beschrieben.

Hinweis

Bitte beachten Sie:

Wir würden Ihnen gerne einen Anhaltspunkt geben, wie lange es dauern wird, bis Sie Ihr TISAX-Prüfergebnis erhalten. Aber wir bitten um Ihr Verständnis, dass es uns nicht möglich ist, dies zuverlässig vorhersagen zu können. Die Gesamtdauer des TISAX-Prozesses hängt von zu vielen Faktoren ab. Die große Bandbreite an Unternehmensgrößen, Prüfzielen und die jeweiligen Zustände eines Informationssicherheitsmanagementsystems machen dies unmöglich.

3.2. Registrierung

Ihr erster Schritt ist die TISAX-Registrierung.

Der Hauptzweck der TISAX-Registrierung besteht darin, Informationen über Ihr Unternehmen zu sammeln. Wir verwenden einen Online-Registrierungsprozess, um Ihnen zu helfen, uns diese Informationen zur Verfügung zu stellen.

Die Registrierung ist die Voraussetzung für alle weiteren Schritte und sie ist kostenpflichtig.

Während des Online-Registrierungsprozesses:

  • bitten wir Sie um Kontaktdaten und Abrechnungsinformationen.

  • müssen Sie unsere Allgemeinen Geschäftsbedingungen akzeptieren.

  • können Sie den Scope der Informationssicherheitsprüfung festlegen.

Um direkt mit diesem Schritt zu starten, lesen Sie bitte weiter in Abschnitt 4, “Registrierung (Schritt 1)”.

Der Online-Registrierungsprozess ist in Abschnitt 4.5, “Online-Registrierungsprozess” ausführlich beschrieben. Aber wenn Sie gleich anfangen wollen, gehen Sie bitte zu Icon der Flagge von Deutschland enx.com/de-de/TISAX/.

3.3. Prüfung

Im zweiten Schritt durchlaufen Sie die Informationssicherheitsprüfung.

Es gibt vier Teilschritte:

  1. Prüfungsvorbereitung
    Sie müssen die Prüfung vorbereiten. Das Maß hängt vom derzeitigen Reifegrad Ihres Informationssicherheits-managementsystems ab. Aber Ihre Vorbereitung muss auf dem ISA-Katalog basieren.

  2. Prüfdienstleisterauswahl
    Sie müssen einen unserer TISAX-Prüfdienstleister auswählen.

  3. Informationssicherheitsprüfung(en)
    Ihr Prüfdienstleister führt die Prüfung auf der Grundlage eines Prüf-Scopes durch, der zu den Anforderungen Ihres Partners passt. Der Prüfprozess besteht mindestens aus der Erstprüfung.
    Wenn Ihr Unternehmen die Prüfung nicht im ersten Anlauf besteht, kann der Prüfprozess weitere Schritte erforderlich machen.

  4. Prüfergebnis
    Sobald Ihr Unternehmen die Prüfung bestanden hat, erhalten Sie von Ihrem Prüfdienstleister den offiziellen „TISAX Assessment Bericht“. Ihr Prüfergebnis erhält auch TISAX-Labels[2].

Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 5, “Prüfung (Schritt 2)”.

3.4. Austausch

Ihr dritter und letzter Schritt besteht darin, Ihr Prüfergebnis mit Ihrem Partner zu teilen. Der Inhalt des „TISAX Assessment Berichts“ ist in Ebenen gegliedert. Sie können entscheiden, bis zu welcher Ebene Ihr Partner Zugang erhält.

Ihr Prüfergebnis ist drei Jahre gültig. Sofern Sie dann noch Zulieferer Ihres Partners sind, müssen Sie Ihr Prüfergebnis erneuern, indem Sie den 3-schrittigen Prozess erneut durchlaufen[3].

Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.


Nachdem Sie nun eine grundlegende Vorstellung davon haben, wie der TISAX-Prozess aussieht, finden Sie in den nächsten Abschnitten Anweisungen, wie Sie die einzelnen Schritte absolvieren können.

4. Registrierung (Schritt 1)

Die geschätzte Lesezeit für den Registrierungsabschnitt beträgt 30-40 Minuten.

4.1. Überblick

Die TISAX-Registrierung ist Ihr erster Schritt. Sie ist die Voraussetzung für alle weiteren Schritte.

Die folgenden Abschnitte führen Sie durch die Registrierung:

  1. Wir beginnen mit der Erläuterung eines wesentlichen neuen Begriffs.

  2. Dann beraten wir Sie, was Sie tun sollten, um auf die Online-Registrierung vorbereitet zu sein.

  3. Anschließend führen wir Sie durch den Online-Registrierungsprozess.

4.2. Sie sind ein TISAX-Teilnehmer

Lassen Sie uns zuerst einen neuen Begriff einführen, den Sie verstehen müssen. Bisher waren Sie der „Zulieferer“. Sie sind hier, um eine Anforderung Ihres „Kunden“ zu erfüllen. TISAX selbst unterscheidet jedoch nicht wirklich zwischen diesen beiden Rollen. Für TISAX ist jeder, der sich registriert hat, ein „Teilnehmer“. Sie — wie auch Ihr Partner — „beteiligen“ sich am Austausch von Ergebnissen von Informationssicherheitsprüfungen.

