Wie Sie die TISAX-Prüfung bestehen und Ihr Prüfergebnis mit Ihren Partnern teilen

Herausgeber

ENX Association
Eine französische Association nach dem Gesetz von 1901,
eingetragen bei der Sous-Préfecture Boulogne-Billancourt, Frankreich unter der Nummer w923004198.

Anschriften
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Frankreich
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Deutschland

Verfasser

Florian Gleich

Kontakt

tisax@enx.com
+49 69 9866927-77

Version

Datum:

06.01.2021

Version:

2.3

Klassifizierung:

Öffentlich

ENX doc ID:

602-DE

Urheberschutzvermerk

Alle Rechte vorbehalten.
ENX, TISAX und ihre jeweiligen Logos sind eingetragene Marken der ENX Association.
Erwähnte Marken Dritter sind Eigentum der jeweiligen Inhaber.

1. Überblick

1.1. Zweck

Willkommen bei TISAX, dem „Trusted Information Security Assessment Exchange“.

Einer Ihrer Partner hat Sie aufgefordert nachzuweisen, dass Ihr Informationssicherheitsmanagement den Anforderungen des „VDA[1] Information Security Assessment“ (ISA) entspricht. Und nun wollen Sie wissen, wie Sie dieser Aufforderung nachkommen können.

Der Zweck dieses Handbuchs ist es, Ihnen zu ermöglichen, der Aufforderung Ihres Partners nachzukommen — oder ihm zuvor zu kommen, indem Sie diese Anforderung erfüllen, noch bevor ein Partner danach fragt.

Dieses Handbuch beschreibt die Schritte, die Sie gehen müssen, um die TISAX-Prüfung zu bestehen und Ihr Prüfergebnis mit Ihrem Partner zu teilen.

Ein Informationssicherheitsmanagementsystems (ISMS) aufzubauen und aufrecht zu erhalten ist bereits eine komplexe Aufgabe. Ihrem Partner nachzuweisen, dass Ihr Informationssicherheitsmanagementsystem der Aufgabe gewachsen ist, erhöht die Komplexität weiter. Dieses Handbuch wird Ihnen nicht bei der Verwaltung Ihrer Informationssicherheit helfen. Aber es beabsichtigt, es Ihnen so einfach wie möglich zu machen, Ihre Anstrengungen gegenüber Ihrem Partner nachzuweisen.

1.2. Geltungsbereich

Dieses Handbuch gilt für alle TISAX-Prozesse, an denen Sie beteiligt sind.

Es enthält alles, was Sie wissen müssen, um den TISAX-Prozess zu durchlaufen.

Das Handbuch bietet einige Ratschläge zum Umgang mit den Anforderungen an die Informationssicherheit, die im Mittelpunkt der Prüfung stehen. Aber es beabsichtigt nicht, Sie grundsätzlich darüber aufzuklären, was Sie tun müssen, um die Informationssicherheitsprüfung zu bestehen.

1.3. Zielgruppe

Hauptzielgruppe dieses Handbuchs sind Unternehmen, die ein bestimmtes Niveau Ihres Informationssicherheitsmanagements gemäß den Anforderungen des „VDA Information Security Assessment“ (ISA) nachweisen wollen oder müssen.

Sobald Sie aktiv an den TISAX-Prozessen beteiligt sind, profitieren Sie von den Informationen in diesem Handbuch.

Auch Unternehmen, die ihren Zulieferer auffordern, ein bestimmtes Niveau des Informationssicherheitsmanagement nachzuweisen, werden davon profitieren. Dieses Handbuch ermöglicht es ihnen zu verstehen, was ihre Zulieferer tun müssen, um ihrer Aufforderung nachzukommen.

1.4. Aufbau

Wir beginnen mit einer kurzen Einführung in TISAX. Danach folgen direkt Anweisungen, WIE Dinge getan werden müssen. Sie werden alles finden, was Sie brauchen, um durch den Prozess zu kommen — in der Reihenfolge, in der Sie es wissen müssen.

Die geschätzte Lesezeit für das Dokument beträgt 75-90 Minuten.

1.5. Wie Sie dieses Dokument benutzen

Früher oder später werden Sie wahrscheinlich das meiste von dem, was in diesem Dokument beschrieben wird, verstehen wollen. Für eine gute Vorbereitung empfehlen wir, das gesamte Handbuch zu lesen.

Wir haben das Handbuch jedoch nach den drei Hauptschritten des TISAX-Prozesses strukturiert. So können Sie den Abschnitt wählen, den Sie gerade benötigen, und den Rest später lesen.

Das Handbuch nutzt Illustrationen, um Ihnen zu helfen Ihr Verständnis zu verbessern. Oft haben die Farben in den Abbildungen eine unterstützende Bedeutung. Wir empfehlen daher, das Dokument entweder auf einem Bildschirm oder als Farbausdruck zu lesen.

Wir freuen uns über Ihre Rückmeldung. Wenn Sie der Meinung sind, dass etwas in diesem Handbuch fehlt oder nicht einfach zu verstehen ist, teilen Sie uns das bitte mit. Wir und alle künftigen Leser dieses Handbuchs werden Ihnen für Ihre Rückmeldung dankbar sein.

Wenn Sie bereits eine vorherige Version des TISAX-Teilnehmerhandbuchs benutzt haben, dann finden Sie eventuell hilfreiche Anmerkungen am Ende des Dokuments in Abschnitt 8, “Dokumentenhistorie”.

1.6. Sprechen Sie uns an

Wir sind hier, um Sie durch den TISAX-Prozess zu führen und Ihre Fragen zu beantworten.

Schicken Sie uns eine email an:

tisax@enx.com

Oder rufen Sie uns an:

+49 69 9866927-77

Sie erreichen uns zu den üblichen Geschäftszeiten in Deutschland (UTC+01:00).

Wir sprechen alle Icon der Flagge von Deutschland Deutsch und Icon der Flagge des Vereinigten Königreichs Englisch. Zwei Kollegen sprechen Icon der Flagge von Italien Italienisch (Muttersprachler).

1.7. Das TISAX-Teilnehmerhandbuch in anderen Sprachen und Formaten

Das TISAX-Teilnehmerhandbuch ist in den folgenden Sprachen und Formaten verfügbar:

Sprache Version Format Link Größe

Icon der Flagge des Vereinigten Königreichs Englisch

2.3

Online

https://www.enx.com/handbook/tisax-participant-handbook.html

n/a

Offline

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

6.4 MB

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

6.4 MB

Icon der Flagge von Deutschland Deutsch

2.3

Online

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

n/a

Offline

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

6,4 MB

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

5,0 MB

Icon der Flagge von Frankreich Französisch

2.3 beta

Online

https://www.enx.com/handbook/tph-fr.html

n/a

Offline

https://www.enx.com/handbook/tph-fr-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-fr.pdf

7,0 MB

Icon der Flagge von China Chinesisch

2.3 beta

Online

https://www.enx.com/handbook/tph-cn.html

n/a

Offline

https://www.enx.com/handbook/tph-cn-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-cn.pdf

7,0 MB

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Die englische Version ist die führende Version.
Alle anderen Sprachen sind Übersetzungen der englischen Version.
Im Zweifelsfall ist die englische Version maßgebend.

1.7.1. Zur deutschen Übersetzung

Dieses TISAX-Teilnehmerhandbuch ist eine Übersetzung der englischen Version.

Alle TISAX zugrunde liegenden Dokumente sind auf Englisch entstanden (z. B. sämtliche Verträge und Vorgaben für die TISAX-Prüfdienstleister). Folglich kann es Ihnen passieren, dass Ihr Partner oder Ihr Prüfdienstleister einige der TISAX-spezifischen Begriffe auf Englisch verwendet.

Um Ihnen eine Zuordnung zu ermöglichen, haben wir in der deutschen Übersetzung des TISAX-Teilnehmerhandbuchs den englischen TISAX-Originalbegriff entweder beibehalten (ggf. leicht „eingedeutscht“) oder in Klammern direkt hinter der deutschen Übersetzung angeben.

1.7.2. Zum Online-Format

Jeder Abschnitt hat eine eindeutige ID (Format: ID1234).
Eine ID referenziert einen bestimmten Abschnitt, ungeachtet der Sprache.
Wenn Sie auf einen bestimmten Abschnitt verlinken möchten, können Sie:

  • Entweder auf den Abschnittstitel rechtsklicken und den Link kopieren

  • oder Sie klicken auf den Abschnittstitel und kopieren den Link aus der Adresszeile Ihres Browsers.

Die meisten Abbildungen sind in einem größeren Format verfügbar, als hier standardmäßig angezeigt wird. Klicken Sie auf eine Abbildung, um die größere Version zu öffnen.

1.7.3. Zum Offline-Format

Das Offline-Format behält die meisten Eigenschaften des Online-Formats. Vor allem die Abbildungen sind in die HTML-Datei eingebettet. Sie brauchen nur eine Datei, um das Offline-Format zu nutzen.

Im Vergleich zum Online-Format, fehlen dem Offline-Format:

  • die größeren Abbildungen

  • die Original-Schriftarten des Online-Formats
    Die Einstellungen Ihres Browsers bestimmen die Schriftarten.

1.7.4. Zum PDF-Format

Das PDF-Format basiert auf dem Online-Format. Im Grunde benutzen wir einen Browser, um das Online-Format als PDF zu speichern.

Wenn Sie das PDF-Format auf Ihrem Computer benutzen, können Sie weiterhin auf alle Referenzen klicken. Wenn Sie hingegen die PDF-Version ausdrucken, werden Sie keine Seitenzahlen haben und Referenzen selbst nachschauen müssen.

2. Einleitung

In den folgenden Abschnitten stellen wir Ihnen das TISAX-Konzept vor.

Wenn Sie es eilig haben, können Sie diese überspringen und sofort mit Abschnitt 4.3, “Vorbereitung auf die Registrierung” beginnen.

2.1. Warum TISAX?

Oder besser gesagt, warum Sind Sie hier?

Um diese Frage zu beantworten, beginnen wir mit ein paar generellen Überlegungen zum Geschäftsleben im Allgemeinen und zum Schutz von Informationen im Besonderen.

Stellen Sie sich Ihren Partner vor. Er hat vertrauliche Informationen. Er will sie mit seinem Zulieferer teilen — mit Ihnen. Die Zusammenarbeit zwischen Ihnen und Ihrem Partner schafft Werte. Die Informationen, die Ihr Partner mit Ihnen teilt, sind ein wichtiger Teil dieser Wertschöpfung. Deshalb will er sie angemessen schützen. Und er möchte sicher sein, dass Sie seine Informationen mit der gleichen Sorgfalt behandeln.

Aber wie kann er sicher sein, dass seine Informationen in guten Händen sind? Er kann Ihnen nicht einfach „glauben“. Ihr Partner braucht Nachweise.

Jetzt kommen zwei Fragen auf. Wer bestimmt, was „sicherer“ Umgang mit Informationen bedeutet? Und als nächstes: Wie können sie es nachweisen?

2.2. Wer bestimmt, was "sicher" bedeutet?

Weder Ihr Partner noch Sie sind die Einzigen, die sich diesen Fragen zum ersten Mal stellen müssen. Fast jeder muss Antworten darauf finden und die meisten Antworten werden sich in gewisser Weise ähneln.

Jedes Mal, wenn Sie selbstständig eine Lösung für ein alltägliches Problem finden müssten, nimmt Ihnen eine Standardmethode die Arbeit ab, alles von Grund auf neu zu erfinden. Während die Definition eines Standards einen enormen Aufwand bedeutet, wird er aber nur einmal erbracht und die späteren Nutzer profitieren jedes Mal davon.

Es gibt sicherlich unterschiedliche Ansichten darüber, was für den Schutz von Informationen das Richtige ist. Doch aufgrund der oben genannten Vorteile setzen die meisten Unternehmen auf Standards. Ein Standard ist die komprimierte Form aller erprobten und bewährten Best Practices für eine bestimmte Herausforderung.

Standards wie ISO/IEC 27001 (über Informationssicherheitsmanagementsysteme, ISMS) und deren Implementierung stellen in Ihrem Fall die anerkannteste Art der sicheren Verarbeitung von vertraulichen Informationen dar. Ein solcher Standard erspart Ihnen, das Rad neu zu erfinden. Noch wichtiger ist, dass Standards eine gemeinsame Basis bilden, wenn zwei Unternehmen vertrauliche Daten austauschen müssen.

2.3. Der Weg der Automobilindustrie

Branchenunabhängige Standards sind naturgemäß eher als Universallösung konzipiert als auf die spezifischen Bedürfnisse von Unternehmen aus der Automobilindustrie zugeschnitten.

Die Automobilindustrie hat bereits vor langer Zeit Verbände gegründet, deren Ziel es unter anderem ist, Standards zu verfeinern und zu definieren, die ihre spezifischen Bedürfnisse berücksichtigen. Der Verband der Automobilindustrie (VDA) ist einer davon. Innerhalb der Arbeitsgruppe, die sich mit Informationssicherheit beschäftigt, kamen mehrere Mitglieder der Automobilindustrie zu dem Schluss, dass sie ähnliche Bedürfnisse haben, bestehende Standards für das Informationssicherheitsmanagement anzupassen.

Das Ergebnis der gemeinsamen Anstrengungen ist ein Fragebogen, der die branchenweit akzeptierten Anforderungen der Automobilindustrie an die Informationssicherheit abdeckt. Er wird als „VDA Information Security Assessment“ (ISA) bezeichnet.

Mit dem ISA haben wir nun eine Antwort auf die Frage „Wer bestimmt, was „sicher“ bedeutet?“. Durch den VDA bietet die Automobilindustrie selbst ihren Mitgliedern diese Antwort an.

2.4. Wie können Sie Sicherheit effizient nachweisen?

Während einige Unternehmen den ISA nur für interne Zwecke nutzen, bewerten andere damit die Reife des Informationssicherheitsmanagements ihrer Zulieferer. In einigen dieser Fälle war eine „Selbsteinschätzung“ eine ausreichende Grundlage für die Geschäftsbeziehung. In bestimmten Fällen führten Unternehmen jedoch eine vollständige Prüfung des Informationssicherheitsmanagements ihrer Zulieferer durch (einschließlich Vor-Ort-Prüfungen).

Neben einem allgemein zunehmenden Bewusstsein für die Notwendigkeit des Informationssicherheitsmanagements und der zunehmenden Akzeptanz des ISA als Instrument zur Informationssicherheitsprüfung sahen sich immer mehr Zulieferer mit ähnlichen Anfragen verschiedener Partner konfrontiert.

Diese Partner wendeten noch unterschiedliche Standards an und hatten unterschiedliche Auffassungen davon, wie sie zu interpretieren sind. Aber die Zulieferer mussten im Wesentlichen die gleichen Dinge nachweisen, nur auf verschiedene Weisen.

Und je mehr Zulieferer von ihren Partnern aufgefordert wurden, ihr Niveau des Informationssicherheitsmanagements nachzuweisen, desto lauter wurden die Stimmen, die sich über wiederholte Anstrengungen beklagten. Einem Prüfdienstleister nach dem anderen die gleichen Maßnahmen des Informationssicherheitsmanagements zu zeigen, ist einfach nicht effizient.

Was kann man tun, um dies effizienter zu gestalten? Wäre es nicht hilfreich, wenn der Bericht eines Prüfers für verschiedene Partner wiederverwendet werden könnte?

Die OEMs und Zulieferer in der VDA-Arbeitsgruppe, die für die Pflege des ISA zuständig ist, hörten die Klagen ihrer Zulieferer. Nun bieten sie ihren Zulieferern und allen anderen Unternehmen der Automobilindustrie eine Antwort auf die Frage „Wie weist man Sicherheit nach?“.

Die Antwort ist TISAX, kurz für „Trusted Information Security Assessment Exchange“ (in etwa „Vertrauenswürdiger Austausch von Informationssicherheitsprüfungen“).

3. Der TISAX-Prozess

3.1. Überblick

Der TISAX-Prozess beginnt in der Regel[2] damit, dass einer Ihrer Partner Sie auffordert, ein definiertes Niveau des Informationssicherheitsmanagements gemäß den Anforderungen des „VDA Information Security Assessment“ (ISA) nachzuweisen. Um dieser Aufforderung nachzukommen, müssen Sie den 3-schrittigen TISAX-Prozess durchlaufen. Dieser Abschnitt gibt Ihnen einen Überblick über die notwendigen Schritte.

Der 3-schrittige TISAX-Prozess besteht aus den folgenden Schritten:

TISAX-Prozess-Überblick
Abbildung 1. TISAX-Prozess-Überblick
  1. Registrierung
    Wir sammeln Informationen über Ihr Unternehmen und was Bestandteil der Prüfung sein soll.

  2. Prüfung
    Sie durchlaufen die Prüfung(en), die von einem unserer TISAX-Prüfdienstleister durchgeführt wird/werden.

  3. Austausch
    Sie teilen Ihr Prüfergebnis mit Ihrem Partner.

Jeder Schritt besteht aus Teilschritten. Diese werden in den drei folgenden Abschnitten kurz dargestellt und in den jeweiligen Abschnitten weiter unten detailliert beschrieben.

Icon für Info-Boxen

Bitte beachten Sie:

Wir würden Ihnen gerne einen Anhaltspunkt geben, wie lange es dauern wird, bis Sie Ihr TISAX-Prüfergebnis erhalten. Aber wir bitten aber um Ihr Verständnis, dass es uns nicht möglich ist, dies zuverlässig vorhersagen zu können. Die Gesamtdauer des TISAX-Prozesses hängt von zu vielen Faktoren ab. Die große Bandbreite an Unternehmensgrößen, Prüfzielen und die jeweiligen Zustände eines Informationssicherheits-managementsystems machen dies unmöglich.

TISAX definiert jedoch eine maximale Dauer von neun Monaten für den gesamten TISAX-Prüfprozess.

3.2. Registrierung

Ihr erster Schritt ist die TISAX-Registrierung.

Der Hauptzweck der TISAX-Registrierung besteht darin, Informationen über Ihr Unternehmen zu sammeln. Wir verwenden einen Online-Registrierungsprozess, um Ihnen zu helfen, uns diese Informationen zur Verfügung zu stellen.

Die Registrierung ist die Voraussetzung für alle weiteren Schritte und sie ist kostenpflichtig.

Während des Online-Registrierungsprozesses:

  • bitten wir Sie um Kontaktdaten und Abrechnungsinformationen.

  • müssen Sie unsere Allgemeinen Geschäftsbedingungen akzeptieren.

  • können Sie den Scope der Informationssicherheitsprüfung festlegen.

Um direkt mit diesem Schritt zu starten, lesen Sie bitte weiter in Abschnitt 4, “Registrierung (Schritt 1)”.

Der Online-Registrierungsprozess ist in Abschnitt 4.5, “Online-Registrierungsprozess” ausführlich beschrieben. Aber wenn Sie gleich anfangen wollen, gehen Sie bitte zu Icon der Flagge von Deutschland enx.com/de-de/TISAX/.

3.3. Prüfung

Im zweiten Schritt durchlaufen Sie die Informationssicherheitsprüfung.

Es gibt vier Teilschritte:

  1. Prüfungsvorbereitung
    Sie müssen die Prüfung vorbereiten. Das Maß hängt vom derzeitigen Reifegrad Ihres Informationssicherheits-managementsystems ab. Aber Ihre Vorbereitung muss auf dem ISA-Katalog basieren.