Registrieren Sie sich
Abbildung 2. Registrieren Sie sich, um ein TISAX-Teilnehmer zu werden

Um die beiden Rollen von Anfang an abzubilden, bezeichnen wir Sie, den Zulieferer, als „aktiven Teilnehmer“. Wir bezeichnen Ihren Partner als „passiven Teilnehmer“. Als „aktiver Teilnehmer“ werden Sie TISAX-geprüft und teilen Ihr Prüfergebnis mit anderen Teilnehmern. Der „passive Teilnehmer“ ist derjenige, der eine TISAX-Prüfung verlangt. Der „passive Teilnehmer“ erhält Ihr Prüfergebnis.

Passiver Teilnehmer und aktiver Teilnehmer
Abbildung 3. Passiver Teilnehmer und aktiver Teilnehmer

Jedes Unternehmen kann in beiden Rollen agieren. Sie können ein Prüfergebnis mit Ihrem Partner teilen und gleichzeitig Ihre eigenen Zulieferer auffordern, sich nach TISAX prüfen zu lassen.

TISAX-Teilnehmer können gleichzeitig aktiv und passiv sein
Abbildung 4. TISAX-Teilnehmer können gleichzeitig aktiv und passiv sein

Sofern Ihre eigenen Zulieferer auch mit den schutzbedürftigen Informationen Ihres Partners umgehen, kann es sogar besonders sinnvoll sein, wenn Sie Ihre eigenen Zulieferer auffordern, sich einer TISAX-Prüfung zu unterziehen.

4.3. Vorbereitung auf die Registrierung

In diesem Abschnitt geben wir Ihnen Empfehlungen, wie Sie sich auf die Registrierung vorbereiten. Wir beschreiben den Registrierungsprozess selbst im Detail in Abschnitt 4.5, “Online-Registrierungsprozess”.

Bevor Sie mit der Online-Registrierung beginnen, empfehlen wir Ihnen dringend:

  • einige Informationen im Voraus zusammen zu tragen

  • und bereits einige Entscheidungen zu treffen.

4.3.1. Die rechtliche Grundlage

Normalerweise müssen Sie zwei Verträge unterschreiben. Den ersten Vertrag gehen Sie zwischen Ihnen und der ENX Association ein: Die „TISAX Allgemeine Teilnahmebedingungen“ (TISAX-Teilnehmer-AGBs). Der zweite Vertrag besteht zwischen Ihnen und einem unserer TISAX-Prüfdienstleister. Für die Registrierung betrachten wir nur den ersten Vertrag.

Die TISAX-Teilnehmer-AGBs regeln unsere gegenseitige Beziehung und Ihre Beziehung zu anderen TISAX-Teilnehmern. Sie definieren die Rechte und Pflichten für uns alle. Neben den üblichen Klauseln, die Sie in den meisten Verträgen finden, definieren sie den Umgang mit den während des TISAX-Prozesses erhaltenen und ausgetauschten Informationen im Detail. Hauptziel dieser Regeln ist dabei der vertrauliche Umgang mit den TISAX-Prüfergebnissen. Da alle TISAX-Teilnehmer den gleichen Regeln unterliegen, können Sie von Ihrem Partner (in seiner Rolle als passiver Teilnehmer) einen angemessenen Schutz Ihres TISAX-Prüfergebnisses erwarten.

Bei der Online-Registrierung werden wir Sie relativ früh bitten, die TISAX-Teilnehmer-AGBs zu akzeptieren. Da es sich um einen richtigen Vertrag handelt, empfehlen wir Ihnen, die TISAX-Teilnehmer-AGBs zu lesen, bevor Sie mit der Online-Registrierung beginnen. Ein Grund dafür ist, dass Sie je nach Ihrer Rolle in Ihrem Unternehmen gegebenenfalls eine Genehmigung von einem internen oder externen Anwalt einholen müssen.

Sie können die „TISAX Allgemeine Teilnahmebedingungen“[4] auf unserer Website herunterladen unter:
Icon der Flagge von Deutschland enx.com/de-de/TISAX/downloads/

Direkter PDF-Download:
Icon der Flagge von Deutschland enx.com/tisaxgtcde.pdf

Wichtig

Wichtiger Hinweis:

Die TISAX-Teilnehmer-AGBs sind in einer deutschen Übersetzung verfügbar. Bei der Online-Registrierung müssen Sie allerdings die englische Version akzeptieren (diese ist ebenfalls im oben verlinkten Dokument enthalten).