  2. Prüfdienstleisterauswahl
    Sobald Sie für die Prüfung bereit sind, müssen Sie einen unserer TISAX-Prüfdienstleister auswählen.

  3. Informationssicherheitsprüfung(en)
    Ihr Prüfdienstleister führt die Prüfung auf der Grundlage eines Prüf-Scopes durch, der zu den Anforderungen Ihres Partners passt. Der Prüfprozess besteht mindestens aus der Erstprüfung.
    Wenn Ihr Unternehmen die Prüfung nicht im ersten Anlauf besteht, kann der Prüfprozess weitere Schritte erforderlich machen.

  4. Prüfergebnis
    Sobald Ihr Unternehmen die Prüfung bestanden hat, erhalten Sie von Ihrem Prüfdienstleister den offiziellen TISAX-Bericht. Ihr Prüfergebnis erhält auch TISAX-Labels[3].

Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 5, “Prüfung (Schritt 2)”.

3.4. Austausch

Ihr dritter und letzter Schritt besteht darin, Ihr Prüfergebnis mit Ihrem Partner zu teilen. Der Inhalt des TISAX-Berichts ist in Ebenen gegliedert. Sie können entscheiden, bis zu welcher Ebene Ihr Partner Zugang erhält.

Ihr Prüfergebnis ist drei Jahre gültig. Sofern Sie dann noch Zulieferer Ihres Partners sind, müssen Sie Ihr Prüfergebnis erneuern, indem Sie den 3-schrittigen Prozess erneut durchlaufen[4].

Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.


Nachdem Sie nun eine grundlegende Vorstellung davon haben, wie der TISAX-Prozess aussieht, finden Sie in den nächsten Abschnitten Anweisungen, wie Sie die einzelnen Schritte absolvieren können.

4. Registrierung (Schritt 1)

Die geschätzte Lesezeit für den Registrierungsabschnitt beträgt 30-40 Minuten.

4.1. Überblick

Die TISAX-Registrierung ist Ihr erster Schritt. Sie ist die Voraussetzung für alle weiteren Schritte.

Die folgenden Abschnitte führen Sie durch die Registrierung:

  1. Wir beginnen mit der Erläuterung eines wesentlichen neuen Begriffs.

  2. Dann beraten wir Sie, was Sie tun sollten, um auf die Online-Registrierung vorbereitet zu sein.

  3. Anschließend führen wir Sie durch den Online-Registrierungsprozess.

4.2. Sie sind ein TISAX-Teilnehmer

Lassen Sie uns zuerst einen neuen Begriff einführen, den Sie verstehen müssen. Bisher waren Sie der „Zulieferer“. Sie sind hier, um eine Anforderung Ihres „Kunden“ zu erfüllen. TISAX selbst unterscheidet jedoch nicht wirklich zwischen diesen beiden Rollen. Für TISAX ist jeder, der sich registriert hat, ein „Teilnehmer“. Sie — wie auch Ihr Partner — „beteiligen“ sich am Austausch von Ergebnissen von Informationssicherheitsprüfungen.

Registrieren Sie sich
Abbildung 2. Registrieren Sie sich, um ein TISAX-Teilnehmer zu werden

Um die beiden Rollen von Anfang an abzubilden, bezeichnen wir Sie, den Zulieferer, als „aktiven Teilnehmer“. Wir bezeichnen Ihren Partner als „passiven Teilnehmer“. Als „aktiver Teilnehmer“ werden Sie TISAX-geprüft und teilen Ihr Prüfergebnis mit anderen Teilnehmern. Der „passive Teilnehmer“ ist derjenige, der eine TISAX-Prüfung verlangt. Der „passive Teilnehmer“ erhält Ihr Prüfergebnis.

Passiver Teilnehmer und aktiver Teilnehmer
Abbildung 3. Passiver Teilnehmer und aktiver Teilnehmer

Jedes Unternehmen kann in beiden Rollen agieren. Sie können ein Prüfergebnis mit Ihrem Partner teilen und gleichzeitig Ihre eigenen Zulieferer auffordern, sich nach TISAX prüfen zu lassen.

TISAX-Teilnehmer können gleichzeitig aktiv und passiv sein
Abbildung 4. TISAX-Teilnehmer können gleichzeitig aktiv und passiv sein

Sofern Ihre eigenen Zulieferer auch mit den vertraulichen Informationen Ihres Partners umgehen, kann es sogar besonders sinnvoll sein, wenn Sie Ihre eigenen Zulieferer auffordern, sich einer TISAX-Prüfung zu unterziehen.

4.3. Vorbereitung auf die Registrierung

In diesem Abschnitt geben wir Ihnen Empfehlungen, wie Sie sich auf die Registrierung vorbereiten. Wir beschreiben den Registrierungsprozess selbst im Detail in Abschnitt 4.5, “Online-Registrierungsprozess”.

Bevor Sie mit der Online-Registrierung beginnen, empfehlen wir Ihnen dringend:

  • einige Informationen im Voraus zusammen zu tragen

  • und bereits einige Entscheidungen zu treffen.

4.3.1. Die rechtliche Grundlage

Normalerweise müssen Sie zwei Verträge unterschreiben. Den ersten Vertrag gehen Sie zwischen Ihnen und der ENX Association ein: Die „TISAX Allgemeine Teilnahmebedingungen“ (TISAX-Teilnehmer-AGBs). Der zweite Vertrag besteht zwischen Ihnen und einem unserer TISAX-Prüfdienstleister. Für die Registrierung betrachten wir nur den ersten Vertrag.

Die TISAX-Teilnehmer-AGBs regeln unsere gegenseitige Beziehung und Ihre Beziehung zu anderen TISAX-Teilnehmern. Sie definieren die Rechte und Pflichten für uns alle. Neben den üblichen Klauseln, die Sie in den meisten Verträgen finden, definieren sie den Umgang mit den während des TISAX-Prozesses erhaltenen und ausgetauschten Informationen im Detail. Hauptziel dieser Regeln ist dabei der vertrauliche Umgang mit den TISAX-Prüfergebnissen. Da alle TISAX-Teilnehmer den gleichen Regeln unterliegen, können Sie von Ihrem Partner (in seiner Rolle als passiver Teilnehmer) einen angemessenen Schutz Ihres TISAX-Prüfergebnisses erwarten.

Bei der Online-Registrierung werden wir Sie relativ früh bitten, die TISAX-Teilnehmer-AGBs zu akzeptieren. Da es sich um einen richtigen Vertrag handelt, empfehlen wir Ihnen, die TISAX-Teilnehmer-AGBs zu lesen, bevor Sie mit der Online-Registrierung beginnen. Ein Grund dafür ist, dass Sie je nach Ihrer Rolle in Ihrem Unternehmen gegebenenfalls eine Genehmigung von einem internen oder externen Anwalt einholen müssen.

Sie können die „TISAX Allgemeine Teilnahmebedingungen“[5] auf unserer Website herunterladen unter:
Icon der Flagge von Deutschland enx.com/de-de/TISAX/downloads/

Direkter PDF-Download:
Icon der Flagge von Deutschland enx.com/tisaxgtcde.pdf

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Die TISAX-Teilnehmer-AGBs sind in einer deutschen Übersetzung verfügbar. Bei der Online-Registrierung müssen Sie allerdings die englische Version akzeptieren (diese ist ebenfalls im oben verlinkten Dokument enthalten).

Während des Online-Registrierungsprozesses werden Sie gebeten, zwei Pflichtkästchen anzukreuzen:

  • ❏ We accept the TISAX Participation General Terms and Conditions
    Icon der Flagge von Deutschland Wir akzeptieren die TISAX Allgemeine Teilnahmebedingungen

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
    Icon der Flagge von Deutschland Wir bestätigen die Kenntnis des Antragstellers von der Befreiung der beruflichen Schweigepflicht des Prüfdienstleisters gemäß Abschnitt IX.5. und X.3 der TISAX Allgemeine Teilnahmebedingungen;

Das zweite Kästchen gibt es, da einige unserer TISAX-Prüfdienstleister Wirtschaftsprüfer sind. Sie haben besondere Anforderungen hinsichtlich des Berufsgeheimnisses. Sie sollten in Erwägung ziehen, diesen Klauseln besondere Aufmerksamkeit zu schenken, bevor Sie das Kästchen ankreuzen.

Wenn Sie üblicherweise eine Geheimhaltungsvereinbarung („NDA“) zwischen Ihnen und jedem benötigen, der mit vertraulichen Informationen umgeht, bitten wir Sie, die entsprechenden Abschnitte in unseren AGBs zu lesen. Diese sollten alle Ihre Bedenken zerstreuen.

Zum Abschluss des rechtlichen Teils bitten wir um Verständnis, dass das System davon abhängt, dass jeder die gleichen Regeln akzeptiert. Wir können daher keine zusätzlichen Allgemeinen Geschäftsbedingungen akzeptieren[6].

4.3.2. Der TISAX-Prüf-Scope

Im zweiten Schritt des TISAX-Prozesses führt einer unserer TISAX-Prüfdienstleister die Informationssicherheitsprüfung durch. Er muss wissen, wo er anfangen und wo er aufhören soll. Deshalb müssen Sie einen „Prüf-Scope“ (Scope = Umfang; Icon der Flagge des Vereinigten Königreichs Assessment scope) definieren.

Der „Prüf-Scope“ beschreibt den Umfang der Informationssicherheitsprüfung. Einfach ausgedrückt ist jeder Teil Ihres Unternehmens, der mit vertraulichen Informationen Ihres Partners umgeht, Teil des Prüf-Scopes. Sie können ihn als ein wesentliches Element der Aufgabenbeschreibung des Prüfdienstleisters betrachten. Er gibt vor, was der Prüfdienstleister zu prüfen hat.

Der Prüf-Scope ist aus zwei Gründen wichtig:

  1. Ein Prüfergebnis erfüllt nur dann die Anforderungen Ihres Partners, wenn der jeweilige Prüf-Scope alle Teile Ihres Unternehmens umfasst, die mit Informationen Ihres Partners umgehen.

  2. Ein genau definierter Prüf-Scope ist eine wesentliche Voraussetzung für aussagekräftige Kostenkalkulationen durch unsere TISAX-Prüfdienstleister.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Wenn Ihr Unternehmen eine ISO/IEC 27001-Zertifizierung hat: Die Definition des „TISAX-Prüf-Scopes“ und die für die ISO/IEC 27001-Zertifizierung erforderliche Scope-Definition haben eine ähnliche Abdeckung. Der Unterschied liegt darin, dass der Scope in TISAX vordefiniert ist.

4.3.2.1. Beschreibung des Prüf-Scopes

Die Beschreibung des Prüf-Scopes definiert den Umfang der Prüfung. Für die Beschreibung des Prüf-Scopes müssen Sie eine von zwei Prüf-Scope-Type wählen:

  1. Standard scope (Icon der Flagge von Deutschland Standard-Scope)

  2. Custom scope (Icon der Flagge von Deutschland Angepasster Scope)

    1. Extended scope (Icon der Flagge von Deutschland Erweiterter Scope)

    2. Narrowed scope (Icon der Flagge von Deutschland Eingeschränkter Scope)

4.3.2.2. Standard-Scope

Die Beschreibung des Standard-Scope ist die Grundlage für eine TISAX-Prüfung. Andere TISAX-Teilnehmer akzeptieren nur Prüfergebnisse, die auf der Beschreibung des Standard-Scope basieren.

Die Beschreibung des Standard-Scope ist vordefiniert und kann nicht von Ihnen geändert werden. Wenn Sie aus irgendeinem Grund eine angepasste Beschreibung verwenden möchten, können Sie den Umfang Ihrer Prüfung entweder erweitern oder einschränken.

Einen Standard-Scope zu haben hat für Sie den bedeutenden Vorteil, dass Sie sich keine eigene Definition überlegen müssen.

Dies ist die Beschreibung des „Standard scope“[7]:

Icon der Flagge des Vereinigten Königreichs

Icon der Flagge von Deutschland

The standard scope comprises all processes and involved resources at the sites defined below that are subject to security requirements from partners in the automotive industry. Involved processes and resources include collection of information, storage of information and processing of information.

Examples for involved resources: Work equipment, employees, IT systems including cloud services such as infrastructure/ platform/software as a service, physical sites, relevant contractors

Examples for sites: Office sites, development sites, production sites, data centres
Der Standard-Scope erfasst alle Prozesse, Verfahren und beteiligte Ressourcen an den unten definierten Standorten mit denen Informationen verarbeitet werden, die Sicherheitsanforderungen von Partnern aus der Automobilindustrie unterliegen. Dies schließt sowohl die Erhebung, die Speicherung wie auch die Verarbeitung von Informationen ein.

Beispiele für beteiligte Ressourcen: Arbeitsmittel, Mitarbeiter, IT-Systeme einschließlich Cloud-Diensten wie Infrastruktur/Plattform/Software als Service, physische Standorte, relevante Subunternehmer

Beispiele für Standorte: Bürostandorte, Entwicklungsstandorte, Produktionsstandorte, Rechenzentren

Wir empfehlen dringend, den Standard-Scope zu wählen. Alle TISAX-Teilnehmer akzeptieren die Ergebnisse der Informationssicherheitsprüfung auf Basis des Standard-Scopes.

4.3.2.3. Angepasster Prüf-Scope

Den Standard-Scope wählen fast alle TISAX-Teilnehmer. Unter bestimmten und seltenen Umständen kann es jedoch erforderlich sein, einen angepassten Prüf-Scope zu wählen.

Scope-Typen: Erweiterter Scope
Abbildung 5. Scope-Typen: Erweiterter Scope, Standard-Scope, Eingeschränkter Scope
  1. Erweiterter Scope

    Sie können den Scope erweitern. Ein erweiterter Scope umfasst MEHR als der Standard-Scope. Der Prüfdienstleister führt weitergehende Prüfungen durch.

    Zweck: Ein erweiterter Scope kann relevant sein, wenn Sie Ihre TISAX-Prüfung für interne Zwecke oder außerhalb der Automobilindustrie einsetzen wollen.

    TISAX-Labels und Ergebnisse teilen: Ein erweiterter Scope umfasst immer den Standard-Scope. Deshalb erhält ein erweiterter Scope TISAX-Labels[8]. Andere TISAX-Teilnehmer werden das Prüfergebnis weiterhin akzeptieren.

    Beschreibung: Während der Standard-Scope eine vordefinierte Beschreibung hat, müssen Sie Ihre eigene angepasste Beschreibung schreiben, wenn Sie einen erweiterten Scope benötigen.

  2. Eingeschränkter Scope

    Sie können den Scope einschränken. Ein eingeschränkter Scope umfasst WENIGER als der Standard-Scope. Der Prüfdienstleister könnte bestimmte Prüfungen auslassen oder kürzen.

    Zweck: Wenn Sie Standorte haben, die zu unterschiedlichen Prüf-Scopes gehören und die Leistungen an einem bestimmten Standort (z. B. Rechenzentrum) nutzen, können Sie für diese Leistungen einen eingeschränkten Scope verwenden. So kann ein TISAX-Prüfdienstleister das Prüfergebnis des eingeschränkten Scopes problemlos wiederverwenden.

    Beispiel: Sie haben viele Standorte (möglicherweise Bestandteil verschiedener Prüf-Scopes) und Sie haben eine zentrale IT-Abteilung an einem dieser Standorte. Die Festlegung eines eingeschränkten Scopes nur für die IT-Abteilung kann die Wiederverwendung des jeweiligen Prüfergebnisses in den anderen Prüf-Scopes erleichtern.

    TISAX-Labels und Teilen von Ergebnissen: Eingeschränkte Scopes erhalten keine TISAX-Labels. Technisch gesehen wird Ihr Prüfergebnis im ENX-Portal mit Datum, Gültigkeitsdauer und der Angabe, ob das Gesamtprüfergebnis konform oder nicht konform ist, gespeichert. Sie könnten ein solches Prüfergebnis teilen. Aber das Teilen eines Prüfergebnisses ohne TISAX-Label wird für die meisten Empfänger wie eine nicht bestandene Prüfung aussehen. Andere TISAX-Teilnehmer akzeptieren im Allgemeinen keine Bewertungsergebnisse mit eingeschränktem Scope.

    Beschreibung: Wie schon für den erweiterten Scope, müssen Sie Ihre eigene angepasste Scope-Beschreibung festlegen, wenn Sie einen eingeschränkten Scope benötigen.
    Hier ist ein Beispiel die Beschreibung eines eingeschränkten Scopes:
    Physische Sicherheit, Ressourcen und Prozesse des Rechenzentrums, die zur Erfüllung der Dienstleistungen von Unternehmen X[9] verwendet werden.

    Icon für Wichtig-Boxen

    Wichtiger Hinweis:

    Eine Prüfung mit eingeschränktem Scope erhält keine TISAX-Labels. Wir raten daher generell davon ab, einen eingeschränkten Scope zu wählen — vor allem, weil andere Teilnehmer in der Regel keine Prüfergebnisse mit eingeschränktem Scope akzeptieren. Bitte konsultieren Sie Ihren Partner, bevor Sie sich für einen eingeschränkten Scope entscheiden.

4.3.2.4. Festlegung des Scopes

Ihre nächste Aufgabe nach der Definition des Scope-Typs ist die Entscheidung, welche Standorte zum Prüf-Scope gehören.

Ist Ihr Unternehmen klein (also nur ein Standort), so ist dies eine einfache Aufgabe. Sie fügen einfach Ihren Standort zum Prüf-Scope hinzu.

Ist Ihr Unternehmen groß, sollten Sie die Registrierung mehrerer Prüf-Scopes in Betracht ziehen.

Ein einziger Scope, der alle Ihre Standorte enthält, bietet Vorteile:

  • Sie haben einen Prüfbericht, ein Prüfergebnis, ein Ablaufdatum.

  • Sie profitieren möglicherweise von reduzierten Kosten für die Prüfung, da ein TISAX-Prüfdienstleister Ihre zentralen Prozesse, Verfahren und Ressourcen nur einmal bewerten muss.

Aber ein einzelner Scope kann Nachteile haben wie:

  • Die Prüfergebnisse stehen erst dann zur Verfügung, sobald der TISAX-Prüfdienstleister alle Standorte geprüft hat. Diese Tatsache kann relevant sein, wenn Sie dringend ein Prüfergebnis benötigen.

  • Das Prüfergebnis hängt davon ab, dass alle Standorte die Prüfung bestehen. Wenn nur ein Standort die Prüfung nicht besteht, haben Sie kein positives Prüfergebnis.[10]

4.3.2.5. Maßschneidern des Scopes

Die Frage, ob Sie nur einen oder mehrere Scopes brauchen, können nur Sie beantworten. Aber die Beantwortung der Fragen im folgenden Diagramm kann Ihnen bei der Entscheidung möglicherweise helfen.

Entscheidungsbaum für das Maßschneidern von Scopes
Abbildung 6. Entscheidungsbaum für das Maßschneidern von Scopes
Icon für Info-Boxen

Bitte beachten Sie:

Lassen Sie sich von dieser Entscheidung nicht einschüchtern. Sie können jeden Scope ändern, solange der Prüfdienstleister die Prüfung nicht abgeschlossen hat.

Wenn Sie beispielsweise während der Vorbereitung auf Ihre Prüfung feststellen, dass der Scope nicht passt, dann können Sie ihn entsprechend ändern. Oder Ihr Prüfdienstleister empfiehlt Ihnen möglicherweise in den ersten Phasen der Prüfung, den Scope zu ändern.

Hinweis: Wird etwas zum Prüf-Scope hinzugefügt, so erhöht sich das Entgelt und Sie erhalten keine Rückerstattung, wenn Sie Standorte aus dem Prüf-Scope entfernen.

4.3.2.6. Scope-Standorte

Nachdem Sie nun entschieden haben, welche Standorte Teil Ihres Prüf-Scopes sind, können Sie damit weitermachen, einige standortspezifische Informationen zusammen zu tragen.

Für jeden Standort fragen wir nach Informationen wie Firmenname und Adresse. Wir bitten auch um einige zusätzliche Informationen, die es unseren TISAX-Prüfdienstleistern ermöglichen, sich ein besseres Bild von Ihrer Unternehmensstruktur zu machen. Ihre Antworten sind die Grundlage für deren Aufwandsabschätzung.

Bitte bereiten Sie sich darauf vor, die folgenden Angaben für jeden Ihrer Standorte anzugeben (das rote Sternchen * markiert Pflichtfelder im Online-Prozess):

Tabelle 1. Standortspezifische Informationen
Feld Optionen

Standortname *

n/a

D&B D-U-N-S NUMMER

n/a

Standortart *

Campus im Besitz und ausschließlich vom Unternehmen genutzt
Gebäude im Besitz und ausschließlich vom Unternehmen genutzt
Von dem Unternehmen gemietete Gebäude
Etage/Büro von dem Unternehmen in einem gemeinsamen Haus gemietet
Büro mit anderen Unternehmen geteilt
Eigenes Rechenzentrum
Geteiltes Rechenzentrum

Passiver Standortschutz *

Ja
Nein

Branche
(Mehrfach-Auswahl möglich)

Informationstechnologie

  • ❏ IT Service

  • ❏ Telekommunikationsdienstleistung

  • ❏ Softwareentwicklung

Management

  • ❏ Beratung

Medien

  • ❏ Marketing

  • ❏ Agentur

  • ❏ Druckdienstleistung

  • ❏ Fotographie

  • ❏ Übersetzungsdienstleistung

Forschung Und Entwicklung

  • ❏ Fahrzeugprüfung

  • ❏ Fahrzeugsimulation

  • ❏ Prototypenbau

  • ❏ Fahrzeugmodelle

  • ❏ Entwicklungsdienstleistung

  • ❏ CAx-Entwicklungsservices

Produktion

  • ❏ Produktionsdienstleistungen

  • ❏ Auftragsfertigung/Lohnherstellung

  • ❏ Werkstatt

  • ❏ Logistik

Verkauf und Kundendienst

  • ❏ Import, NSC

  • ❏ Händlerbetrieb

  • ❏ Finanzdienstleistung

  • ❏ Versicherung

  • ❏ Schadensabwicklung

Andere Branche
(bitte eingeben)

Mitarbeiter am Standort: Insgesamt *

0
1-10
11-100
101-1.000
1.001-5.000
Mehr als 5.000

Mitarbeiter am Standort: IT *

0
1-10
11-25
26-50
Mehr als 50

Mitarbeiter am Standort: Informationssicherheit *

0
Teilzeit
1-5
6-25
Mehr als 25

Mitarbeiter am Standort: Standortsicherheit *

0
Teilzeit
1-3
4-10
Mehr als 10

Zertifikate für diesen Standort

ISO 27001
Andere (bitte eingeben)
ISAE 3402
SOC2

Icon für Info-Boxen

Bitte beachten Sie:

Bezügliche der „Branche“: Wählen Sie nach bestem Wissen. Es gibt kein Richtig oder Falsch bei der Auswahl aus den obigen Optionen. Wenn Sie keine Option finden, die zu Ihrer Art von Geschäft passt, geben Sie einfach die passende Option unter „Sonstiges“ ein.

Für jeden Standort müssen Sie einen „Location name“ (Icon der Flagge von Deutschland Standort-Name) angeben. Der Zweck des Standort-Namens ist es, das Referenzieren des Standorts bei seiner Zuordnung zu einem Prüf-Scope zu vereinfachen.

Wir empfehlen, den Standort-Namen nach folgendem Muster zu vergeben:

Muster:

[Geografische Referenz]

Beispiel:

für die fiktive Firma „ACME“

  • Frankfurt
    (für einen Standort in der Stadt Frankfurt)

4.3.2.7. Scope-Name

Für jeden Scope müssen Sie einen „Scope name“ (Icon der Flagge von Deutschland Scope-Name) angeben. Der Zweck des Scope-Namens ist es, das Referenzieren des Scopes in jeder TISAX-bezogenen Kommunikation (z. B. mit Ihrem TISAX-Prüfdienstleister) zu vereinfachen.

Sie können jeden beliebigen Namen angeben. Aber Sie sollten denselben Scope-Namen nicht mehr als einem Scope zuweisen.

Wenn Sie später Ihre TISAX-Prüfung erneuern möchten, müssen Sie einen neuen Scope erstellen (möglicherweise identisch mit dem jetzigen Scope). Wir empfehlen daher, das Jahr der Prüfung in den Scope-Namen aufzunehmen.

Wir empfehlen, Scope-Namen nach folgendem Muster zu vergeben:

Muster:

[Geografische oder funktionale Referenz] [Jahr der Prüfung]

Beispiel:

für die fiktive Firma „ACME“

  • 2020
    (ohne geographische Referenz, falls Ihre Firma nur einen Standort hat)

  • Frankfurt 2020
    (für einen Scope mit mehreren Standorten in der Stadt Frankfurt)

  • Niedersachsen 2020
    (für einen Scope mit allen Standorten im Bundesland Niedersachsen)

  • Deutschland 2020
    (für einen Scope mit allen Standorten im Land Deutschland)

  • EMEA 2020
    (für einen Scope mit allen Standorten in der Region EMEA (“Europe, Middle East, Asia“))

  • Prototypen-Entwicklung 2020
    (funktionale Referenz für einen Scope mit allen Standorten, die an Prototypen-Entwicklung beteiligt sind)

4.3.2.8. Ansprechpartner

Für unsere Kommunikation mit Ihnen sammeln wir Informationen über Ansprechpartner in Ihrem Unternehmen.

Wir bitten um mindestens einen Ansprechpartner für Ihr Unternehmen als TISAX-Teilnehmer im Allgemeinen und einen für jeden Prüf-Scope. Sie haben die Möglichkeit, weitere Ansprechpartner anzugeben.

Bei der Vorbereitung auf Ihre Registrierung sollten Sie entscheiden, wer in Ihrem Unternehmen Ansprechpartner sein wird.

Wir bitten um die folgenden Kontaktdaten:

Tabelle 2. Kontaktdaten der Ansprechpartner
Angabe Pflichtfeld? Beispiel

1.

Anrede

Ja

Frau, Herr

2.

Akademischer Grad

Dr., Prof., andere

3.

Vorname

Ja

John

4.

Nachname

Ja

Doe

5.

Jobtitel

Ja

Leiter IT

6.

Abteilung

Ja

Informationstechnologie

7.

Telefonnummer

Ja

+49 69 986692777

8.

Weitere Telefonnummer

9.

E-Mail-Adresse

Ja

john.doe@acme.com

10.

Bevorzugte Sprache

Ja

Englisch (Standard)

11.

Andere Sprachen

Deutsch, Französisch

12.

Weitere Empfängerbezeichnung

HPC 1234

13.

Adresse

Ja

Bockenheimer Landstraße 97-99

14.

Postleitzahl

Ja

60325

15.

Stadt

Ja

Frankfurt

16.

Bundesland/Kanton

17.

Land

Ja

Deutschland

Icon für Wichtig-Boxen

Wichtiger Hinweis:
 
Wir empfehlen, für jeden Ansprechpartner mindestens einen Vertreter zu benennen. Wenn ein Ansprechpartner zeitweise nicht verfügbar ist oder die Firma verlassen hat, dann gibt es jemanden anderen, der die Teilnehmerdaten Ihrer Firma verwalten kann.
Wenn Sie einen neuen Ansprechpartner benennen wollen (ohne andere verbliebene gültige Ansprechpartner), müssen Sie einen komplexen Prozess durchlaufen. Unser Prozess stellt sicher, dass nur für Ihre Firma rechtlich entscheidungsberechtigte Personen die Benennung eines neuen Hauptansprechpartners freigeben dürfen.

4.3.2.9. Veröffentlichen und Teilen

Der Hauptzweck von TISAX ist es, Ihr Prüfergebnis für andere TISAX-Teilnehmer zu veröffentlichen und es mit Ihrem Partner / Ihren Partnern zu teilen.

Über die Veröffentlichung und das Teilen Ihres Prüfergebnisses können Sie entweder während des Registrierungsprozesses oder zu einem späteren Zeitpunkt entscheiden.

Wenn Sie den TISAX-Prozess als Präventivschritt durchlaufen, können Sie sich bereits jetzt dafür entscheiden, Ihr Prüfergebnis in der Community der TISAX-Teilnehmer zu veröffentlichen. Ansonsten gibt es zum jetzigen Zeitpunkt nichts vorzubereiten.

Hat Ihr Partner Sie aufgefordert, den TISAX-Prozess zu durchlaufen, müssen Sie Ihr Prüfergebnis früher oder später mit Ihm teilen. Sie können mit Ihrem Partner bereits während der Registrierung Status-Informationen teilen. Sobald Ihr Prüfergebnis vorliegt, hat Ihr Partner automatisch die Berechtigung, darauf zuzugreifen[11].

Es gibt zwei Dinge, die Sie zum Teilen von Status-Informationen benötigen:

  1. Die TISAX-Participant-ID Ihres Partners

    In der Regel sollte Ihnen Ihr Partner seine TISAX-Participant-ID mitteilen.

    Der Einfachheit halber bietet unser Registrierungsformular eine Auswahlliste von Participant-IDs von einigen Firmen, die häufig Prüfergebnisse bekommen.[12]

    Aber wenn Ihr Partner ein großer OEM ist, kann es sein, dass Abteilungen die Anforderung einer TISAX-Prüfung kommunizieren, ohne die Participant-ID ihres eigenen Unternehmens zu kennen. In solchen Fällen können Sie uns ansprechen. Wir können Ihnen die Participant-ID Ihres Partners zur Verfügung stellen.

  2. Den erforderlichen Sharing-Level

    Der Sharing-Level definiert die Tiefe, bis zu der Ihr Partner auf Ihr Prüfergebnis zugreifen kann.

    Entweder verlangt Ihr Partner einen bestimmten Sharing-Level. Oder Sie müssen sich entscheiden, bis zu welcher Stufe Sie Ihrem Partner Zugang zu Ihrem Prüfergebnis gewähren wollen.

    Weitere Informationen zum Sharing-Level finden Sie in Abschnitt 6.5, “Sharing-Level”.

Sie wollen sicherlich dafür sorgen, dass Sie diese Informationen haben.

Icon für Info-Boxen

Bitte beachten Sie:

  • Sie können sich jederzeit entscheiden, Ihr Prüfergebnis später zu veröffentlichen.

  • Sie können jederzeit auch zu einem späteren Zeitpunkt eine Sharing-Permission für Ihren Partner erteilen.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Wenn Sie Ihr Prüfergebnis nicht veröffentlichen oder nicht teilen, kann niemand Ihr Prüfergebnis sehen.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sie können keine Veröffentlichungen und kein Sharing widerrufen.

Weitere Informationen zum Veröffentlichen und Teilen Ihres Prüfergebnisses finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.

4.3.3. Prüfziele

Sie müssen Ihr(e) Prüfziel(e) während des Registrierungsprozesses definieren. Das Prüfziel (Icon der Flagge des Vereinigten Königreichs Assessment objective) bestimmt die maßgeblichen Anforderungen, die Ihr Informationssicherheitsmanagementsystem (ISMS) zu erfüllen hat. Das Prüfziel richtet sich ausschließlich nach der Art der Daten, die Sie im Auftrag Ihres Partners verarbeiten.

In den folgenden Abschnitten beschreiben wir die Prüfziele und beraten Sie bei der Auswahl der richtigen Prüfziele.

Die Verwendung von Prüfzielen erleichtert die TISAX-bezogene Kommunikation mit Ihrem Partner und unseren TISAX-Prüfdienstleistern, da sie sich auf einen definierten Input für den TISAX-Prüfprozess beziehen.

Icon für Info-Boxen

Bitte beachten Sie:

Einige Partner könnten Sie auffordern, sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen zu lassen, anstatt ein Prüfziel vorzugeben. Weitere Informationen zu den Assessment-Leveln finden Sie in Abschnitt 4.3.3.6, “Schutzbedarfe und Assessment-Level” (Unterabschnitt „Weitere Informationen“).

4.3.3.1. Liste der Prüfziele

Derzeit gibt es acht TISAX-Prüfziele. Sie müssen mindestens ein Prüfziel auswählen. Sie können aber auch mehrere auswählen.

Sie können Ihr Prüfziel als Maßstab für Ihr Informationssicherheitsmanagementsystem betrachten. Das Prüfziel ist ein entscheidender Input für den TISAX-Prozess. Alle TISAX-Prüfdienstleister orientieren sich bei ihrer Prüfstrategie vor allem am Prüfziel.

Die derzeitigen TISAX-Prüfziele sind:

Tabelle 3. Die derzeitigen TISAX-Prüfziele
Nr. Prüfziel (Icon der Flagge des Vereinigten Königreichs Assessment objective) Abkürzung

1.

Icon der Flagge von Deutschland Informationen mit hohem Schutzbedarf
Icon der Flagge des Vereinigten Königreichs Information with high protection needs

Info high

2.

Icon der Flagge von Deutschland Informationen mit sehr hohem Schutzbedarf
Icon der Flagge des Vereinigten Königreichs Information with very high protection needs

Info very high

3.

Icon der Flagge von Deutschland Schutz von Prototypen-Bauteilen und -Komponenten
Icon der Flagge des Vereinigten Königreichs Protection of prototype parts and components

Proto parts

4.

Icon der Flagge von Deutschland Schutz von Prototypenfahrzeugen
Icon der Flagge des Vereinigten Königreichs Protection of prototype vehicles

Proto vehicles

5.

Icon der Flagge von Deutschland Umgang mit Erprobungsfahrzeugen
Icon der Flagge des Vereinigten Königreichs Handling of test vehicles

Test vehicles

6.

Icon der Flagge von Deutschland Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings
Icon der Flagge des Vereinigten Königreichs Protection of prototypes during events and film or photo shootings

Events + Shootings

7.

Icon der Flagge von Deutschland Datenschutz
Gemäß Artikel 28 („Auftragsverarbeiter“) der Datenschutz-Grundverordnung (DSGVO)
Icon der Flagge des Vereinigten Königreichs Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

Data

8.

Icon der Flagge von Deutschland Datenschutz bei besonderen Kategorien personenbezogener Daten
Gemäß Artikel 28 („Auftragsverarbeiter“) mit besonderen Kategorien personenbezogener Daten wie in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) angegeben
Icon der Flagge des Vereinigten Königreichs Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

Special data

Beispiel: Wenn Sie Erprobungsfahrten auf öffentlichen Straßen durchführen, dann ist das Prüfziel Nr. 7 „Umgang mit Erprobungsfahrzeugen“ eines Ihrer Prüfziele.

Für einige der folgenden Abbildungen werden wir eine tabellarische Darstellung der acht TISAX-Prüfziele verwenden. Außerdem werden wir die Langformen zugunsten einer einfacheren visuellen Darstellung abkürzen.

TISAX-Prüfziele (tabellarische Darstellung
Abbildung 7. TISAX-Prüfziele (tabellarische Darstellung, Langformen und Abkürzungen)
Icon für Wichtig-Boxen

Wichtiger Hinweis:

Bei TISAX ist in der Regel das „Prüfziel“ der Prozess-Input. Einige Partner könnten Sie hingegen auffordern, sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen zu lassen.

Weitere Informationen zum Zusammenhang zwischen Schutzbedarfen und „Assessment-Leveln“ finden Sie in Abschnitt 4.3.3.6, “Schutzbedarfe und Assessment-Level”.

4.3.3.2. Prüfziele und ISA

Jedes Prüfziel ist einem Kriterienkatalog des ISA zugeordnet.

Beispiel: Die beiden „Information“-Prüfziele mit hohem oder sehr hohem Schutzbedarf entsprechen dem Kriterienkatalog „Informationssicherheit“ des ISA. Das Excel-Tabellenblatt ist für beide Prüfziele das Gleiche. Sie können die Schutzbedarfe (hoch, sehr hoch) anhand der Hinweise in der Beschreibung jeder Anforderung unterscheiden (unter der Zwischenüberschrift „Zusätzlich bei (sehr) hohem Schutzbedarf:“; siehe Abschnitt 5.2.2, “Das ISA-Dokument verstehen”.

Weitere Hintergrundinformationen zu den TISAX-Prüfzielen im Hinblick auf ihre Beziehung zu den ISA-Kriterienkatalogen und den Assessment-Leveln finden Sie in Abschnitt 5.2.2, “Das ISA-Dokument verstehen”.

4.3.3.3. Prüfziele und TISAX-Labels

Ihr Partner könnte von „TISAX-Labels“ sprechen. „Prüfziele“ und „TISAX-Labels“ sind nahezu identisch. Der Unterschied besteht darin, dass Sie mit den „Prüfzielen“ in den Prüfprozess einsteigen und beim Bestehen der Prüfung die entsprechenden „TISAX-Labels“ erhalten.

Beispiel: Ihr Partner verlangt von Ihnen das TISAX-Label „Informationen mit hohem Schutzbedarf“. Dann wählen Sie „Informationen mit hohem Schutzbedarf“ als Ihr Prüfziel aus.

Die Abbildung unten zeigt Input und Output des TISAX-Prozesses:

Prüfziele und TISAX-Label
Abbildung 8. Prüfziele und TISAX-Label

Weitere Informationen zu TISAX-Labels finden Sie in Abschnitt 5.4.13, “TISAX-Labels”.

4.3.3.4. Prüfziele und Ihre Abhängigkeiten

Das Prüfziel „Informationen mit hohem Schutzbedarf“ ist das Minimum für eine TISAX-Prüfung. Zusätzliche Prüfziele sind optional. Abhängig von den Informationen, die Sie verarbeiten, müssen Sie ggf. weitere Prüfziele hinzufügen. Sie werden im Folgenden weitere Informationen darüber finden, welche Prüfziele Sie möglicherweise benötigen.

Einige Prüfziele sind von anderen Prüfzielen abhängig. Entweder das Prüfziel „Informationen mit hohem Schutzbedarf“ oder „Informationen mit sehr hohem Schutzbedarf“ bildet die Grundlage für alle anderen Prüfziele.

Beispiel: Wenn Sie das Prüfziel „Schutz von Prototypen-Bauteilen und -Komponenten“ erreichen müssen, dann müssen Sie automatisch auch das Prüfziel „Informationen mit hohem Schutzbedarf“ erreichen. Weitere Informationen zu den Abhängigkeiten finden Sie weiter unten.

Die Prüfziele und ihre Abhängigkeiten
Abbildung 9. Die Prüfziele und ihre Abhängigkeiten
4.3.3.5. Auswahl des Prüfziels

Im Idealfall sagt Ihnen Ihr Partner genau, welche Prüfziele Sie erreichen müssen.