Während des Online-Registrierungsprozesses werden Sie gebeten, zwei Pflichtkästchen anzukreuzen:

  • ❏ We accept the TISAX Participation General Terms and Conditions
    Icon der Flagge von Deutschland Wir akzeptieren die TISAX Allgemeine Teilnahmebedingungen

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
    Icon der Flagge von Deutschland Wir bestätigen die Kenntnis des Antragstellers von der Befreiung der beruflichen Schweigepflicht des Prüfdienstleisters gemäß Abschnitt IX.5. und X.3 der TISAX Allgemeine Teilnahmebedingungen;

Das zweite Kästchen gibt es, da einige unserer TISAX-Prüfdienstleister Wirtschaftsprüfer sind. Sie haben besondere Anforderungen hinsichtlich des Berufsgeheimnisses.

In der Regel verbieten es die besonderen Anforderungen hinsichtlich des Berufsgeheimnisses den Wirtschaftsprüfern unter unseren Prüfdienstleistern, Informationen mit uns zu teilen. Dies würde insbesondere die Kontrollmöglichkeiten aushebeln, die wir für unsere Führungsrolle benötigen. Deshalb brauchen wir diese Freigabe. Sie sollten in Erwägung ziehen, diesen Klauseln besondere Aufmerksamkeit zu schenken, bevor Sie das Kästchen ankreuzen.

Wenn Sie üblicherweise eine Geheimhaltungsvereinbarung („NDA“) zwischen Ihnen und jedem benötigen, der mit vertraulichen Informationen umgeht, bitten wir Sie, die entsprechenden Abschnitte in unseren AGBs zu lesen. Diese sollten alle Ihre Bedenken zerstreuen. Außerdem müssen Sie uns in der Regel überhaupt keine vertraulichen Informationen geben.

Zum Abschluss des rechtlichen Teils bitten wir um Verständnis, dass das System davon abhängt, dass jeder die gleichen Regeln akzeptiert. Wir können daher keine zusätzlichen Allgemeinen Geschäftsbedingungen akzeptieren[5].

4.3.2. Der TISAX-Prüf-Scope

Im zweiten Schritt des TISAX-Prozesses führt einer unserer TISAX-Prüfdienstleister die Informationssicherheitsprüfung durch. Er muss wissen, wo er anfangen und wo er aufhören soll. Deshalb müssen Sie einen „Prüf-Scope“ (Scope = Umfang; Icon der Flagge des Vereinigten Königreichs Assessment scope) definieren.

Der „Prüf-Scope“ beschreibt den Umfang der Informationssicherheitsprüfung. Einfach ausgedrückt ist jeder Teil Ihres Unternehmens, der mit vertraulichen Informationen Ihres Partners umgeht, Teil des Prüf-Scopes. Sie können ihn als ein wesentliches Element der Aufgabenbeschreibung des Prüfdienstleisters betrachten. Er gibt vor, was der Prüfdienstleister zu prüfen hat.

Der Prüf-Scope ist aus zwei Gründen wichtig:

  1. Ein Prüfergebnis erfüllt nur dann die Anforderungen Ihres Partners, wenn der jeweilige Prüf-Scope alle Teile Ihres Unternehmens umfasst, die mit Informationen Ihres Partners umgehen.

  2. Ein genau definierter Prüf-Scope ist eine wesentliche Voraussetzung für aussagekräftige Kostenkalkulationen durch unsere TISAX-Prüfdienstleister.

Wichtig

Wichtiger Hinweis:

ISO/IEC 27001 vs. TISAX

Zunächst müssen wir zwischen zwei Arten von Scopes unterscheiden:
1) dem Scope Ihres Informationssicherheitsmanagementsystems (ISMS) und
2) dem Scope der Prüfung.
Diese beiden sind nicht unbedingt identisch.

Für die ISO/IEC 27001-Zertifizierung definieren Sie den Scope Ihres ISMS (im „Scope-Statement“). Bei der Definition des Scopes Ihres ISMS sind Sie völlig frei. Der Scope der Prüfung (auch „Audit-Scope“ genannt) muss jedoch mit dem Scope Ihres ISMS identisch sein.

Für TISAX müssen Sie ebenfalls Ihr ISMS definieren. Der Scope der Prüfung kann jedoch unterschiedlich sein.

Bei der ISO/IEC 27001-Zertifizierung können Sie den Scope der Prüfung durch die Art und Weise, wie Sie den Scope Ihres ISMS definieren, frei gestalten.

Im Gegensatz dazu ist bei TISAX der Scope der Prüfung vordefiniert. Der Scope der Prüfung kann kleiner sein als der Scope Ihres ISMS. Er muss aber innerhalb des Scopes Ihres ISMS liegen.

4.3.2.1. Beschreibung des Prüf-Scopes

Die Beschreibung des Prüf-Scopes definiert den Umfang der Prüfung. Für die Beschreibung des Prüf-Scopes müssen Sie einen von zwei Prüf-Scope-Typen wählen:

  1. Standard scope (Icon der Flagge von Deutschland Standard-Scope)

  2. Custom scope (Icon der Flagge von Deutschland Angepasster Scope)

    1. Custom extended scope (Icon der Flagge von Deutschland Angepasster erweiterter Scope)

    2. Full custom scope (Icon der Flagge von Deutschland Vollständig angepasster Scope)

4.3.2.2. Standard-Scope

Die Beschreibung des Standard-Scope ist die Grundlage für eine TISAX-Prüfung. Andere TISAX-Teilnehmer akzeptieren nur Prüfergebnisse, die auf der Beschreibung des Standard-Scope basieren.

Die Beschreibung des Standard-Scope ist vordefiniert und kann nicht von Ihnen geändert werden.

Einen Standard-Scope zu haben hat für Sie den bedeutenden Vorteil, dass Sie sich keine eigene Definition überlegen müssen.

Dies ist die Beschreibung des „Standard scope“ (Version 2.0):

Icon der Flagge des Vereinigten Königreichs

{img-deflag-alt}

The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations.
The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment.
Der TISAX Scope definiert den Umfang der Prüfung. Die Prüfung umfasst alle Prozesse, Verfahren und beteiligte Ressourcen, die unter der Verantwortung der zu prüfenden Organisation stehen und die für die Sicherheit der in den genannten Prüfzielen definierten Schutzobjekte und deren Schutzziele an den aufgeführten Standorten relevant sind.
Die Prüfung wird mindestens im höchsten Assessment-Level durchgeführt, das in einem der aufgeführten Prüfziele gefordert ist. Alle in den aufgelisteten Prüfzielen geforderten Kriterien sind Gegenstand der Prüfung.

Wir empfehlen dringend, den Standard-Scope zu wählen. Alle TISAX-Teilnehmer akzeptieren die Ergebnisse der Informationssicherheitsprüfung auf Basis des Standard-Scopes.

4.3.2.3. Festlegung des Scopes

Ihre nächste Aufgabe nach der Definition des Scope-Typs ist die Entscheidung, welche Standorte zum Prüf-Scope gehören.

Ist Ihr Unternehmen klein (also nur ein Standort), so ist dies eine einfache Aufgabe. Sie fügen einfach Ihren Standort zum Prüf-Scope hinzu.

Ist Ihr Unternehmen groß, können Sie die Registrierung mehrerer Prüf-Scopes in Betracht ziehen.

Ein einziger Scope, der alle Ihre Standorte enthält, bietet Vorteile:

  • Sie haben einen Prüfbericht, ein Prüfergebnis, ein Ablaufdatum.

  • Sie profitieren möglicherweise von reduzierten Kosten für die Prüfung, da ein TISAX-Prüfdienstleister Ihre zentralen Prozesse, Verfahren und Ressourcen nur einmal bewerten muss.

Aber ein einzelner Scope kann Nachteile haben wie:

  • Alle Standorte müssen die selben Prüfziele haben.

  • Die Prüfergebnisse stehen erst dann zur Verfügung, sobald der TISAX-Prüfdienstleister alle Standorte geprüft hat. Diese Tatsache kann relevant sein, wenn Sie dringend ein Prüfergebnis benötigen.

  • Das Prüfergebnis hängt davon ab, dass alle Standorte die Prüfung bestehen. Wenn nur ein Standort die Prüfung nicht besteht, haben Sie kein positives Prüfergebnis. Um das zu umgehen können Sie: a) den Standort aus dem Scope nehmen, b) die Probleme lösen, c) den Standort nachträglich mit einer Scope-Erweiterungsprüfung wieder hinzufügen.

4.3.2.4. Maßschneidern des Scopes

Die Frage, ob Sie nur einen oder mehrere Scopes brauchen, können nur Sie beantworten. Aber die Beantwortung der Fragen im folgenden Diagramm kann Ihnen bei der Entscheidung möglicherweise helfen.

Entscheidungsbaum für das Maßschneidern von Scopes
Abbildung 5. Entscheidungsbaum für das Maßschneidern von Scopes
Hinweis

Bitte beachten Sie:

Lassen Sie sich von dieser Entscheidung nicht einschüchtern. Sie können jeden Scope ändern, solange der Prüfdienstleister die Prüfung nicht abgeschlossen hat.

Wenn Sie beispielsweise während der Vorbereitung auf Ihre Prüfung feststellen, dass der Scope nicht passt, dann können Sie ihn entsprechend ändern. Oder Ihr Prüfdienstleister empfiehlt Ihnen möglicherweise in den ersten Phasen der Prüfung, den Scope zu ändern.

Weitere Hinweise:

  • Technisch gesehen können Sie den Prüf-Scope, den Sie während der Online-Registrierung im ENX-Portal definiert haben, nicht ändern. Aber der Prüfdienstleister kann Ihren Prüf-Scope aktualisieren, wenn er Ihr Prüfergebnis in das ENX-Portal hochlädt.

  • Wird etwas zum Prüf-Scope hinzugefügt, so erhöht sich das Entgelt und Sie erhalten keine Rückerstattung, wenn Sie Standorte aus dem Prüf-Scope entfernen. Da die Prüfdienstleister den ursprünglichen Scope als Grundlage für ihre Kostenberechnung verwenden, sollten Sie auch mit Änderungen rechnen.