Sie müssen das Prüfziel nach eigenem Ermessen auswählen, sofern:

  1. Sie eine TISAX-Prüfung anstreben, noch bevor ein Partner Sie dazu auffordert, oder

  2. Ihr Partner Ihnen nicht mitteilt, welches Prüfziel Sie erreichen sollen.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

An dieser Stelle empfehlen wir dringend, an Ihre anderen Partner zu denken. Gibt es bestehende Partner, welche die gleichen oder höhere Anforderungen haben? Erwarten Sie von zukünftigen Partnern, dass diese höhere Anforderungen haben könnten?

Möglicherweise sollten Sie die Auswahl von Prüfzielen mit einem höheren Schutzbedarf in Betracht ziehen. Dadurch können Sie Probleme vermeiden, wenn andere Partner höhere Anforderungen haben.

Wenn Sie das Prüfziel nach Ihrem eigenen Ermessen auswählen müssen, kann es hilfreich sein, die folgenden Aspekte zu bedenken:

Tabelle 4. Ratschläge für die Auswahl der Prüfziele
Nr. Prüfziel Information

1.

Informationen mit hohem Schutzbedarf
(Info high)

Den Schutzbedarf (hoch, sehr hoch) können Sie möglicherweise aus der Dokumentenklassifikation Ihres Partners ableiten.

2.

Informationen mit sehr hohem Schutzbedarf
(Info very high)

3.

Schutz von Prototypen-Bauteilen und -Komponenten
(Proto parts)

Für alle Unternehmen, die als schutzbedürftig klassifizierte Komponenten oder Bauteile an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen.

Anforderungen an physische und umgebungsbezogene Sicherheit, organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen sind Bestandteile der Prüfung.

4.

Schutz von Prototypenfahrzeugen
(Proto vehicles)

Für alle Unternehmen, die als schutzbedürftig klassifizierte Fahrzeuge an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen.

Anforderungen an physische und umgebungsbezogene Sicherheit (inkl. Vorhandensein gesicherter Garagen- oder Werkstattflächen), organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen sind Bestandteile der Prüfung.

Bei einer erfolgreichen Prüfung erhalten Sie automatisch auch das TISAX-Label „Schutz von Prototypen-Bauteilen und -Komponenten“.

5.

Umgang mit Erprobungsfahrzeugen
(Test vehicles)

Für alle Unternehmen, die als schutzbedürftig klassifizierte Fahrzeuge zur Durchführung von Tests und Erprobungsfahrten (z. B. Testfahrten auf öffentlichen Straßen oder auf Teststrecken) überlassen bekommen.

Organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen inkl. Tarnung und den Umgang mit Fahrzeugen bei Erprobungsfahrten in der Öffentlichkeit und auf Testgeländen sind Bestandteile der Prüfung.

Anforderungen an die physische und umgebungsbezogene Sicherheit des Standortes sind nicht zwangsläufig Bestandteil der Prüfung. Sollten die zu prüfenden Standorte entsprechend ausgestattet sein, empfehlen wir, das Prüfziel „Schutz von Prototypenfahrzeugen“ mit auszuwählen.

6.

Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings
(Events + Shootings)

Für alle Unternehmen, die als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile für die Durchführung von Ausstellungen und Veranstaltungen (z. B. Car-Clinics, Events, Marketing-Veranstaltungen) oder Film- und Fotoshootings überlassen bekommen.

Organisatorische Anforderungen sowie spezifischen Anforderungen für den Umgang mit Prototypen inkl. Anforderungen für Ausstellungen, Veranstaltungen und Film- und Fotoshootings in geschützten Räumen und in der Öffentlichkeit sind Bestandteile der Prüfung.

Anforderungen an die physische und umgebungsbezogene Sicherheit des Standortes sind nicht zwangsläufig Bestandteil der Prüfung. Sollten die zu prüfenden Standorte entsprechend ausgestattet sein, empfehlen wir, das Prüfziel „Schutz von Prototypenfahrzeugen“ mit auszuwählen.

7.

Datenschutz
(Data)

Wenn Sie personenbezogene Daten als Auftragsverarbeiter gemäß Artikel 28 der DSGVO verarbeiten, müssen Sie wahrscheinlich „Datenschutz“ auswählen.

8.

Datenschutz bei besonderen Kategorien personenbezogener Daten
(Special data)

Wenn Sie besondere Kategorien personenbezogener Daten (z. B. Gesundheit oder Religionszugehörigkeit) als Auftragsverarbeiter gemäß Artikel 28 verarbeiten, dann müssen Sie wahrscheinlich „Datenschutz bei besonderen Kategorien personenbezogener Daten“ auswählen.

Weitere Erklärungen:

  • Wenn Sie genaue Vorgaben von Ihrem Partner haben, brauchen Sie in der Regel nicht weiter mit Ihrem Partner über Ihre Prüfziele zu sprechen. Wenn Sie jedoch keine genauen Vorgaben von Ihrem Partner haben, empfehlen wir Ihnen dringend, Ihren Partner zu konsultieren, bevor Sie den Prüfprozess beginnen.

  • Der ISA beschreibt den Umsetzungsunterschied zwischen „hohem“ und „sehr hohem“ Schutzbedarf (falls vorhanden) für jede Anforderung.
    Weitere Informationen hierzu finden Sie in Abbildung 14, “Screenshot: Hauptelemente der Fragen in den ISA-Kriterienkatalogen”.

4.3.3.6. Schutzbedarfe und Assessment-Level

Ihr Partner hat verschiedene Arten von Informationen, von denen manche einen höheren Schutz erfordern als andere. Dem trägt der ISA Rechnung, indem er zwischen drei „Schutzbedarfen“ (Icon der Flagge des Vereinigten Königreichs Protection needs) unterscheidet: normal, hoch und sehr hoch. Ihr Partner klassifiziert seine Informationen und weist in der Regel Schutzbedarfe zu.

Die TISAX-Prüfziele verbinden einen ISA-Kriterienkatalog mit dem Schutzbedarf „hoch“ oder „sehr hoch“.

Tabelle 5. Zuordnung der ISA-Kriterienkataloge und Schutzbedarfe zu den TISAX-Prüfzielen
Nr. ISA-Kriterienkatalog Schutzbedarf TISAX-Prüfziel

1.

Informationssicherheit

Hoch

Icon der Flagge von Deutschland Informationen mit hohem Schutzbedarf
Icon der Flagge des Vereinigten Königreichs Information with high protection needs

2.

Informationssicherheit

Sehr hoch

Icon der Flagge von Deutschland Informationen mit sehr hohem Schutzbedarf
Icon der Flagge des Vereinigten Königreichs Information with very high protection needs

3.

Prototypenschutz

Hoch

Icon der Flagge von Deutschland Schutz von Prototypen-Bauteilen und -Komponenten
Icon der Flagge des Vereinigten Königreichs Protection of prototype parts and components

4.

Prototypenschutz

Hoch

Icon der Flagge von Deutschland Schutz von Prototypenfahrzeugen
Icon der Flagge des Vereinigten Königreichs Protection of prototype vehicles

5.

Prototypenschutz

Hoch

Icon der Flagge von Deutschland Umgang mit Erprobungsfahrzeugen
Icon der Flagge des Vereinigten Königreichs Handling of test vehicles

6.

Prototypenschutz

Hoch

Icon der Flagge von Deutschland Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings
Icon der Flagge des Vereinigten Königreichs Protection of prototypes during events and film or photo shootings

7.

Datenschutz

Hoch

Icon der Flagge von Deutschland Datenschutz
Gemäß Artikel 28 („Auftragsverarbeiter“) der Datenschutz-Grundverordnung (DSGVO)
Icon der Flagge des Vereinigten Königreichs Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

8.

Datenschutz

Sehr hoch

Icon der Flagge von Deutschland Datenschutz bei besonderen Kategorien personenbezogener Daten
Gemäß Artikel 28 („Auftragsverarbeiter“) mit besonderen Kategorien personenbezogener Daten wie in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) angegeben
Icon der Flagge des Vereinigten Königreichs Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

Je höher der Schutzbedarf, desto mehr ist Ihr Partner daran interessiert, sich zu vergewissern, dass es sicher ist, Sie seine Informationen verarbeiten zu lassen. TISAX unterscheidet daher drei „Assessment-Level“ (AL). Der Assessment-Level definiert die Tiefe, bis zu der unsere TISAX-Prüfdienstleister schauen und welche Prüfmethoden sie anwenden müssen. Einfach ausgedrückt bedeutet dies, dass ein höherer Assessment-Level zu einer höheren Prüfintensität und dem Einsatz weitergehender Prüfmethoden führt.

Tabelle 6. Zuordnung der TISAX-Prüfziele zu den Assessment-Leveln
Nr. TISAX-Prüfziel Assessment-Level (AL)

1.

Icon der Flagge von Deutschland Informationen mit hohem Schutzbedarf
Icon der Flagge des Vereinigten Königreichs Information with high protection needs

AL 2

2.

Icon der Flagge von Deutschland Informationen mit sehr hohem Schutzbedarf
Icon der Flagge des Vereinigten Königreichs Information with very high protection needs

AL 3

3.

Icon der Flagge von Deutschland Schutz von Prototypen-Bauteilen und -Komponenten
Icon der Flagge des Vereinigten Königreichs Protection of prototype parts and components

AL 3

4.

Icon der Flagge von Deutschland Schutz von Prototypenfahrzeugen
Icon der Flagge des Vereinigten Königreichs Protection of prototype vehicles

AL 3

5.

Icon der Flagge von Deutschland Umgang mit Erprobungsfahrzeugen
Icon der Flagge des Vereinigten Königreichs Handling of test vehicles

AL 3

6.

Icon der Flagge von Deutschland Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings
Icon der Flagge des Vereinigten Königreichs Protection of prototypes during events and film or photo shootings

AL 3

7.

Icon der Flagge von Deutschland Datenschutz
Gemäß Artikel 28 („Auftragsverarbeiter“) der Datenschutz-Grundverordnung (DSGVO)
Icon der Flagge des Vereinigten Königreichs Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

AL 2

8.

Icon der Flagge von Deutschland Datenschutz bei besonderen Kategorien personenbezogener Daten
Gemäß Artikel 28 („Auftragsverarbeiter“) mit besonderen Kategorien personenbezogener Daten wie in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) angegeben
Icon der Flagge des Vereinigten Königreichs Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

AL 3

Assessment-Level 1 (AL 1):

Prüfungen im Assessment-Level 1 spielen meist eine Rolle für interne Zwecke im eigentlichen Sinne einer Selbsteinschätzung (Icon der Flagge des Vereinigten Königreichs Self-assessment).

Bei einer Prüfung im Assessment-Level 1 prüft ein Prüfer, ob eine vollständige Selbsteinschätzung vorliegt. Er prüft nicht den Inhalt der Selbsteinschätzung. Er benötigt keine weiteren Nachweise.

Die Ergebnisse von Prüfungen mit dem Assessment-Level 1 haben eine niedrige Vertrauensstufe und werden daher in TISAX nicht verwendet. Aber es ist natürlich möglich, dass Ihr Partner eine solche Selbsteinschätzung außerhalb von TISAX anfordert.

Assessment-Level 2 (AL 2):

Bei einer Prüfung im Assessment-Level 2 führt der Prüfdienstleister eine Plausibilitätsprüfung Ihrer Selbsteinschätzung durch (für alle Standorte im Prüf-Scope). Er sichert dies ab, indem er Nachweise prüft[13] und Interviews mit Ihnen und weiteren Kollegen durchführt.

Der Prüfdienstleister führt die Interviews in der Regel als Telefonkonferenz durch. Auf Ihren Wunsch hin kann er die Interviews persönlich durchführen.

Prüfungen im Assessment-Level 2 beinhalten in der Regel keine Vor-Ort-Prüfung. Die Prüfung beinhaltet jedoch immer eine Vor-Ort-Prüfung, wenn Sie eines der „Prototypenschutz“-Prüfziele haben.

Wenn Sie Nachweise haben, die Sie nicht an den Prüfdienstleister schicken möchten, können Sie eine Vor-Ort-Prüfung beantragen. So kann der Prüfdienstleister dennoch Ihre „for your eyes only“-Nachweise überprüfen.

Assessment-Level 3 (AL 3):

Bei einer Prüfung im Assessment-Level 3 führt der Prüfdienstleister alle Prüfungen wie bei einer Prüfung im Assessment-Level 2 durch. Alle Kontrollen werden jedoch umfassender sein, und er wird Ihre Selbsteinschätzung in einer eingehenden Vor-Ort-Prüfung und persönlichen Gesprächen gründlich überprüfen.

Die folgende Tabelle gibt einen vereinfachten Überblick über die zu den einzelnen Assessment-Leveln gehörenden Prüfmethoden:

Tabelle 7. Applicability of assessment methods to different assessment levels
Prüfmethode Assessment-Level 1
(AL 1)
Assessment-Level 2
(AL 2)
Assessment-Level 3
(AL 3)

Selbsteinschätzung

Ja

Ja

Ja

Nachweise

Nein

Plausibilitätsprüfung

Eingehende Prüfung

Interviews

Nein

Als Telefonkonferenz[14]

Persönlich, vor Ort

Vor-Ort-Prüfung

Nein

Auf Ihren Wunsch

Ja

Weitere Informationen:

  • Informationsklassifikation und Schutzbedarfe
    Die Zuordnung der Informationsklassifikation (beispielsweise vertraulich, geheim) zu den Schutzbedarfen kann für verschiedene Partner unterschiedlich sein. Daher können wir Ihnen, so gerne wir es tun würden, keine einfache Zuordnungstabelle zur Verfügung stellen, in der die Informationsklassifikation Ihres Partners genau einem Schutzbedarf zugeordnet wird.

  • Nur einen Assessment-Level zu kennen reicht nicht aus
    Manchen Partner fordern Sie möglicherweise dazu auf, dass Sie sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen lassen. Bitte haben Sie Verständnis dafür, dass ein Assessment-Level allein nicht ausreicht, um den TISAX-Prozess zu starten. Ein Assessment-Level ist nur in Verbindung mit einem ISA-Kriterienkatalog und einem zugehörigen Schutzbedarf hinreichend. In der Regel verlangen die Partner von Ihnen ein TISAX-Label (Kriterienkatalog plus Schutzbedarf). Da die Schutzbedarfe jedoch 1:1 Assessment-Leveln zugeordnet sind, ist es ausreichend, wenn Sie den/die Kriterienkatalog(e) plus Assessment-Level kennen.

  • Hierarchie der Assessment-Level
    Höhere Assessment-Level schließen immer auch die niedrigeren Assessment-Level ein. Wenn Ihre Prüfung beispielsweise auf Assessment-Level 3 basiert, kann es automatisch alle Anforderungen nach Assessment-Level 2 erfüllen.

  • Unsere Empfehlung zu den Assessment-Leveln
    Sofern Sie ein Prüfziel (und damit implizit einen zugehörigen Assessment-Level) nach eigenem Ermessen auswählen müssen, empfehlen wir Ihnen, Prüfziele zu wählen, die einen Assessment-Level 3 implizieren. Der Aufwand für TISAX-Prüfungen im Assessment-Level 3 ist in der Regel nicht höher als im Assessment-Level 2.
    Insbesondere Zulieferer, die mehrere Partner haben, wählen oft Prüfziele, die einen Assessment-Level 3 implizieren. Auf diese Weise sind sie für alle zukünftigen Aufforderungen vorbereitet und müssen sich nicht mit unterschiedlichen Assessment-Leveln beschäftigen.

  • Weitere wirtschaftliche Überlegungen
    Bezüglich der Assessment-Level setzen sich die Gesamtkosten einer TISAX-Prüfung aus der Summe Ihrer internen Aufwände und den Kosten der Prüfung zusammen. Während die Kosten einer Prüfung im Assessment-Level 2 geringer sind, kann Ihr interner Aufwand höher sein. Dies liegt daran, dass für eine Prüfung im Assessment-Level 2 in der Regel eine umfassendere Selbsteinschätzung und eine bessere interne Dokumentation erforderlich ist. Bei Prüfungen im Assessment-Level 3 ist es für den Prüfer oft ausreichend, die Dinge zusammen mit einer grundlegenden Dokumentation zu zeigen. Aber ohne eine Vor-Ort-Prüfung wird der Prüfer eine genaue Dokumentation verlangen. Daher ist es nicht unüblich, Assessment-Level 3 statt Assessment-Level 2 zu wählen. Dennoch ist es eine Wahl, die eher von kleineren als von größeren Unternehmen getroffen wird.

4.3.3.7. Prüfziele und Ihre eigenen Lieferanten

TISAX fordert nicht zwangsläufig, dass Sie alle Ihre eigenen Lieferanten den gleichen Anforderungen unterwerfen. Wenn Ihr Prüfziel „Informationssicherheit mit sehr hohem Schutzbedarf“ lautet, bedeutet dies NICHT automatisch, dass Ihre eigenen Lieferanten dasselbe Prüfziel erreichen müssen. Es bedeutet nicht einmal, dass sie überhaupt TISAX-Label benötigen.

Aber Sie müssen trotzdem für alle Ihre Lieferanten überprüfen, ob die Nutzung ihrer Dienstleistungen Risiken erhöht oder neue Risiken mit sich bringt.

Zwei stark vereinfachte Beispiele:

  1. Sie haben eine Richtlinie, dass normale E-Mails nicht für Daten mit sehr hohem Schutzbedarf verwendet werden. Daher muss Ihr E-Mail-Anbieter das TISAX-Label mit sehr hohem Schutzbedarf nicht erreichen.
    Sie könnten zu einem ähnlichen Schluss kommen, wenn Sie nur verschlüsselte E-Mails senden und der E-Mail-Dienstleister keine Daten mit sehr hohem Schutzbedarf sehen kann.

  2. Sie entsorgen veraltete Ausdrucke mit sehr hohem Schutzbedarf im Reißwolf. In einem solchen Fall muss der Entsorgungsdienstleister natürlich nicht die gleichen Anforderungen erfüllen wie Sie.

Die Risikobewertung kann allerdings ergeben, dass auch Ihr Lieferant den Anforderungen an sehr hohen Schutzbedarf genügen muss. Dann sind TISAX-Labels eine Möglichkeit, dies Ihnen gegenüber entsprechend nachzuweisen.

4.3.4. Entgelt

Wir erheben ein Entgelt. In unserer Preisliste erhalten Sie Informationen zu den anfallenden Entgelten, zu eventuellen Rabatten und zu unseren Zahlungsbedingungen.

Sie können die Preisliste auf unserer Website herunterladen (die Preisliste ist nur in englischer Sprache verfügbar):
Icon der Flagge des Vereinigten Königreichs enx.com/de-de/TISAX/downloads/
Direkter PDF-Download:
Icon der Flagge des Vereinigten Königreichs enx.com/tisaxgtcde.pdf

Es gibt einige rechnungsrelevante Aspekte, die Sie bei der Vorbereitung Ihrer Registrierung berücksichtigen sollten:

  • Auswahl der Rechnungsadresse
    Standardmäßig schicken wir die Rechnung an die Adresse, die Sie als Teilnehmer-Standort angegeben haben. Sie haben jedoch die Möglichkeit, eine andere Adresse für den Rechnungsempfang anzugeben.
    Bitte prüfen Sie die Rechnungsadresse sorgfältig. Die Rechnungslegungsvorschriften verlangen, dass die Adresse auf unserer Rechnung genau mit der (Rechnungs-)Adresse Ihres Unternehmens übereinstimmt.