4.3.2.5. Scope-Standorte

Nachdem Sie nun entschieden haben, welche Standorte Teil Ihres Prüf-Scopes sind, können Sie damit weitermachen, einige standortspezifische Informationen zusammen zu tragen.

Für jeden Standort fragen wir nach Informationen wie Firmenname und Adresse. Wir bitten auch um einige zusätzliche Informationen, die es unseren TISAX-Prüfdienstleistern ermöglichen, sich ein besseres Bild von Ihrer Unternehmensstruktur zu machen. Ihre Antworten sind die Grundlage für deren Aufwandsabschätzung.

Bitte bereiten Sie sich darauf vor, die folgenden Angaben für jeden Ihrer Standorte anzugeben (das rote Sternchen * markiert Pflichtfelder im Online-Prozess):

Tabelle 1. Standortspezifische Informationen
Feld Optionen

Standortname *

n/a

D&B D-U-N-S NUMMER

n/a

Standortart *

Campus im Besitz und ausschließlich vom Unternehmen genutzt
Gebäude im Besitz und ausschließlich vom Unternehmen genutzt
Von dem Unternehmen gemietete Gebäude
Etage/Büro von dem Unternehmen in einem gemeinsamen Haus gemietet
Büro mit anderen Unternehmen geteilt
Eigenes Rechenzentrum
Geteiltes Rechenzentrum

Passiver Standortschutz *

Ja
Nein

Branche
(Mehrfach-Auswahl möglich)

Informationstechnologie

  • ❏ IT Service

  • ❏ Telekommunikationsdienstleistung

  • ❏ Softwareentwicklung

Management

  • ❏ Beratung

Medien

  • ❏ Marketing

  • ❏ Agentur

  • ❏ Druckdienstleistung

  • ❏ Fotographie

  • ❏ Übersetzungsdienstleistung

Forschung Und Entwicklung

  • ❏ Fahrzeugprüfung

  • ❏ Fahrzeugsimulation

  • ❏ Prototypenbau

  • ❏ Fahrzeugmodelle

  • ❏ Entwicklungsdienstleistung

  • ❏ CAx-Entwicklungsservices

Produktion

  • ❏ Produktionsdienstleistungen

  • ❏ Auftragsfertigung/Lohnherstellung

  • ❏ Werkstatt

  • ❏ Logistik

Verkauf und Kundendienst

  • ❏ Import, NSC

  • ❏ Händlerbetrieb

  • ❏ Finanzdienstleistung

  • ❏ Versicherung

  • ❏ Schadensabwicklung

Andere Branche
(bitte eingeben)

Mitarbeiter am Standort: Insgesamt *

0
1-10
11-100
101-1.000
1.001-5.000
Mehr als 5.000

Mitarbeiter am Standort: IT *

0
1-10
11-25
26-50
Mehr als 50

Mitarbeiter am Standort: Informationssicherheit *

0
Teilzeit
1-5
6-25
Mehr als 25

Mitarbeiter am Standort: Standortsicherheit *

0
Teilzeit
1-3
4-10
Mehr als 10

Zertifikate für diesen Standort

ISO 27001
Andere (bitte eingeben)
ISAE 3402
SOC2

Hinweis

Bitte beachten Sie:

Bezügliche der „Branche“: Wählen Sie nach bestem Wissen. Es gibt kein Richtig oder Falsch bei der Auswahl aus den obigen Optionen. Wenn Sie keine Option finden, die zu Ihrer Art von Geschäft passt, geben Sie einfach die passende Option unter „Sonstiges“ ein.

Für jeden Standort müssen Sie einen „Location name“ (Icon der Flagge von Deutschland Standort-Name) angeben. Der Zweck des Standort-Namens ist es, das Referenzieren des Standorts bei seiner Zuordnung zu einem Prüf-Scope zu vereinfachen.

Wir empfehlen, den Standort-Namen nach folgendem Muster zu vergeben:

Muster:

[Geografische Referenz]

Beispiel:

für die fiktive Firma „ACME“

  • Frankfurt
    (für einen Standort in der Stadt Frankfurt)

4.3.2.6. Scope-Name

Für jeden Scope müssen Sie einen „Scope name“ (Icon der Flagge von Deutschland Scope-Name) angeben. Der Hauptzweck des Scope-Namens besteht darin, dass Sie einen Scope in der Übersichtsliste der Scopes im ENX-Portal leicht identifizieren können. Sie sollten einen Namen vergeben, der für den Leser und Ihre Kollegen hilfreich ist. Für die externe Kommunikation sollten Sie die Scope ID verwenden.

Sie können jeden beliebigen Namen angeben. Aber Sie sollten denselben Scope-Namen nicht mehr als einem Scope zuweisen.

Wenn Sie später Ihre TISAX-Prüfung erneuern möchten, müssen Sie einen neuen Scope erstellen (möglicherweise identisch mit dem jetzigen Scope). Wir empfehlen daher, das Jahr der Prüfung in den Scope-Namen aufzunehmen.

Wir empfehlen, Scope-Namen nach folgendem Muster zu vergeben:

Muster:

[Geografische oder funktionale Referenz] [Jahr der Prüfung]

Beispiel:

für die fiktive Firma „ACME“

  • 2023
    (ohne geographische Referenz, falls Ihre Firma nur einen Standort hat)

  • Frankfurt 2023
    (für einen Scope mit mehreren Standorten in der Stadt Frankfurt)

  • Niedersachsen 2023
    (für einen Scope mit allen Standorten im Bundesland Niedersachsen)

  • Deutschland 2023
    (für einen Scope mit allen Standorten im Land Deutschland)

  • EMEA 2023
    (für einen Scope mit allen Standorten in der Region EMEA (“Europe, Middle East, Africa“))

  • Prototypen-Entwicklung 2023
    (funktionale Referenz für einen Scope mit allen Standorten, die an Prototypen-Entwicklung beteiligt sind)

4.3.2.7. Ansprechpartner

Für unsere Kommunikation mit Ihnen sammeln wir Informationen über Ansprechpartner in Ihrem Unternehmen.

Wir bitten um mindestens einen Ansprechpartner für Ihr Unternehmen als TISAX-Teilnehmer im Allgemeinen und einen für jeden Prüf-Scope. Sie haben die Möglichkeit, weitere Ansprechpartner anzugeben.

Bei der Vorbereitung auf Ihre Registrierung sollten Sie entscheiden, wer in Ihrem Unternehmen Ansprechpartner sein wird.

Wir bitten um die folgenden Kontaktdaten:

Tabelle 2. Kontaktdaten der Ansprechpartner
Angabe Pflichtfeld? Beispiel

1.

Anrede

Ja

Frau, Herr

2.

Akademischer Grad

Dr., Prof., andere

3.

Vorname

Ja

John

4.

Nachname

Ja

Doe

5.

Jobtitel

Ja

Leiter IT

6.

Abteilung

Ja

Informationstechnologie

7.

Telefonnummer

Ja

+49 69 986692777

8.

Weitere Telefonnummer

9.

E-Mail-Adresse

Ja

john.doe@acme.com

10.

Bevorzugte Sprache

Ja

Englisch (Standard)

11.

Andere Sprachen

Deutsch, Französisch

12.

Weitere Empfängerbezeichnung

HPC 1234

13.

Adresse

Ja

Bockenheimer Landstraße 97-99

14.

Postleitzahl

Ja

60325

15.

Stadt

Ja

Frankfurt

16.

Bundesland/Kanton

17.

Land

Ja

Deutschland

Wichtig

Wichtiger Hinweis:
 
Wir empfehlen, für jeden Ansprechpartner mindestens einen Vertreter zu benennen. Wenn ein Ansprechpartner zeitweise nicht verfügbar ist oder die Firma verlassen hat, dann gibt es jemanden anderen, der die Teilnehmerdaten Ihrer Firma verwalten kann.
Wenn Sie einen neuen Ansprechpartner benennen wollen (ohne andere verbliebene gültige Ansprechpartner), müssen Sie einen komplexen Prozess durchlaufen. Unser Prozess stellt sicher, dass nur Personen, die nachweisen können, dass sie berechtigt sind, das Unternehmen rechtlich zu vertreten, die Zuweisung eines neuen Hauptansprechpartners freigeben können.

4.3.2.8. Veröffentlichen und Teilen

Der Hauptzweck von TISAX ist es, Ihr Prüfergebnis für andere TISAX-Teilnehmer zu veröffentlichen und es mit Ihrem Partner / Ihren Partnern zu teilen.

Über die Veröffentlichung und das Teilen Ihres Prüfergebnisses können Sie entweder während des Registrierungsprozesses oder zu einem späteren Zeitpunkt entscheiden.

Wenn Sie den TISAX-Prozess als Präventivschritt durchlaufen, können Sie sich bereits jetzt dafür entscheiden, Ihr Prüfergebnis in der Community der TISAX-Teilnehmer zu veröffentlichen. Ansonsten gibt es zum jetzigen Zeitpunkt nichts vorzubereiten.

Hat Ihr Partner Sie aufgefordert, den TISAX-Prozess zu durchlaufen, müssen Sie Ihr Prüfergebnis früher oder später mit Ihm teilen. Sie können mit Ihrem Partner bereits während der Registrierung Status-Informationen teilen. Sobald Ihr Prüfergebnis vorliegt, hat Ihr Partner automatisch die Berechtigung, darauf zuzugreifen[6].

Es gibt zwei Dinge, die Sie zum Teilen von Status-Informationen benötigen:

  1. Die TISAX-Participant-ID Ihres Partners

    In der Regel sollte Ihnen Ihr Partner seine TISAX-Participant-ID mitteilen.