  • Änderung der Rechnungsadresse
    Im Gegensatz zu allen anderen Informationen, die Sie angeben, können wir die Rechnungsadresse nicht mehr ändern, nachdem Sie sie ausgewählt haben. Bitte sprechen Sie uns an, wenn Sie die Rechnung an einer anderen Adresse erhalten möchten.
    Bitte beachten Sie: Sollten Sie den Registrierungsprozess unterbrechen und fortsetzen, bevor Sie eine Rechnungsadresse ausgewählt haben, können Sie dies später nicht mehr tun. Wir werden fehlende Rechnungsadressen bemerken und uns mit Ihnen in Verbindung setzen, um diese Informationen zu erhalten und für Sie zu ergänzen.

  • Bestellnummer
    Wenn Sie eine bestimmte Bestellnummer oder Vergleichbares auf unserer Rechnung sehen möchten, haben Sie die Möglichkeit, uns eine Bestellreferenz mitzuteilen.

  • Umsatzsteueridentifikationsnummer
    Alle unsere Entgelte verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer (sofern zutreffend).
    Diese Nummer benötigen wir für die Abwicklung von Zahlungen aus der EU. Die Angabe einer Umsatzsteueridentifikationsnummer ist verpflichtend, wenn Ihre Rechnungsadresse in einem der folgenden Länder liegt:
    Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn, Vereinigtes Königreich, Zypern

  • Lieferantenverwaltung

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Bitte haben Sie Verständnis dafür, dass wir aufgrund der Gegenseitigkeit zwischen allen TISAX-Teilnehmern keine weiteren Bedingungen (z. B. allgemeine Einkaufsbedingungen, Verhaltenskodizes) akzeptieren können.

Weitere Informationen zu unserem Rechnungsstellungsprozess:

  • Individuelle Einkaufsbedingungen können wir nicht akzeptieren.

  • Wir akzeptieren:

    • Überweisungen auf das auf der Rechnung angegebene Bankkonto

    • Kreditkartenzahlungen (während des Registrierungsprozesses über unseren Zahlungsdienstleister “Stripe”)

  • Unsere Rechnung enthält die folgenden Verweise auf Ihre Registrierung:

    • Name und E-Mail-Adresse des Haupt-Teilnehmeransprechpartners

    • Name des Prüf-Scopes

    Eine Beispielrechnung finden Sie im Anhang in Abschnitt 7.1, “Anhang: Beispielrechnung für das Entgelt”.

  • Die meisten Daten, die Sie für die Bearbeitung unserer Rechnung benötigen, stellen wir Ihnen direkt auf selbiger zur Verfügung. Diese und weitere Daten finden Sie in unserem Dokument Icon der Flagge des Vereinigten Königreichs „Information for Members and Business Partners“. Schicken Sie uns eine E-Mail und wir schicken Ihnen die aktuelle Version zu.

Icon für Info-Boxen

Bitte beachten Sie:

Wir sind uns bewusst, dass der interne Prozess die Genehmigung von Zahlungen eines Unternehmens manchmal recht langwierig ist. Ihr nächster Schritt im TISAX-Prozess hängt daher nicht davon ab, dass wir die Zahlung erhalten. Aber bitte beachten Sie, dass Sie Ihr Prüfergebnis nicht teilen können, wenn wir Ihre Zahlung nicht erhalten haben.

Aus diesem Grund empfehlen wir Ihnen, sicherzustellen, dass wir unsere Rechnung an den richtigen Empfänger schicken und sofern zutreffend eine Bestellreferenz enthalten ist. Vielleicht möchten Sie auch intern nachverfolgen, ob jemand die Rechnung bezahlt hat.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Wir — die ENX Association — berechnen das Entgelt. Es ist nur ein Teil der Gesamtkosten einer TISAX-Prüfung. Ihr TISAX-Prüfdienstleister stellt die Kosten für die Prüfung(en) in Rechnung.

Weitere Informationen zu Prüfdienstleister-bezogenen Kosten finden Sie in Abschnitt 5.3.4, “Beurteilen der Angebote”.

Icon für Wichtig-Boxen

Wichtiger Bitte beachten Sie:

Das Entgelt ist fällig, unabhängig davon ob Sie:

  • den TISAX-Prozess fortsetzen oder nicht.

  • den TISAX-Prüfprozess erfolgreich durchlaufen.

Daher kann es sein, dass die Rechnung eintrifft, bevor Sie die Erstprüfung begonnen haben.

4.4. ENX-Portal

Im nächsten Abschnitt wird der Online-Registrierungsprozess beschrieben, in dem Sie alle Daten eingeben, die Sie wie im vorherigen Abschnitt empfohlen zusammen getragen haben. Bevor Sie den Online-Registrierungsprozess beginnen, lassen Sie uns bitte kurz den Zweck und die Vorteile des ENX-Portals erläutern.

Das ENX-Portal ermöglicht es uns, eine Datenbank aller TISAX-Teilnehmer zu pflegen und es spielt eine wichtige Rolle im gesamten TISAX-Prozess. Bei der TISAX-Registrierung geben Sie Ihre Daten ein, die die TISAX-Prüfdienstleister dann (wenn Sie zustimmen) zur Berechnung ihrer Angebote und zur Planung des Prüfverfahrens verwenden können. Nachdem Sie den TISAX-Prüfprozess durchlaufen haben, nutzen Sie die Austauschplattform auf dem ENX- Portal, um Ihr Prüfergebnis mit Ihrem Partner zu teilen.

Der Name des Portals lautet „ENX-Portal“ statt „TISAX-Portal“, da wir das Portal auch für die Verwaltung anderer Geschäftsaktivitäten (wie das ENX-Netzwerk) nutzen.

4.5. Online-Registrierungsprozess

Wenn Sie sich nach unseren obigen Empfehlungen (Abschnitt 4.3, “Vorbereitung auf die Registrierung”) vorbereitet haben, sind Sie bereit, den Online-Registrierungsprozess zu starten.

4.5.1. Erforderliche Zeit

Wie lange es dauert, hängt stark von der Anzahl der Scopes und Standorte ab, die Sie registrieren. Für eine Registrierung als Teilnehmer mit einem Scope und einem Standort sollten Sie mit mindestens 20 Minuten rechnen.

Wir empfehlen Ihnen, die Registrierung in einer einzigen Sitzung durchzuführen, da Sie im Moment einige Schritte nicht so einfach nachholen können. Sollten Sie dennoch unterbrechen müssen, werden wir uns mit Ihnen in Verbindung setzen, um fehlende Daten abzufragen.

4.5.2. Starten Sie hier

Bitte starten Sie Ihre Registrierung auf unserer Website unter:
Icon der Flagge von Deutschland enx.com/de-de/Account/Login/Register/

Grundsätzlich müssen Sie nur den Anweisungen auf dem Bildschirm folgen. Dennoch beschreiben wir im Folgenden kurz den Ablauf.

4.5.3. Portal-Account

Im ersten Schritt erstellen Sie sich einen Account für das ENX-Portal. Dies ist eine rein administrative Aufgabe. Sie benötigen den Portal-Account, um die „Teilnehmerdaten“ Ihres Unternehmens verwalten zu können.

Durch die Einrichtung dieses Accounts werden Sie nicht automatisch zum offiziellen TISAX-Ansprechpartner innerhalb Ihres Unternehmens[15]. Im Moment füllen Sie einfach unsere Online-Formulare aus. Sie können den „Teilnehmer-Ansprechpartner“ und den „Scope-Ansprechpartner“ später im Online-Registrierungsprozess festlegen und diese Rollen anderen zuweisen.

Icon für Info-Boxen

Bitte beachten Sie:

Sollte das ENX-Portal behaupten, dass Ihre E-Mail-Adresse bereits verwendet wird, sprechen Sie uns bitte an. Diese Meldung kann bedeuten, dass Sie aus irgendeinem anderen Grund bereits in unserem System gespeichert sind.

Icon für Info-Boxen

Bitte beachten Sie:

Wie beschrieben, sind Portal-Accounts nicht unbedingt „Teilnehmer-Ansprechpartner“ oder „Scope-Ansprechpartner“ (siehe unten) mit einer aktiven Rolle im Prüfprozess.

Umgekehrt beinhaltet ein „Teilnehmer-Ansprechpartner“ oder „Scope-Ansprechpartner“ nicht automatisch die gleichen Rechte zur Verwaltung der Teilnehmerdaten wie bei einem Portal-Account. Das bedeutet, dass Kollegen, die als „Teilnehmer-Ansprechpartner“ oder „Scope-Ansprechpartner“ bestimmt werden, nicht automatisch auf die Teilnehmerdaten im ENX-Portal zugreifen können.

Wenn Sie einem Kontakt, den Sie bereits im ENX-Portal angelegt haben (unabhängig davon, ob Sie ihm eine Rolle zugewiesen haben), das Recht zur Verwaltung der Teilnehmerdaten zuweisen möchten, sprechen Sie uns bitte an. Wir schicken eine Einladungs-E-Mail an den Ansprechpartner. Die E-Mail enthält einen Link, der zur Erstellung eines Portal-Accounts für den Ansprechpartner führt.

Bitte stellen Sie sicher, dass Sie den neuen Ansprechpartner bereits angelegt haben, bevor Sie uns bitten, dieses Recht zu vergeben.

4.5.4. Teilnehmerregistrierung

Ihr zweiter Schritt ist die Registrierung Ihres Unternehmens als TISAX-Teilnehmer. Der „TISAX-Teilnehmer“ ist das Unternehmen, das Prüfergebnisse mit anderen Teilnehmern austauscht.

4.5.5. Teilnehmer-Ansprechpartner

Wir bitten Sie, den Teilnehmer-Hauptansprechpartner anzugeben.

Dies ist die Person, die in der Regel für alle Themen der Informationssicherheitsprüfung in Ihrem Unternehmen verantwortlich ist. Dies können entweder Sie oder jemand anderes in Ihrem Unternehmen sein.

Der Teilnehmer-Hauptansprechpartner ist in der Regel alles, was wir brauchen. Sollten Sie es vorziehen, die gesamte Kommunikation von uns und unseren TISAX-Prüfdienstleistern im Rahmen dieser Registrierung auch an andere Personen verschicken zu lassen, können Sie weitere Teilnehmer-Ansprechpartner hinzufügen.

Icon für Wichtig-Boxen

Wichtiger Hinweis:
 
Wir empfehlen, für jeden Ansprechpartner mindestens einen Vertreter zu benennen. Wenn ein Ansprechpartner zeitweise nicht verfügbar ist oder die Firma verlassen hat, dann gibt es jemanden anderen, der die Teilnehmerdaten Ihrer Firma verwalten kann.
Wenn Sie einen neuen Ansprechpartner benennen wollen (ohne andere verbliebene gültige Ansprechpartner), müssen Sie einen komplexen Prozess durchlaufen. Unser Prozess stellt sicher, dass nur für Ihre Firma rechtlich entscheidungsberechtigte Personen die Benennung eines neuen Hauptansprechpartners freigeben dürfen.

Icon für Info-Boxen

Bitte beachten Sie:

Sie können Ansprechpartner jederzeit zu einem späteren Zeitpunkt hinzufügen oder entfernen (auch nach Abschluss des Online-Registrierungsprozesses und auch nach Abschluss von Prüfungen).

Icon für Info-Boxen

Bitte beachten Sie:

Sie können keine Funktionspostfächer bzw. Gruppen-E-Mail-Adressen (wie “info@acme.de“ oder “IT@acme.de“) für Teilnehmer-Ansprechpartner verwenden.

Dies steht im Einklang mit den ISA-Anforderungen bezüglich der Benutzeranmeldung.

Icon für Info-Boxen

Bitte beachten Sie:

Für jeden Ansprechpartner können Sie wählen, ob er Zugriff auf die Teilnehmerdaten Ihres Unternehmens haben soll. Entweder:

  1. Sie fügen einfach den Ansprechpartner hinzu. Der Ansprechpartner ist in unserem System gespeichert, kann sich aber nicht einloggen und keine Daten verwalten.

  2. Oder Sie laden den Kontakt ein. Dann sendet das ENX-Portal eine Einladungs-E-Mail an den Ansprechpartner. Der Ansprechpartner muss dem Einladungslink in der E-Mail folgen. Sobald der Ansprechpartner sein eigenes persönliches Konto für das ENX-Portal eingerichtet hat, kann er die Teilnehmerdaten Ihres Unternehmens verwalten.

4.5.6. Allgemeine Geschäftsbedingungen

Ihr dritter Schritt ist die Annahme der „TISAX Participation General Terms and Conditions“.

Sie können mehr darüber in Abschnitt 4.3.1, “Die rechtliche Grundlage” lesen.

4.5.7. Registrierung des Prüf-Scopes

Ihr vierter Schritt ist die Registrierung des Prüf-Scopes Ihrer Informationssicherheitsprüfung.

Wir bitten Sie:

  • einen Namen für den Prüf-Scope zu vergeben.
    Wir werden den „Scope-Namen“ verwenden, um in der weiteren Kommunikation auf diesen Scope Bezug zu nehmen.

  • einen Prüf-Scope-Typ auszuwählen.
    (Standard, Custom)
    Sie können mehr darüber in Abschnitt 4.3.2, “Der TISAX-Prüf-Scope” lesen.

  • den Hauptansprechpartner für den Prüf-Scope anzugeben.
    Dies ist die Person, die in der Regel für die Prüfung eines bestimmten Scopes verantwortlich ist. Das können entweder Sie oder jemand anderes in Ihrem Unternehmen sein.
    Der Hauptansprechpartner ist in der Regel alles, was wir brauchen. Sollten Sie es vorziehen, die gesamte Kommunikation von uns und unseren TISAX-Prüfdienstleistern im Rahmen dieses Scopes auch an andere Personen verschicken zu lassen, können Sie weitere Teilnehmer-Ansprechpartner hinzufügen.

  • Ihr(e) Prüfziel(e) auszuwählen.
    Sie können mehr darüber in Abschnitt 4.3.3, “Prüfziele” lesen.

  • den/die Standort/e zum Prüf-Scope hinzuzufügen.
    Wir bitten Sie, alle Standorte anzugeben, die zum Prüf-Scope gehören.
    Sie können mehr darüber in Abschnitt 4.3.2, “Der TISAX-Prüf-Scope” lesen.

  • Veröffentlichungen einzurichten und Sharing-Permissions zu vergeben (optional).
    Sie können sich bereits jetzt entscheiden, Ihr Prüfergebnis für andere TISAX-Teilnehmer zu veröffentlichen und es mit Ihren Partnern zu teilen. Typischerweise erlauben Sie uns zumindest zu zeigen, dass Ihr Unternehmen ein Teilnehmer ist und dass Sie den TISAX-Prozess erfolgreich durchlaufen haben.
    Sie können diesen Schritt bei der Erstregistrierung ohne Konsequenzen überspringen. Sie können den Zugriff auf Ihr Prüfergebnis jederzeit nachträglich festlegen.
    Sie können mehr darüber in Abschnitt 4.3.2.9, “Veröffentlichen und Teilen” lesen.

    Icon für Wichtig-Boxen

    Wichtiger Hinweis:

    Sie können keine Veröffentlichungen oder Sharing-Permissions widerrufen.
    Einzelheiten hierzu finden Sie in Abschnitt 6.4, “Dauerhaftigkeit der ausgetauschten Ergebnisse”.

  • den Rechnungsempfänger anzugeben.
    Wir bitten Sie anzugeben, wer unsere Rechnung(en) erhalten soll.
    Sie können mehr darüber in Abschnitt 4.3.4, “Entgelt” lesen.

Icon für Info-Boxen

Bitte beachten Sie:

Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt hat Ihr Prüf-Scope entweder den Status „Incomplete“ oder „Waiting for approval“.

Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.1, “Übersicht: „Prüf-Scope-Status“”.

Icon für Info-Boxen

Bitte beachten Sie:

Für große Unternehmen mit vielen Standorten bietet TISAX die „vereinfachte Gruppenprüfung“ ( Icon der Flagge des Vereinigten Königreichs „simplified group assessment“) an. Sie können diese Option in Betracht ziehen, wenn:

  • sie mindestens drei Standorte in Ihrem Scope[16] haben und

  • Ihr Informationssicherheitsmanagementsystem in Bestform ist und zentral organisiert[17] ist.

Für eine vereinfachte Gruppenprüfung ist der initiale Aufwand höher. Das zahlt sich jedoch aus, je mehr Standorte Sie haben.

Weitere Informationen zur vereinfachten Gruppenprüfung finden Sie im Dokument „TISAX Simplified Group Assessment“ (nur auf Englisch verfügbar).

Sie können das Dokument „TISAX Simplified Group Assessment“ auf unserer Website herunterladen:
Icon der Flagge von Deutschland enx.com/de-de/TISAX/downloads/

Direkter PDF-Download:
Icon der Flagge von Deutschland enx.com/sga.pdf

Icon für Info-Boxen

Bitte beachten Sie:

Sobald wir Ihren Prüf-Scope registriert haben, können Sie ihn nicht mehr selbst ändern.

Wenn Sie glaubwürdig versichern können, dass Sie Ihr „TISAX Scope Excerpt“ noch NICHT an unsere Prüfdienstleister geschickt haben, sprechen Sie uns bitte an. Wir können ihn für Sie ändern.

Wenn Sie Ihren „TISAX Scope Excerpt“ bereits an unsere Prüfdienstleister geschickt haben, erstellen Sie einfach die neue(n) Standort(e) im ENX-Portal (falls zutreffend) und besprechen Sie alle Änderungen mit Ihrem Prüfdienstleister. Ihr Prüfdienstleister wird die Prüfung auf der Grundlage der Änderungen durchführen. Zusammen mit dem Prüfergebnis wird Ihr Prüfdienstleister uns dann über die notwendigen Änderungen des Prüf-Scopes informieren.

Icon für Info-Boxen

Bitte beachten Sie:

Sobald Sie einen neuen Standort angelegt haben, können Sie ihn nicht mehr bearbeiten. Für kleinere Änderungen (Umfirmierung, Tippfehler in Straßenname, Postleitzahl, Stadt, usw.) sprechen Sie uns bitte an. Wir führen die Änderungen für Sie durch.

Icon für Info-Boxen

Bitte beachten Sie:

Es ist Ihnen nicht möglich, einen Prüf-Scope im ENX-Portal zu löschen. Falls Sie versehentlich einen Prüf-Scope angelegt haben, sprechen Sie uns bitte an. Wir werden ihn für Sie löschen.

4.5.8. Bestätigungs-E-Mail

Sobald Sie alle oben genannten verpflichtenden Schritte abgeschlossen haben, werden wir Ihren Antrag prüfen. Wir schicken Ihnen dann eine Bestätigungs-E-Mail.

Diese E-Mail hat zwei wichtige Elemente:

  • Eine Liste mit den Ansprechpartnern aller TISAX-Prüfdienstleister
    Sie müssen sich für einen unserer TISAX-Prüfdienstleister entscheiden, der die Prüfung Ihres Prüf-Scopes durchführt. Über die Ansprechpartner können Sie Angebote anfordern.
    Weitere Informationen zur Prüfdienstleisterauswahl finden Sie in Abschnitt 5.3, “Auswahl eines Prüfdienstleisters”.

  • Den „TISAX Scope Excerpt“ als angehängte PDF-Datei

    Er enthält:

Ein Beispiel für unsere Bestätigungs-E-Mail finden Sie in Abschnitt 7.2, “Annex: Beispiel einer Bestätigungs-E-Mail”.

Ein Beispiel für den „TISAX Scope Excerpt“ finden Sie in Abschnitt 7.3, “Anhang: Beispiel eines TISAX Scope Excerpt”.

Sie erhalten unsere Bestätigungs-E-Mail in der Regel innerhalb von 3 Werktagen.

Wenn Sie nicht innerhalb von 7 Werktagen von uns hören, überprüfen Sie bitte, ob Sie alle Angaben gemacht haben. Erst wenn alles vollständig ist, beginnen wir mit der Bearbeitung Ihrer Registrierung. Wenn Sie glauben, dass alles vollständig ist und wir Sie noch nicht kontaktiert haben, dann sprechen Sie uns bitte an.

Wir schicken unsere Bestätigungs-E-Mail an den Teilnehmer-Hauptansprechpartner und an alle weiteren Teilnehmer-Ansprechpartner.

Icon für Info-Boxen

Bitte beachten Sie:

Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt hat Ihr Prüf-Scope den Status „Approved“.
Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.5, “Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)”.

In den nächsten beiden Unterabschnitten finden Sie detaillierte Informationen über den Zweck Ihrer Participant-ID und der Scope-ID.

4.5.8.1. Participant-ID

Die Participant-ID:

  • identifiziert einen TISAX-Teilnehmer.

  • ist einmalig für jeden Teilnehmer.

  • wird von uns bei Abschluss der Registrierung vergeben.

  • ist Voraussetzung für die Beauftragung einer Informationssicherheitsprüfung durch einen unserer TISAX-Prüfdienstleister.

  • sieht folgendermaßen aus:

    Format der Participant-ID
    Abbildung 10. Format der Participant-ID[18]
Icon für Info-Boxen

Bitte beachten Sie:

Es gibt zwei Möglichkeiten, Ihre Participant-ID zu finden:

  1. Prüfen Sie Ihr „TISAX Scope Excerpt“.
    Siehe weiter oben in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.
    Wenn Sie Ihren „TISAX Scope Excerpt“ nicht zur Hand haben, sprechen Sie uns bitte an, um ihn zu erhalten.

  2. Melden Sie sich im ENX-Portal an, gehen Sie zur Hauptnavigationsleiste und wählen Sie „DASHBOARD“. Dort finden Sie Ihre Participant-ID.

4.5.8.2. Scope-ID

Die Scope-ID:

  • identifiziert einen Prüf-Scope.

  • ist einmalig für jeden Prüf-Scope.

  • wird von uns bei Abschluss der Registrierung vergeben.

  • ist Voraussetzung für die Beauftragung einer Informationssicherheitsprüfung durch einen unserer TISAX-Prüfdienstleister.

  • sieht folgendermaßen aus:

    Format der Scope-ID
    Abbildung 11. Format der Scope-ID
Icon für Info-Boxen

Bitte beachten Sie:

Es gibt zwei Möglichkeiten, Ihre Scope-ID zu finden:

  1. Prüfen Sie Ihren „TISAX Scope Excerpt“.
    Siehe weiter oben in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.
    Wenn Sie Ihren „TISAX Scope Excerpt“ nicht zur Hand haben, sprechen Sie uns an, um ihn zu erhalten.

  2. Melden Sie sich im ENX-Portal an, gehen Sie zur Hauptnavigationsleiste, wählen Sie „MEIN TISAX“ und dann „SCOPES UND PRÜFUNGEN“. Dort finden Sie Ihre Scope-ID.

Icon für Info-Boxen

Bitte beachten Sie:

Jeder Prüf-Scope (identifiziert durch seine Scope-ID) durchläuft einen Lebenszyklus.

Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5, “Anhang: „Prüf-Scope-Status“ (Assessment scope status)”.

4.5.9. Statusinformation

Zu diesem Zeitpunkt gibt es zwei relevante Status, mit denen wir Ihre Position im TISAX-Prozess beschreiben:

  1. „Participant status“

  2. Prüf-Scope-Status

Die folgende Abbildung veranschaulicht die Bedingungen, die erfüllt sein müssen, um einen bestimmten Status zu erreichen:

Bedingungen für den „Participant status“ und den „Prüf-Scope-Status“
Abbildung 12. Bedingungen für den „Participant status“ und den „Prüf-Scope-Status“

Die Statusdefinitionen und was Sie tun müssen, um zum nächsten Status zu gelangen, finden Sie im Anhang.

Weitere Informationen über den:

4.5.10. Änderungen Ihrer Registrierungsdaten

Icon für Info-Boxen

Bitte beachten Sie:

Alle Antworten zum Lebenszyklus Ihrer Daten finden Sie in Abschnitt 7.7, “Anhang: Lebenszyklusmanagement der Teilnehmerdaten”. Er enthält Anweisungen für den Fall, dass Sie Daten wie Ihren Firmennamen oder Ihre Kontaktdaten ändern oder aktualisieren möchten.


Herzlichen Glückwunsch, Sie sind jetzt registrierter TISAX-Teilnehmer. Sie sind bereit für den nächsten Schritt im TISAX-Prozess.

5. Prüfung (Schritt 2)

Die geschätzte Lesezeit für den Prüfungsabschnitt beträgt 30-35 Minuten.

5.1. Überblick

Die TISAX-Registrierung ist Ihr zweiter Schritt. Hier erledigen Sie die meiste Arbeit der TISAX-Prüfung.

Die folgenden Abschnitte führen Sie durch die Prüfung:

  1. Wir beginnen mit der Erläuterung, wie Sie die ISA-Selbsteinschätzung verwenden, um herauszufinden, ob Sie auf eine TISAX-Prüfung vorbereitet sind.

  2. Dann beraten wir Sie, wie Sie einen unserer TISAX-Prüfdienstleister auswählen.

  3. Anschließend beschreiben wir Ihren Weg durch den Prüfprozess.

  4. Am Ende erklären wir Ihnen das „Prozessergebnis“: Ihr Prüfergebnis und die damit verbundenen TISAX-Labels.

5.2. Selbsteinschätzung auf Basis des ISA

Um für eine TISAX-Prüfung bereit zu sein, muss in erster Linie Ihr Informationssicherheitsmanagementsystem (ISMS) in Bestform sein. Um herauszufinden, ob Ihr ISMS dem erwarteten Reifegrad entspricht, müssen Sie eine Selbsteinschätzung auf Basis des ISA durchführen.

Der ISA ("Information Security Assessment") ist ein vom "Verband der Automobilindustrie e.V." (VDA) herausgegebener Kriterienkatalog. Es ist der Branchenstandard der Automobilindustrie für Informationssicherheits-Assessments.

In den folgenden Abschnitten geben wir Ihnen praktische Hinweise zur Durchführung einer Selbsteinschätzung auf Basis des ISA.

Die Erläuterungen, Beispiele und Screenshots in diesem Handbuch basieren auf „Version: 5.0.3“ des ISA-Dokuments.

Icon für Info-Boxen

Bitte beachten Sie:

Informationen über Änderungen gegenüber vorigen Versionen des ISA finden Sie dessen Excel-Tabellenblatt „Änderungshistorie“.

Icon für Info-Boxen

Bitte beachten Sie:

Informationen darüber, welche ISA-Version für Ihre Prüfung gilt, wenn der VDA eine neue Version veröffentlicht, finden Sie in Abschnitt 7.8, “Anhang: ISA-Lebenszyklus-Management”.

5.2.1. Laden Sie das ISA-Dokument herunter

Starten Sie Ihre Selbsteinschätzung mit dem Download des ISA-Dokuments.

5.2.2. Das ISA-Dokument verstehen

Bevor Sie mit Ihrer Selbsteinschätzung beginnen, finden Sie hier einige Erklärungen, die hilfreich für Sie sein könnten. Diese stellen wir zusätzlich zu den offiziellen Erläuterungen und Definitionen im ISA-Dokument zur Verfügung, wobei der Schwerpunkt auf der Verwendung für TISAX-Prüfungen liegt.

5.2.2.1. Kriterienkataloge

Der ISA enthält derzeit drei „Kriterienkataloge“[19]:

Icon der Flagge von Deutschland Icon der Flagge des Vereinigten Königreichs

1.

Informationssicherheit

Information Security

2.

Prototypenschutz

Prototype Protection

3.

Datenschutz

Data Protection

Jeder Kriterienkatalog hat sein eigenes Excel-Tabellenblatt:

Screenshot: ISA-Kriterienkataloge als Excel-Tabellenblätter
Abbildung 13. Screenshot: ISA-Kriterienkataloge als Excel-Tabellenblätter

Der Kern des ISA ist der Kriterienkatalog „Informationssicherheit“. Die Fragen in diesem Kriterienkatalog sind für alle TISAX-Prüfungen verbindlich.

Die anderen Kriterienkataloge sind optional. Ihre Anwendbarkeit hängt von Ihren Prüfzielen ab.

Die vorgenannten Prüfziele sind diesen Kriterienkatalogen zugeordnet:

Tabelle 8. Zuordnung zwischen TISAX-Prüfzielen und ISA-Kriterienkatalogen
Nr. Prüfziel (Icon der Flagge des Vereinigten Königreichs Assessment objective) ISA-Kriterienkatalog

1.

Icon der Flagge von Deutschland Informationen mit hohem Schutzbedarf
Icon der Flagge des Vereinigten Königreichs Information with high protection needs

Informationssicherheit

2.

Icon der Flagge von Deutschland Informationen mit sehr hohem Schutzbedarf
Icon der Flagge des Vereinigten Königreichs Information with very high protection needs

Informationssicherheit

3.

Icon der Flagge von Deutschland Schutz von Prototypen-Bauteilen und -Komponenten
Icon der Flagge des Vereinigten Königreichs Protection of prototype parts and components

Prototypenschutz

4.

Icon der Flagge von Deutschland Schutz von Prototypenfahrzeugen
Icon der Flagge des Vereinigten Königreichs Protection of prototype vehicles

Prototypenschutz

5.

Icon der Flagge von Deutschland Umgang mit Erprobungsfahrzeugen
Icon der Flagge des Vereinigten Königreichs Handling of test vehicles

Prototypenschutz

6.

Icon der Flagge von Deutschland Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings
Icon der Flagge des Vereinigten Königreichs Protection of prototypes during events and film or photo shootings

Prototypenschutz

7.

Icon der Flagge von Deutschland Datenschutz
Gemäß Artikel 28 („Auftragsverarbeiter“) der Datenschutz-Grundverordnung (DSGVO)
Icon der Flagge des Vereinigten Königreichs Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

Datenschutz

8.

Icon der Flagge von Deutschland Datenschutz bei besonderen Kategorien personenbezogener Daten
Gemäß Artikel 28 („Auftragsverarbeiter“) mit besonderen Kategorien personenbezogener Daten wie in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) angegeben
Icon der Flagge des Vereinigten Königreichs Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

Datenschutz

Beispiel: Wenn Sie das Prüfziel „Datenschutz“ gewählt haben, müssen Sie die Fragen im Kriterienkatalog „Informationssicherheit“ UND im Kriterienkatalog „Datenschutz“ beantworten.

Sie haben vielleicht bemerkt, dass es mehr als ein Prüfziel pro Kriterienkatalog gibt. Wie finden Sie heraus, welche Anforderungen für welches Prüfziel gelten?

Die folgende Tabelle zeigt Ihnen die geltenden Anforderungen:

Tabelle 9. Geltung der Anforderungen für die Prüfziele
Nr. Prüfziel (Icon der Flagge des Vereinigten Königreichs Assessment objective) Geltende Anforderungen

1.

Icon of the flag of Germany Informationen mit hohem Schutzbedarf
Icon der Flagge des Vereinigten Königreichs Information with high protection needs

  • Alle Anforderungen aus dem Kriterienkatalog „Informationssicherheit“ (Spalten „Anforderungen (muss)“ und „Anforderungen (sollte)“)

  • Außerdem die zusätzlichen Anforderungen in der Spalte „Zusatzanforderungen bei hohem Schutzbedarf“ (sofern zutreffend)

2.

Icon of the flag of Germany Informationen mit sehr hohem Schutzbedarf
Icon der Flagge des Vereinigten Königreichs Information with very high protection needs

  • Alle Anforderungen aus dem Kriterienkatalog „Informationssicherheit“ (Spalten „Anforderungen (muss)“ und „Anforderungen (sollte)“)

  • Außerdem die zusätzlichen Anforderungen in den Spalten „Zusatzanforderungen bei hohem Schutzbedarf“ und „Zusatzanforderungen bei sehr hohem Schutzbedarf“ (sofern zutreffend)

3.

Icon of the flag of Germany Schutz von Prototypen-Bauteilen und -Komponenten
Icon der Flagge des Vereinigten Königreichs Protection of prototype parts and components

  • Alle Anforderungen, die für das Prüfziel „Informationen mit hohem Schutzbedarf“ gelten

  • Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs „Prototypenschutz“:

    • 8.1 Physische und umgebungsbezogene Sicherheit

    • 8.2 Organisatorische Anforderungen

    • 8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen

4.

Icon of the flag of Germany Schutz von Prototypenfahrzeugen
Icon der Flagge des Vereinigten Königreichs Protection of prototype vehicles

  • Alle Anforderungen, die für das Prüfziel „Informationen mit hohem Schutzbedarf“ gelten

  • Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs „Prototypenschutz“:

    • 8.1 Physische und umgebungsbezogene Sicherheit

    • 8.2 Organisatorische Anforderungen

    • 8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen

  • Außerdem die zusätzlichen Anforderungen in der Spalte „Zusatzanforderungen bei als schutzbedürftig klassifizierten Fahrzeugen“ (sofern zutreffend)

5.

Icon of the flag of Germany Umgang mit Erprobungsfahrzeugen
Icon der Flagge des Vereinigten Königreichs Handling of test vehicles

  • Alle Anforderungen, die für das Prüfziel „Informationen mit hohem Schutzbedarf“ gelten

  • Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs „Prototypenschutz“:

    • 8.2 Organisatorische Anforderungen

    • 8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen

    • 8.4 Anforderungen für Erprobungsfahrzeuge

6.

Icon of the flag of Germany Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings
Icon der Flagge des Vereinigten Königreichs Protection of prototypes during events and film or photo shootings

  • Alle Anforderungen, die für das Prüfziel „Informationen mit hohem Schutzbedarf“ gelten

  • Außerdem die Anforderungen in den folgenden Kapiteln des Anforderungskatalogs „Prototypenschutz“:

    • 8.2 Organisatorische Anforderungen

    • 8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen

    • 8.5 Anforderungen für Veranstaltungen und Shootings

7.

Icon of the flag of Germany Datenschutz
Icon der Flagge des Vereinigten Königreichs Data protection

  • Alle Anforderungen, die für das Prüfziel „Informationen mit hohem Schutzbedarf“ gelten

  • Alle Anforderungen aus dem Kriterienkatalog „Datenschutz“

8.

Icon of the flag of Germany Datenschutz bei besonderen Kategorien personenbezogener Daten
Icon der Flagge des Vereinigten Königreichs Data protection with special categories of personal data

  • Alle Anforderungen, die für das Prüfziel „Informationen mit sehr hohem Schutzbedarf“ gelten

  • Alle Anforderungen aus dem Kriterienkatalog „Datenschutz“

Der folgende Screenshot zeigt die Hauptelemente der Fragen in den einzelnen Kriterienkatalogen. Wir erklären alle Elemente weiter unten.

Screenshot: Hauptelemente der Fragen in den ISA-Kriterienkatalogen
Abbildung 14. Screenshot: Hauptelemente der Fragen in den ISA-Kriterienkatalogen
5.2.2.2. Kapitel

Jeder Kriterienkatalog fasst die Fragen in Kapiteln zusammen.

Beispiel: „4 Identity and Access Management“

Die Gruppierung basiert auf den verschiedenen Aspekten von Informationssicherheitsmanagementsystemen.

5.2.2.3. Kontrollfragen

Die Fragen zu den einzelnen Kriterienkatalogen finden Sie in den jeweiligen Excel-Tabellenblättern.

Beispiel: „4.1.2 Inwieweit wird der Zugang von Benutzern zu Netzwerkdiensten, IT-Systemen und IT-Anwendungen gesichert?”

Die Kontrollfragen werden auch als „Controls“ bezeichnet. Das ist „Prüfdienstleister-Jargon“. Die ISO-Standards, auf denen der ISA aufbaut, verwenden den Begriff „Control“.

5.2.2.4. Formularfelder für die Selbsteinschätzung

Zwischen den Spalten „Reifegrad“ und „Kontrollfrage“ befinden sich Formularfelder, die Sie für eine Selbsteinschätzung ausfüllen müssen:

Tabelle 10. Formularfelder in der Selbsteinschätzung und ihr Zweck
Formularfeld Zweck Pflichtfeld?

Beschreibung der Umsetzung
(Spalte F)

Hier sollten Sie kurz beschreiben, was Sie umgesetzt haben, um diese Frage in Ihrem Unternehmen zu beantworten.

Ja

Referenz Dokumentation
(Spalte G)

Hier sollten Sie angeben, in welchen Dokumenten Sie die Umsetzung nachweisen.

Ja

Feststellungen/Prüfergebnis
(Spalte H)

Hier können Sie alle Feststellungen aufschreiben, bei denen Ihrer Meinung nach eine Lücke zwischen dem, was sein sollte und dem, was ist, besteht.

Nein

Nur die kurze Beschreibung Ihrer Umsetzung und der Verweis auf Ihre Dokumentation sind Pflichtangaben. Diese Informationen helfen unseren TISAX-Prüfdienstleistern, Ihr Unternehmen besser zu verstehen und die Prüfung vorzubereiten.

Es gibt weitere optionale Spalten, um Sie bei Ihrer Selbsteinschätzung zu unterstützen:

  • Maßnahmen/Empfehlungen (Spalte R)

  • Datum der Feststellung (Spalte S)

  • Datum der Erledigung (Spalte T)

  • Verantwortliche Abteilung (Spalte U)

  • Kontakt (Spalte V)

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Wenn Sie die heruntergeladene Excel-Datei öffnen und eines der Kriterienkatalog-Tabellenblätter auswählen (z. B. Informationssicherheit), werden Sie wahrscheinlich nicht sofort die Formularfelder für die Selbsteinschätzung sehen. Um sie anzuzeigen, müssen Sie auf die Gruppierungsschaltfläche für die Ebene „2“ klicken[20]. Sie finden die Schaltfläche ein wenig oberhalb und links von Zelle C1. Dadurch wird die Ansicht erweitert, um die Formularfelder für die Selbsteinschätzung anzuzeigen.

Screenshot: Excel-Gruppierungsschaltfläche

Ein weiterer Tipp ist, mit den Pfeiltasten nach unten zu scrollen. Da die Zellen sehr groß sind, kann das Scrollen mit dem Scrollbalken sehr gute feinmotorische Fähigkeiten erfordern. Wenn Sie die Scroll-Funktion Ihres Zeigegeräts verwenden, könnten Sie außerdem unfreiwillig einige der größeren Zellen „überspringen“.

5.2.2.5. Ziel

Rechts der Spalte „Kontrollfrage“ befindet sich die Spalte „Ziel“ (Spalte J). Deren Inhalt beschreibt, was Sie in Bezug auf diesen Aspekt Ihres Informationssicherheitsmanagements erreichen müssen.