    Der Einfachheit halber bietet unser Registrierungsformular eine Auswahlliste von Participant-IDs von einigen Firmen, die häufig Prüfergebnisse bekommen.[7]

  2. Den erforderlichen Sharing-Level

    Der Sharing-Level definiert die Tiefe, bis zu der Ihr Partner auf Ihr Prüfergebnis zugreifen kann.

    Entweder verlangt Ihr Partner einen bestimmten Sharing-Level. Oder Sie müssen sich entscheiden, bis zu welcher Stufe Sie Ihrem Partner Zugang zu Ihrem Prüfergebnis gewähren wollen.

    Weitere Informationen zum Sharing-Level finden Sie in Abschnitt 6.5, “Sharing-Level”.

Sie wollen sicherlich dafür sorgen, dass Sie diese Informationen haben.

Hinweis

Bitte beachten Sie:

  • Sie können sich jederzeit entscheiden, Ihr Prüfergebnis später zu veröffentlichen.

  • Sie können jederzeit auch zu einem späteren Zeitpunkt eine Sharing-Permission für Ihren Partner erteilen.

Wichtig

Wichtiger Hinweis:

Wenn Sie Ihr Prüfergebnis nicht veröffentlichen oder nicht teilen, kann niemand Ihr Prüfergebnis sehen.

Wichtig

Wichtiger Hinweis:

Sie können keine Veröffentlichungen und kein Sharing widerrufen.

Hinweis

Bitte beachten Sie:

Es mag seltsam klingen, aber Sie können Ihr „Prüfergebnis“ auch dann teilen, wenn Sie noch nicht mit dem Prüfprozess begonnen haben. In diesem frühen Stadium teilen Sie lediglich den „Prüfungs-Status“. Der Teilnehmer, mit dem Sie Ihr „Prüfergebnis“ teilen, sieht, wo Sie sich im Prüfprozess befinden.

Einige TISAX-Teilnehmer müssen eine Sonderfreigabe erteilen, wenn Sie TISAX-Labels vorlegen müssen, aber den Prüfprozess noch nicht abgeschlossen haben. In einem solchen Fall muss Ihr Partner möglicherweise Ihren „Prüfungs-Status“ in seinem Konto für das ENX-Portal sehen.

Weitere Informationen über den Prüfungs-Status finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.

Weitere Informationen zum Veröffentlichen und Teilen Ihres Prüfergebnisses finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.

4.3.3. Prüfziele

Sie müssen Ihr(e) Prüfziel(e) während des Registrierungsprozesses definieren. Das Prüfziel (Icon der Flagge des Vereinigten Königreichs Assessment objective) bestimmt die maßgeblichen Anforderungen, die Ihr Informationssicherheitsmanagementsystem (ISMS) zu erfüllen hat. Das Prüfziel richtet sich ausschließlich nach der Art der Daten, die Sie im Auftrag Ihres Partners verarbeiten.

In den folgenden Abschnitten beschreiben wir die Prüfziele und beraten Sie bei der Auswahl der richtigen Prüfziele.

Die Verwendung von Prüfzielen erleichtert die TISAX-bezogene Kommunikation mit Ihrem Partner und unseren TISAX-Prüfdienstleistern, da sie sich auf einen definierten Input für den TISAX-Prüfprozess beziehen.

Hinweis

Bitte beachten Sie:

Einige Partner könnten Sie auffordern, sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen zu lassen, anstatt ein Prüfziel vorzugeben.

Weitere Informationen zu den Assessment-Leveln finden Sie in Abschnitt 4.3.3.5, “Schutzbedarfe und Assessment-Level” (Unterabschnitt „Weitere Informationen“).

4.3.3.1. Liste der Prüfziele

Derzeit gibt es zwölf TISAX-Prüfziele. Sie müssen mindestens ein Prüfziel auswählen. Sie können aber auch mehrere auswählen.

Sie können Ihr Prüfziel als Maßstab für Ihr Informationssicherheitsmanagementsystem betrachten. Das Prüfziel ist ein entscheidender Input für den TISAX-Prozess. Alle TISAX-Prüfdienstleister orientieren sich bei ihrer Prüfstrategie vor allem am Prüfziel.

Die derzeitigen TISAX-Prüfziele sind:

Tabelle 3. Die derzeitigen TISAX-Prüfziele
Nr. Name Beschreibung

1.

 Info high

Icon der Flagge des Vereinigten Königreichs Handling of information with high protection needs
{img-deflag-alt} Umgang mit Informationen mit hohem Schutzbedarf

2.

 Info very high

Icon der Flagge des Vereinigten Königreichs Handling of information with very high protection needs
{img-deflag-alt} Umgang mit Informationen mit sehr hohem Schutzbedarf

3.

 Confidential

Icon der Flagge des Vereinigten Königreichs Handling of information with high protection needs in the context of confidentiality (access to confidential information)
{img-deflag-alt} Umgang mit Informationen mit hohem Schutzbedarf im Rahmen der Vertraulichkeit (Zugriff auf vertrauliche Informationen)

4.