Beispiel (zur Kontrollfrage 4.1.2): „Um die Berechtigung für den physischen Zutritt wie auch elektronischen Zugang zu prüfen, werden oft Identifikationsmittel wie Schlüssel, Sichtausweise oder kryptographische Tokens verwendet. Die Schutzmerkmale sind nur dann verlässlich, wenn der Umgang mit solchen Identifikationsmitteln adäquat gehandhabt wird.“

5.2.2.6. Anforderungen

Um das Ziel zu erreichen, wird von Ihnen erwartet, diese Anforderungen zu erfüllen.

Die Anforderungen sind über vier Spalten verteilt:

  1. Anforderungen (muss) (Spalte K)

  2. Anforderungen (sollte) (Spalte L)

  3. Zusatzanforderungen bei hohem Schutzbedarf (Spalte M)

  4. Zusatzanforderungen bei sehr hohem Schutzbedarf (Spalte N)

Sie müssen alle Anforderungen bis zu dem Schutzbedarf erfüllen, den Sie erreichen müssen (welchen Sie aus Ihrem Prüfziel ableiten können).

Weitere Informationen zu den ISA-Definitionen der Anforderungsstufen "muss" und "soll" finden Sie unter "Schlüsselbegriffe" im Excel-Tabellenblatt "Definitionen".

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Es ist sehr wichtig, dass Sie verstehen, dass selbst die Erfüllung aller Anforderungen NICHT automatisch garantiert, dass der Prüfdienstleister bestätigt, dass Sie das Ziel erreichen.

Die Anforderungen und deren Formulierung basieren auf einer theoretischen Umsetzung durch ein fiktionales Durchschnittsunternehmen unbekannter Größe.

Der Prüfdienstleister muss immer das Ziel gegen die einzigartige Umsetzung in Ihrem Unternehmen abwägen. Was für das durchschnittliche Unternehmen angemessen ist, kann in Ihrer speziellen Situation nicht ausreichend sein.

Im Zweifelsfall können Sie sich von unseren TISAX-Prüfdienstleistern beraten lassen.

5.2.2.7. Reifegrade

Der ISA verwendet das Konzept der „Reifegrade“, um die Qualität aller Aspekte Ihres Informationssicherheitsmanagementsystems zu bewerten. Je ausgereifter Ihr Informationssicherheitsmanagementsystem ist, desto höher wird Ihr Reifegrad sein.

Der ISA unterscheidet sechs Reifegrade. Die detaillierte Definition finden Sie im Excel-Tabellenblatt „Reifegrade“. Für eine konsolidierte Sicht auf die Reifegrade zitieren wir aus den Kurzbeschreibungen des ISA:

Tabelle 11. Kurzbeschreibung der Reifegrade
Reifegrad In einem Wort Beschreibung

0

Unvollständig

Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet das Ziel zu erreichen.

1

Durchgeführt

Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt und es existieren Indizien das er sein Ziel erreicht.

2

Gesteuert

Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden.

3

Etabliert

Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.

4

Vorhersagbar

Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss. (Key Performance Indicators)

5

Optimierend

Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben.

Sie müssen den Reifegrad Ihres Informationssicherheitsmanagementsystems für jede Frage bewerten.
Geben Sie Ihren Reifegrad in der Spalte „Reifegrad“ (Spalte E) ein.

Screenshot: Beispiel für die Reifegrade-Auswahl im ISA-Dokument (Excel-Tabellenblatt „Informationssicherheit“)
Abbildung 15. Screenshot: Beispiel für die Reifegrade-Auswahl im ISA-Dokument (Excel-Tabellenblatt „Informationssicherheit“)

Weitere Informationen zu den Zielreifegraden und deren Auswirkungen auf Ihr Prüfergebnis finden Sie in Abschnitt 5.2.4, “Interpretieren Sie das Ergebnis der Selbsteinschätzung”.


Mit diesem besseren Verständnis sind Sie nun bereit, mit der Selbsteinschätzung zu beginnen.

5.2.3. Führen Sie die Selbsteinschätzung durch

Öffnen Sie die Excel-Datei und gehen Sie alle Kontrollfragen der einzelnen Kriterienkataloge durch, die für Ihr(e) Prüfziel(e) gelten, und ermitteln Sie den Reifegrad, der dem aktuellen Stand Ihres Informationssicherheitsmanagementsystems entspricht. Tun Sie dies nach bestem Wissen und Gewissen. Es gibt kein Richtig oder Falsch in diesem Stadium.

Nachdem Sie die Selbsteinschätzung abgeschlossen haben, sollte die Spalte „Ergebnis“ (H) im Excel-Tabellenblatt „Ergebnisse (ISA5)“ vollständig ausgefüllt sein, entweder mit Zahlen (0-5) oder „n.a.“ (wie in Icon der Flagge des Vereinigten Königreichs „not applicable“).

Screenshot: Beispiel für „Ergebnisse (ISA5)“-Tabellenblatt im ISA-Dokument
Abbildung 16. Screenshot: Beispiel für „Ergebnisse (ISA5)“-Tabellenblatt im ISA-Dokument

Wenn Sie Fragen zum ISA haben, sprechen Sie uns bitte an.

5.2.4. Interpretieren Sie das Ergebnis der Selbsteinschätzung

Die nächsten fünf Unterabschnitte erklären, wie Sie das Ergebnis Ihrer Selbsteinschätzung analysieren und interpretieren können. Die Analyse zeigt Ihnen, ob Sie für eine TISAX-Prüfung bereit sind oder (noch) nicht.

5.2.4.1. Analyse

Ihr Ergebniswert fasst das Ergebnis der Selbsteinschätzung zusammen.

Das Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad „) finden Sie im Excel-Tabellenblatt „Ergebnisse (ISA5)“ (Zelle D6). Wir werden die „Kürzung“ gleich erklären.

Screenshot: Ihr Ergebnis und das maximale Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“
Abbildung 17. Screenshot: Ihr Ergebnis und das maximale Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“, Zelle D6 und G6)

Um das Ergebnis Ihrer Selbsteinschätzung und Ihren Ergebniswert zu verstehen und anschließend zu interpretieren, müssen Sie zwischen zwei Analyse-Ebenen unterscheiden:

  1. Frage-Ebene
    Auf dieser Ebene finden Sie alle Fragen. Für jede Frage gibt es einen Zielreifegrad und Ihren Reifegrad.

  2. Ergebnis-Ebene
    Auf dieser Ebene finden Sie das Gesamtergebnis, das die Ergebnisse aller Fragen zusammenfasst. Es gibt ein maximales Ergebnis und Ihr Ergebnis.

Die folgende Abbildung zeigt die Analyse-Ebenen:

Analyse des Ergebnisses der Selbsteinschätzung auf Frage-Ebene und Ergebnis-Ebene
Abbildung 18. Analyse des Ergebnisses der Selbsteinschätzung auf Frage-Ebene und Ergebnis-Ebene

Die folgende Abbildung zeigt Ihnen, wo Sie die Ergebnisse auf der Ergebnis-Ebene auf der Frage-Ebene finden:

Ergebnis-Ebene und Frage-Ebene im Excel-Tabellenblatt „Ergebnisse (ISA5)“
Abbildung 19. Ergebnis-Ebene und Frage-Ebene im Excel-Tabellenblatt „Ergebnisse (ISA5)“

Die nächste Abbildung zeigt eine vereinfachte Darstellung der Analyse-Ebenen, den ISA-Zielvorgaben und Ihrer eigenen Ergebnisse:

Die Vorgaben und Ihr Ergebnis auf Frage- und Ergebnis-Ebene
Abbildung 20. Die Vorgaben und Ihr Ergebnis auf Frage- und Ergebnis-Ebene

In den folgenden Abschnitten finden Sie eine detaillierte Erläuterung zum Ergebnis und seiner Analyse.

5.2.4.2. Der Zielreifegrad (auf Frage-Ebene)

Der ISA definiert für jede Frage einen „Zielreifegrad“ von 3.

Weitere Informationen zur Definition der einzelnen Reifegrade finden Sie in Abschnitt 5.2.2, “Das ISA-Dokument verstehen”.

Der ISA definiert die Zielreifegrade im Excel-Tabellenblatt „Ergebnisse (ISA5)“ (ab Spalte G, Zeile 22; siehe Abbildung unten).

Die Zielreifegrad-Definitionen im Excel-Tabellenblatt „Ergebnisse (ISA5)“
Abbildung 21. Die Zielreifegrad-Definitionen im Excel-Tabellenblatt „Ergebnisse (ISA5)“
5.2.4.3. Ihr Ergebnis (auf Frage-Ebene)

Um TISAX-Labels zu erhalten, benötigen Sie in der Regel Reifegrade für jede Frage, die gleich dem oder höher als der Zielreifegrad sind.

Beispiel: Wenn der Zielreifegrad für Frage X „3“ ist, sollte Ihr Reifegrad für diese Frage „3“ oder höher sein. Wenn Ihr Reifegrad für diese Frage unter „3“ liegt, erhalten Sie möglicherweise keine TISAX-Labels.

Dies muss für jede Frage einzeln erfolgen. Wenn der Zielreifegrad für zwei Fragen „3“ ist, können Sie einen Reifegrad von „2“ in einer Frage nicht mit einem Reifegrad von „4“ in der anderen Frage ausgleichen.

Das ISA-Dokument übernimmt automatisch Ihre Reifegrade aus dem Excel-Tabellenblatt „Informationssicherheit“ (Spalte E) in das Excel-Tabellenblatt „Ergebnisse (ISA5)“ (ab Spalte H, Zeile 23):

Ihr Reifegrad im Excel-Tabellenblatt „Ergebnisse (ISA5)“
Abbildung 22. Ihr Reifegrad im Excel-Tabellenblatt „Ergebnisse (ISA5)“

Ihr Reifegrad unterliegt einer Berechnung, bevor das ISA-Dokument ihn in Ihrem Ergebniswert zusammenfasst. Im Prinzip wird Ihr Reifegrad auf den Zielreifegrad „gekürzt“. Dies wird gemacht, damit Fragen, bei denen Ihr Reifegrad über dem Zielreifegrad liegt, keine Fragen kompensieren, bei denen Ihr Reifegrad unter dem Zielreifegrad liegt.

So berechnet es der ISA Ihr Ergebnis auf der Frage-Ebene:

  • Es nimmt Ihren Reifegrad und vergleicht ihn mit dem Zielreifegrad der Frage.

  • Liegt Ihr Reifegrad über dem Zielreifegrad, wird er auf den Zielreifegrad „gekürzt“.

  • Liegt Ihr Reifegrad unter oder ist gleich dem Zielreifegrad, passiert für diese Frage nichts.

Beispiel (siehe Abbildung unten): Der Zielreifegrad ist „3“. Ihr Reifegrad ist „4“. Ihr „gekürztes Ergebnis“ für diese Frage ist „3“.

Kürzungsberechnung Ihres Ergebnisreifegrads
Abbildung 23. Kürzungsberechnung Ihres Ergebnisreifegrads

Die folgende Abbildung zeigt, dass der ISA Ihren Reifegrad kürzt, wenn er über dem Zielreifegrad liegt (die Farben Grün, Orange und Rot passen zu den in der Spalte „Ergebnis“ verwendeten Farben, siehe Abbildung 22, “Ihr Reifegrad im Excel-Tabellenblatt „Ergebnisse (ISA5)“”).

Illustration der Kürzung mit den Farben
Abbildung 24. Illustration der Kürzung mit den Farben, die im Excel-Tabellenblatt „Ergebnisse (ISA5)“ benutzt werden

Im Folgenden finden Sie eine weitere Möglichkeit, die Reifegrade auf Frage-Ebene zu betrachten. Die Farben der Kreise zeigen den Zielreifegrad oder den „Abstand“ dazu an (Beispiel: der Kreis ist Orange, wenn der Reifegrad „-1“ unter dem Zielreifegrad liegt). Die Häkchen zeigen Ihren Reifegrad an.

Reifegrade auf Frage-Ebene
Abbildung 25. Reifegrade auf Frage-Ebene
Icon für Info-Boxen

Bitte beachten Sie:

Es ist möglich, eine TISAX-Prüfung erfolgreich zu bestehen, auch wenn Sie nicht bei allen Fragen den Zielreifegrad erreichen. Die entscheidende Frage in solchen Fällen ist, ob Sie ein relevantes Risiko haben. Wenn Ihr Reifegrad unter dem Zielwert liegt, aber kein Risiko besteht, kann dies dennoch ausreichend sein.

5.2.4.4. Das Ziel (auf Ergebnis-Ebene)

Der ISA definiert einen „idealen“ Gesamtreifegrad — das „maximale Ergebnis“ (oder „Maximal erreichbar“, Zelle G6).

Das maximale Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“)
Abbildung 26. Das maximale Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“)

Theoretisch ist dieser Gesamtreifegrad der Durchschnitt aller Zielreifegrade (auf Frage-Ebene). Das ergäbe ein maximales Ergebnis von „3,0“.

Er ist aber nur „3,0“, wenn alle Fragen auf Ihre Situation zutreffen. Sobald eine Frage nicht auf Ihre Situation zutrifft, ändert sich der Durchschnitt und das maximale Ergebnis ist niedriger als „3,0“.

Eine Darstellung von weiter oben aufgreifend (Abbildung 25, “Reifegrade auf Frage-Ebene”) können Sie unten sehen, was in den Mittelwert für das maximale Ergebnis einfließt:

Das maximale Ergebnis (auf Ergebnis-Ebene)
Abbildung 27. Das maximale Ergebnis (auf Ergebnis-Ebene)
5.2.4.5. Ihr Ergebnis (auf Ergebnis-Ebene)

Ihr Gesamtergebnis („Ergebnis mit Kürzung auf Zielreifegrad“, Zelle D6):

  • fasst den Gesamtreifegrad Ihres Informationssicherheitsmanagementsystems zusammen.

  • ist der Durchschnitt aller Ihrer Reifegrade (auf Frage-Ebene).

  • kann kleiner oder gleich dem maximalen Ergebnis sein.

  • sollte so nahe wie möglich am maximalen Ergebnis liegen. Je mehr Ihr Ergebnis unter dem maximalen Ergebnis liegt, desto unwahrscheinlicher ist es, dass Sie in der Lage sind, TISAX-Labels zu erhalten.

Ihr Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“)
Abbildung 28. Ihr Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“)

Wieder eine weiter oben gezeigte Darstellung aufgreifend (Abbildung 25, “Reifegrade auf Frage-Ebene”) können Sie unten sehen, was in den Mittelwert für Ihr Ergebnis einfließt:

Ihr Ergebnis (auf Ergebnis-Ebene)
Abbildung 29. Ihr Ergebnis (auf Ergebnis-Ebene)

Ihr Ergebnis sagt Ihnen, ob Sie:

  • für eine TISAX-Prüfung bereit sind.

  • mit TISAX-Labels rechnen können.

Liegt Ihr Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) unter „3,0“, dann erreicht Ihr Reifegrad zumindest für eine Frage nicht den Zielreifegrad. In diesem Fall müssen Sie wahrscheinlich Ihr Informationssicherheitsmanagementsystem verbessern, bevor Sie für Ihre TISAX-Prüfung bereit sind.

Icon für Info-Boxen

Bitte beachten Sie:

Für das Gesamtergebnis gibt es formale Grenzen für einen akzeptablen „Abstand“ zwischen Ihrem Ergebnis und dem maximalen Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“).

Wenn Ihr Ergebnis mehr als:

  • 10 % darunter liegt, wird das Gesamtprüfergebnis „Nebenabweichend“ sein.

  • 30 % darunter liegt, wird das Gesamtprüfergebnis „Hauptabweichend“ sein.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Ein Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) von „3“ ist keine Garantie dafür, dass Sie die TISAX-Prüfung ohne negative Feststellungen bestehen. Bitte beachten Sie, dass der Prüfdienstleister bestimmte Aspekte möglicherweise anders sieht als Sie.

5.2.4.6. Sind Sie bereit?

Der Zweck der obigen Analyse ist festzustellen, ob Sie für eine TISAX-Prüfung bereit sind.

Sie sind definitiv für eine TISAX-Prüfung bereit, wenn Ihr Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) (nahezu) bei „3,0“ liegt. In diesem Fall sind alle Werte in der Spalte „Ergebnisse“ (H) grün (kein Orange, kein Rot).

Andernfalls müssen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung weiter befassen (siehe Abschnitt 5.2.5, “Befassen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung”).

Die Abbildung unten zeigt das ISA-Spinnennetzdiagramm aus dem Excel-Tabellenblatt „Ergebnisse (ISA5)“. Die grüne Linie markiert den Zielreifegrad pro Kapitel. Wenn Ihre Reifegrade auf oder über dieser Linie liegen, sind Sie bereit für eine TISAX-Prüfung. Wenn sie unterhalb dieser Linie liegen, reicht dies möglicherweise nicht aus, um TISAX-Labels zu erhalten.

Screenshot: Erfüllung der Zielreifegrade im ISA-Spinnennetzdiagramm (Excel-Tabellenblatt „Ergebnisse (ISA5)“)
Abbildung 30. Screenshot: Erfüllung der Zielreifegrade im ISA-Spinnennetzdiagramm (Excel-Tabellenblatt „Ergebnisse (ISA5)“)

Wenn Sie das ISA-Spinnennetz auf die Frage-Ebene „entfalten“, erhalten Sie eine ähnliche Grün/Rot-Darstellung auf der Frage-Ebene:

„Entfalten“ des ISA-Spinnennetzdiagramms
Abbildung 31. „Entfalten“ des ISA-Spinnennetzdiagramms

5.2.5. Befassen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung

Das Ergebnis Ihrer Selbsteinschätzung kann zeigen, dass Sie Ihr Informationssicherheitsmanagementsystem verbessern müssen, bevor Sie bereit sind, TISAX-Labels zu erhalten.

Bei einigen Lücken zwischen Ihrem Reifegrad und dem Zielreifegrad wissen Sie vielleicht schon, wie Sie diese schließen können. Für andere benötigen Sie möglicherweise externe Beratung. In diesem Fall können Sie sich von unseren TISAX-Prüfdienstleistern beraten lassen. TISAX gestattet ihnen diese Beratung, verpflichtet sie aber nicht zur Beratung. Bitte beachten Sie, dass Prüfdienstleister, die für Sie beratend tätig sind, keine TISAX-Prüfungen mehr für Sie durchführen können.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sich vor der Prüfung nicht richtig mit dem Ergebnis der Selbsteinschätzung auseinander zu setzen ist für viele Unternehmen ein großer Stolperstein. Bitte unterschätzen Sie nicht den Aufwand, Ihr Informationssicherheitsmanagementsystem den Anforderungen entsprechend zu gestalten. Viele Unternehmen müssen ausdrücklich ein umfangreiches Projekt aufsetzen, um sich auf eine TISAX-Prüfung vorzubereiten.

Icon für Info-Boxen

Bitte beachten Sie:

Wenn Sie auf der Suche nach externer Hilfe sind, um den TISAX-Prozess zu durchlaufen, werden Sie feststellen, dass verschiedene Unternehmen Beratungs- und Schulungsdienste anbieten. Alle diese Unternehmen sind nicht mit uns verbunden.

Stand heute:

  • bieten wir keine offiziellen Schulungen an, weder direkt noch durch Dritte.

  • machen wir keine Aussagen zur Qualität der Dienstleistungen Dritter und raten daher zu Vorsicht.

5.3. Auswahl eines Prüfdienstleisters

Nur von uns zugelassene Prüfdienstleister können TISAX-Prüfungen durchführen[21]. TISAX-Prüfdienstleister dürfen für Sie nur dann TISAX-Prüfungen durchführen, wenn sie zuvor keine Beratungsaufträge bei Ihnen hatten.

Alle unsere TISAX-Prüfdienstleister sind verpflichtet, TISAX-Prüfungen ausschließlich für solche Unternehmen durchzuführen, die registrierte TISAX-Teilnehmer sind.

Icon für Info-Boxen

Bitte beachten Sie:

Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt muss Ihr Prüf-Scope den Status „Approved“ oder „Registered“ haben.

Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.5, “Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)”.

5.3.1. Ansprechpartner

Sobald Sie registriert sind, können Sie alle TISAX-Prüfdienstleister ansprechen und Angebote anfordern. Deren Ansprechpartner finden Sie in der Bestätigungs-E-Mail, die Sie erhalten haben[22] (siehe Abschnitt 4.5.8, “Bestätigungs-E-Mail”).

Icon für Info-Boxen

Bitte beachten Sie:

Bitte fordern Sie Angebote von unseren TISAX-Prüfdienstleistern erst an, NACHDEM Sie sich registriert haben. Die Prüfdienstleister kontrollieren, ob eine Registrierung vorhanden ist. Sie müssen Anfragen ohne Registrierung ablehnen.

Aus diesem Grund erhalten Sie die Ansprechpartner der Prüfdienstleister nur in der Bestätigungs-E-Mail (und nicht über unsere öffentliche Website).

5.3.2. Abdeckung

Obwohl derzeit viele Prüfdienstleister-Ansprechpartner in Deutschland angesiedelt sind, ist es wichtig zu verstehen, dass alle unsere Prüfdienstleister grundsätzlich dazu in der Lage sind, TISAX-Prüfungen weltweit durchzuführen. Die meisten von ihnen haben in vielen Ländern sogar eigene Mitarbeiter.

Auf unserer Website bieten wir Ihnen eine Seite an, auf der Sie Ihr Land auswählen und dann sehen können, welcher Prüfdienstleister über lokale Vertriebsmitarbeiter und/oder lokale Auditoren verfügt (Icon der Flagge von Deutschland enx.com/de-de/TISAX/xap/).

5.3.3. Angebote anfordern

Damit unsere TISAX-Prüfdienstleister den zu erwartenden Prüfaufwand genau ermitteln können, sollten Sie immer Ihr „TISAX Scope Excerpt“ zur Verfügung stellen.

Miniaturansicht eines „TISAX Scope Excerpt“ (erste Seite)
Abbildung 32. Miniaturansicht eines „TISAX Scope Excerpt“ (erste Seite)

Weitere Informationen finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.

Icon für Info-Boxen

Bitte beachten Sie:

Unparteilichkeit ist ein wesentliches Merkmal unserer TISAX-Prüfdienstleister. Sie werden sicherstellen, dass kein Interessenkonflikt besteht. Sie möchten das gegebenenfalls bei der Anfrage bedenken. Wenn Ihr Unternehmen in irgendeiner Weise mit einem Prüfdienstleister verbunden ist, können Sie nicht erwarten, von ihm geprüft zu werden.

5.3.4. Beurteilen der Angebote

Sie können zwischen allen unseren TISAX-Prüfdienstleistern frei wählen. Sie sind alle an den gleichen Vertrag gebunden. Sie alle führen die Prüfungen nach den gleichen Kriterien und mit den gleichen Prüfmethoden durch. In Bezug auf das Prüfergebnis gibt es keinen Unterschied, egal für welchen Prüfdienstleister Sie sich entscheiden. Ihr Prüfergebnis wird von allen TISAX-Teilnehmern akzeptiert.

Neben offensichtlichen Faktoren wie Preis, Ruf und Sympathie gibt es bei einem Angebot einige Aspekte, auf die Sie achten können:

  • Verfügbarkeit: Wie schnell kann der Prüfprozess beginnen? Dies kann ein wichtiger Aspekt sein, wenn eine TISAX-Prüfung für Sie dringend ist.

  • Reisekosten für Vor-Ort-Termine: Prüfdienstleister mit Niederlassungen in Ihrem Land haben möglicherweise geringere Reisekosten.

  • Sprache: Werden Sie und jeder andere Befragte in Ihrem Unternehmen in der Lage sein, mit dem Auditor in Ihrer Muttersprache zu kommunizieren?

  • Welche Prüfungen sind enthalten?
    Weitere Informationen zu Prüfungen finden Sie in Abschnitt 5.4.2, “TISAX-Prüfungstypen und -elemente”.
    In der Regel beinhalten die Angebote eine Erstprüfung und die Maßnahmenplanprüfung. Da der Aufwand für Follow-up-Prüfungen schwer vorhersehbar ist, werden sie in der Regel erst nach Abschluss der anderen Prüfungen angeboten.

Letztendlich wird es auf das Vertrauen ankommen. Sie müssen ein Vertrauensverhältnis zu Ihrem Prüfdienstleister aufbauen, da er einen tiefen Einblick in Ihr Unternehmen bekommen wird.

Icon für Info-Boxen

Bitte beachten Sie:

Wir raten davon ab, Dinge wie ein “Pre-Assessment“ anzufragen oder zu beauftragen. Wir verstehen zwar den Wunsch, die Prüfung auf diese Weise vorzubereiten, aber in fast allen Fällen ist es sinnvoller, sofort mit der Prüfung zu beginnen. In Bezug auf den Preis sollte es keinen großen Unterschied zwischen einem “Pre-Assessment“ und der tatsächlichen Prüfung geben. Und bei letzterer hat man immer die Möglichkeit, die Befunde mit Abhilfemaßnahmen zu korrigieren. Dies wird klarer, wenn Sie den nächsten Abschnitt gelesen haben.

Icon für Info-Boxen

Bitte beachten Sie:

Jede Prüfung durchläuft einen Lebenszyklus.

Weitere Informationen zum Status einer Prüfung finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.

Nachdem Sie sich für einen unserer TISAX-Prüfdienstleister entschieden haben, können Sie endlich den TISAX-Prüfprozess anstoßen.

5.4. TISAX-Prüfprozess

5.4.1. Überblick

Der TISAX-Prüfprozess besteht aus mehreren Typen von Prüfungen. In den meisten Fällen wird es mehr als eine Prüfung geben.

Sie sollten den Prüfprozess als eine verschachtelte Folge von Schritten betrachten:

  • Sie bringen Ihr Informationssicherheitsmanagementsystem in Bestform.

  • Der Prüfdienstleister prüft, ob Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt. Vielleicht findet er Lücken.

  • Anschließend schließen Sie die Lücken innerhalb von definierten Zeiträumen.

  • Der Prüfdienstleister prüft dann erneut, ob Sie die Lücken geschlossen haben.

Diese Schritte werden abwechselnd so lange durchgeführt, bis alle Lücken geschlossen sind.

Wichtig dabei ist zu verstehen, dass Sie jeden Teilschritt im Prüfprozess einleiten. Der gesamte Prüfprozess unterliegt Ihrer Kontrolle. Und natürlich liegt es in Ihrer Hand, die Prüfungsverfahren zu stoppen und zu beenden, wann immer Sie wollen.[23]

5.4.2. TISAX-Prüfungstypen und -elemente

Der TISAX-Prüfprozess besteht aus diesen drei Typen von TISAX-Prüfungen:

  • Erstprüfung

  • Maßnahmenplanprüfung

  • Follow-up-Prüfung[24]

Mit der Erstprüfung beginnt der TISAX-Prüfprozess.

Die beiden anderen TISAX-Prüfungen können stattfinden und das gegebenenfalls mehrfach. Sie werden entweder stattfinden:

  • bis Sie alle Lücken geschlossen haben

  • oder Sie den TISAX-Prüfprozess verlassen

  • oder Sie erreichen den maximalen Zeitraum von neun Monaten (woraufhin eine erneute Erstprüfung erforderlich wird).

Sämtliche TISAX-Prüfungen werden in den nächsten Abschnitten beschrieben.

Icon für Info-Boxen

Bitte beachten Sie:

Jede Prüfung durchläuft einen Lebenszyklus.

Weitere Informationen zum Status einer Prüfung finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.

5.4.3. TISAX-Prüfungselemente

Jede TISAX-Prüfung besteht aus den folgenden Elementen:

  • Offizielle Eröffnungsbesprechung[25][26]

    • Sie beabsichtigt, alle organisatorischen Themen abzudecken.

    • Sie muss nicht unbedingt als persönliches Treffen stattfinden.

    • Die Themen können in einem Durchgang oder über mehrere Termine verteilt behandelt werden.

    • Sie ist ein „logischer Container“ für alle organisatorischen Vor-Prüfungsthemen

  • Prüfverfahren

    • Ihr Prüfdienstleister prüft alle Anforderungen.

    • Die Auswahl der Prüfmethoden richtet sich nach dem jeweiligen Assessment-Level.

  • Offizielle Abschlussbesprechung[27]

    • Sie bildet den Abschluss einer TISAX-Prüfung.

    • Der Prüfdienstleister stellt seine Feststellungen vor.

    • Der Prüfdienstleister gibt das Prüfergebnis bekannt.

    • Sie muss nicht unbedingt als persönliches Treffen stattfinden.

    • Sie ist ein „logischer Container“ für alle organisatorischen Nach-Prüfungsthemen.

Nach der „Abschlussbesprechung“ erstellt und sendet Ihnen der Prüfdienstleister den Entwurf des aktualisierten „TISAX-Berichts“. Sie können Einwände erheben, wenn Sie der Meinung sind, dass der Prüfdienstleister etwas falsch verstanden hat[28]. Anschließend erstellt der Prüfdienstleister den abschließenden „TISAX-Bericht“.

Alle diese Elemente werden in den nächsten Abschnitten beschrieben.

5.4.4. Zur Übereinstimmung mit den Anforderungen („Konformität“)

Bevor wir den TISAX-Prüfprozess weiter skizzieren, möchten wir Ihnen ein Schlüsselkonzept erläutern, das für Ihr Verständnis der nächsten Abschnitte wesentlich ist.

Ziel einer TISAX-Prüfung ist es, festzustellen, ob Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt. Der Prüfdienstleister prüft, ob Ihr Informationssicherheitsmanagementsystem mit den Anforderungen übereinstimmt (Icon der Flagge des Vereinigten Königreichs to conform).

Schritt 1: Die Prüfungen werden für jede anzuwendende Anforderung einzeln durchgeführt.

Wenn Ihre Herangehensweise mit sämtlichen Anforderungen übereinstimmt, bestehen Sie die Prüfung und erhalten die TISAX-Labels, die Ihren Prüfzielen entsprechen.

Wenn Ihre Herangehensweise mit einer bestimmten Anforderung nicht übereinstimmt, unterscheidet der Prüfdienstleister zwei Arten von Abweichungen (Icon der Flagge des Vereinigten Königreichs „non-conformity“):

  1. Nebenabweichung (Icon der Flagge des Vereinigten Königreichsminor non-conformity“)
    Dies gilt, wenn die Abweichung weder die Gesamtwirksamkeit Ihres Informationssicherheitsmanagementsystems in Frage stellt, noch ein erhebliches Informationssicherheitsrisiko darstellt.
    Beispiele: Vereinzelte oder sporadische Fehler, Umsetzungsdefizite

  2. Hauptabweichung (Icon der Flagge des Vereinigten Königreichsmajor non-conformity“)
    Dies gilt, wenn die Abweichung Zweifel an der Gesamtwirksamkeit Ihres Informationssicherheitsmanagementsystems aufkommen lässt oder wenn sie erhebliche Informationssicherheitsrisiken verursacht.
    Beispiele: Systematische Abweichungen, Umsetzungsdefizite, die kritische Risiken für die Sicherheit vertraulicher Informationen verursachen, Umsetzungsdefizite, die nicht durch geeignete Abhilfemaßnahmen behoben werden

Icon für Info-Boxen

Bitte beachten Sie:

Für das Prüfergebnis wird alles unterhalb der vollen oder idealen Übereinstimmung mit den Anforderungen als „Feststellung“ bezeichnet. TISAX unterscheidet vier Arten von Feststellungen:

  • Beobachtung

  • Identifiziertes Verbesserungspotential

  • Nebenabweichung

  • Hauptabweichung

Nur die beiden Fälle von Abweichung sind für das Prüfergebnis relevant.

Schritt 2: Alle Ergebnisse des vorherigen Schrittes „pro Anforderung“ werden in das Gesamtprüfergebnis einbezogen.

Das Gesamtprüfergebnis kann sein:

  1. Konform (Icon der Flagge des Vereinigten Königreichs conform)
    Das Gesamtprüfergebnis ist „Konform“. Alle Anforderungen sind erfüllt.

  2. Nebenabweichend (Icon der Flagge des Vereinigten Königreichs minor non-conform)
    Das Gesamtprüfergebnis ist „Nebenabweichend“, wenn Sie mindestens eine Nebenabweichung für eine Anforderung haben.

  3. Hauptabweichend (Icon der Flagge des Vereinigten Königreichs major non-conform)
    Das Gesamtprüfergebnis ist „Hauptabweichend“, wenn Sie mindestens eine Hauptabweichung für eine Anforderung haben.
    (Ohne einen genehmigten Maßnahmenplan führt jede Abweichung zu einem „Hauptabweichend“-Gesamtprüfergebnis.)

Ist das Gesamtprüfergebnis:

  • „Nebenabweichend“, können Sie temporäre TISAX-Labels erhalten, bis alle Abweichungen beseitig sind.

  • „Hauptabweichend“, müssen Sie das entsprechende Problem zuerst lösen, bevor Sie TISAX-Labels erhalten können.
    Mit angemessenen Kompensationsmaßnahmen und Abhilfemaßnahmen, die vom Prüfdienstleister genehmigt wurden, ist es möglich, Ihr Gesamtprüfergebnis von „Hauptabweichend“ auf „Nebenabweichend“ zu ändern und somit temporäre TISAX-Labels zu erhalten.

Es ist wichtig zu verstehen, dass sich Ihr Gesamtprüfergebnis im Laufe des gesamten TISAX-Prüfprozesses verbessert.

Ein stark vereinfachtes Beispiel: Möglicherweise haben Sie nach der Erstprüfung ein Gesamtprüfergebnis von „Hauptabweichend“. Danach mindern Sie das entsprechende Risiko. Damit ändert sich Ihr Gesamtergebnis von „Hauptabweichend“ auf „Nebenabweichend“. Und ist das Risiko dann beseitigt, ist Ihr endgültiges Gesamtergebnis „Konform“.

All dies wird im Folgenden näher erläutert. Weitere Informationen zu den TISAX-Labels finden Sie weiter unten in Abschnitt 5.4.13, “TISAX-Labels”.

5.4.5. Ihre Vorbereitung auf den TISAX-Prüfprozess

Der Prüfdienstleister bereitet die Prüfung auf Basis Ihrer Selbsteinschätzung vor. Bedenken Sie daher, dass Sie Ihre Selbsteinschätzung vorab Ihrem Prüfdienstleister zur Verfügung stellen müssen. Die genauen Abgabetermine werden in der offiziellen Eröffnungsbesprechung vereinbart.

Eine gute Vorbereitung des Prüfdienstleisters reduziert den Zeitaufwand für die Prüfung. Neben der Selbsteinschätzung wird er vor der Prüfung auch darin referenzierte Unterlagen anfordern. Das kann eine Dokumentation sein, auf die Sie in der Selbsteinschätzung verwiesen haben, sowie weitere Dokumentation, die der Prüfdienstleister für relevant hält.

Auf der Grundlage dieser Informationen plant Ihr Prüfdienstleister das Prüfverfahren.

5.4.6. Erstprüfung

Dies ist die erste TISAX-Prüfung und markiert den offiziellen Beginn des TISAX-Prüfprozesses.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Die Erstprüfung markiert den Beginn von zwei wichtigen Zeiträumen:

  1. Maximale Gültigkeitsdauer von drei Jahren für TISAX-Labels

  2. Maximale Dauer von neun Monaten für den gesamten TISAX-Prüfprozess
    Dieser Zeitraum beginnt mit der Erstprüfung. Er endet mit der letzten Follow-up-Prüfung.
    Das ist eine harte Frist. Wenn Sie den Prüfprozess innerhalb dieses Zeitraums nicht erfolgreich abschließen, erhalten Sie keine TISAX-Labels.

Die Zeiträume starten beide am Tag der Abschlussbesprechung.

5.4.6.1. Die erste offizielle Eröffnungsbesprechung

Wie alle TISAX-Prüfungen beginnt die Erstprüfung mit einer offiziellen Eröffnungsbesprechung. Im Gegensatz zu den anderen TISAX-Prüfungstypen werden bei dieser Besprechung die meisten Themen behandelt, da es der Beginn der Zusammenarbeit mit Ihrem Prüfdienstleister ist. Die offizielle Eröffnungsbesprechung findet in der Regel als Telefon- oder Webkonferenz statt.

Der Zweck dieser Besprechung ist:

  • die Überprüfung der Voraussetzungen für die Prüfung

  • die Vorstellung des Prüfungsprojektleiters und des Prüfungsteams

  • die Planung der Prüfung


Die zu überprüfenden Voraussetzungen für die Prüfung sind:

  • Haben Sie eine gültige TISAX-Registrierung?

  • Ist der Vertrag zwischen Ihnen und Ihrem Prüfdienstleister unterzeichnet?


Die Planung der Prüfung umfasst:

  • Überprüfung des Prüf-Scopes

    • Ist Ihr Scope registriert und angemessen?[29]

  • Überprüfung der Prüfziele

    • Entspricht das Prüfziel Ihren eigenen und/oder den Anforderungen Ihres Partners?

  • Ihre Mitarbeiter

    • Wer muss aufgrund seiner ISMS-bezogenen Rolle in Ihrem Unternehmen für Interviews zur Verfügung stehen (telefonisch oder persönlich bei Vor-Ort-Prüfungen)?

  • Kommunikation zwischen Ihnen und dem Prüfdienstleister

    • Wie werden Sie vertrauliche Informationen austauschen? Sie werden vertrauliche Unterlagen an den Prüfdienstleister schicken und er schickt vertrauliche Prüfberichte.

    • Wer soll in die Kommunikation einbezogen werden?

    • Falls zutreffend: Wie werden Sie Telefon- und Webkonferenzen für Interviews durchführen?

  • Prüfschwerpunkte

    • Basierend auf Ihrer Selbsteinschätzung stellt der Prüfdienstleister die wichtigsten Themen vor, auf die er sich konzentrieren wird.

  • Zeitplanung

    • Abgabetermine für die einzureichenden Unterlagen (einschließlich Ihrer Selbsteinschätzung auf Basis des ISA und der dazugehörigen Unterlagen, falls nicht bereits verschickt)

    • Termine für Interviews und Vor-Ort-Prüfungen (falls zutreffend)

    • Abgabetermine für Prüfberichte (Entwurf und finale Version)

5.4.6.2. Prüfverfahren

Gemäß dem vorbereiteten Plan führt der Prüfdienstleister die Erstprüfung durch. Wie dies im Detail aussieht, hängt von Ihren Prüfzielen ab. Die Prüfung besteht hauptsächlich aus Telefonkonferenzen, Vor-Ort-Interviews und