 Strictly confidential

Icon der Flagge des Vereinigten Königreichs Handling of information with very high protection needs in the context of confidentiality (access to strictly confidential information)
{img-deflag-alt} Umgang mit Informationen von sehr hohem Schutzbedarf im Rahmen der Vertraulichkeit (Zugriff auf streng vertrauliche Informationen)

5.

 High availability

Icon der Flagge des Vereinigten Königreichs Handling of information with high protection needs in the context of availability (high availability of information)
{img-deflag-alt} Umgang mit Informationen von hohem Schutzbedarf im Rahmen der Verfügbarkeit (hohe Verfügbarkeit der Informationen)

6.

 Very high availability

Icon der Flagge des Vereinigten Königreichs Handling of information with very high protection needs in the context of availability (very high availability of information)
{img-deflag-alt} Umgang mit Informationen von sehr hohem Schutzbedarf im Rahmen der Verfügbarkeit (sehr hohe Verfügbarkeit der Informationen)

7.

 Proto parts

Icon der Flagge des Vereinigten Königreichs Protection of Prototype Parts and Components
{img-deflag-alt} Schutz von Prototypenbauteilen und -Komponenten

8.

 Proto vehicles

Icon der Flagge des Vereinigten Königreichs Protection of Prototype Vehicles
{img-deflag-alt} Schutz von Prototypenfahrzeugen

9.

 Test vehicles

Icon der Flagge des Vereinigten Königreichs Handling of Test Vehicles
{img-deflag-alt} Umgang mit Erprobungsfahrzeugen

10.

 Proto events

Icon der Flagge des Vereinigten Königreichs Protection of Prototypes during Events and Film or Photo Shoots
{img-deflag-alt} Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings

11.

 Data

Icon der Flagge des Vereinigten Königreichs Data protection according to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)
{img-deflag-alt} Datenschutz gemäß Artikel 28 („Auftragsverarbeiter“) der Datenschutz-Grundverordnung (DSGVO)

12.

 Special data

Icon der Flagge des Vereinigten Königreichs Data protection according to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR) with special categories of personal data as specified in Article 9 of the GDPR
{img-deflag-alt} Datenschutz gemäß Artikel 28 („Auftragsverarbeiter“) der Datenschutz-Grundverordnung (DSGVO) mit besonderen Kategorien personenbezogener Daten wie in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) angegeben

Beispiel: Wenn Sie Erprobungsfahrten auf öffentlichen Straßen durchführen, dann ist das Prüfziel „Test vehicles“ eines Ihrer Prüfziele.

Hinweis

Bitte beachten Sie:

Sie können die Prüfziele „Info high“ und „Info very high“ nur bis 31. März 2024 auswählen.

Sie können die Prüfziele „Confidential“ und „Strictly confidential“ ab 1. April 2024 auswählen.

Weitere Informationen zu diesem Übergang finden Sie in folgendem News-Artikel auf unserer Webseite:
ÄNDERUNGEN AN TISAX-LABELS IN VERBINDUNG MIT ISA 6 VERÖFFENTLICHUNG
enx.com/de-de/news/Changes-to-TISAX-Labels-ISA-six-Release/

Wichtig

Wichtiger Hinweis:

Bei TISAX ist in der Regel das „Prüfziel“ der Prozess-Input. Einige Partner könnten Sie hingegen auffordern, sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen zu lassen.

Weitere Informationen zum Zusammenhang zwischen Schutzbedarfen und „Assessment-Leveln“ finden Sie in Abschnitt 4.3.3.5, “Schutzbedarfe und Assessment-Level”.

4.3.3.2. Prüfziele und ISA

Der ISA enthält drei Kriterienkataloge (Informationssicherheit, Prototypenschutz, Datenschutz). Jeder Kriterienkatalog setzt sich aus sogenannten „Kontrollfragen“ und den dazugehörigen Anforderungen zusammen.

Jedes Prüfziel definiert:

  • den/die anwendbaren ISA-Kriterienkatalog(e)

  • die Kontrollfragen, die Sie beantworten müssen

  • die Anforderungen, die Sie erfüllen müssen

Für einige Prüfziele ist nur eine Teilmenge der Kontrollfragen und Anforderungen anwendbar.

Weitere Informationen zu den TISAX-Prüfzielen und den anwendbaren Kontrollfragen und Anforderungen finden Sie in Abschnitt 5.2.2, “Das ISA-Dokument verstehen”.

4.3.3.3. Prüfziele und TISAX-Labels

Ihr Partner könnte von „TISAX-Labels“ sprechen. „Prüfziele“ und „TISAX-Labels“ sind nahezu identisch. Der Unterschied besteht darin, dass Sie mit den „Prüfzielen“ in den Prüfprozess einsteigen und beim Bestehen der Prüfung die entsprechenden „TISAX-Labels“ erhalten.

Beispiel: Ihr Partner verlangt von Ihnen das TISAX-Label „Info high“. Dann wählen Sie „Info high“ als Ihr Prüfziel aus.

Die Abbildung unten zeigt Input und Output des TISAX-Prozesses: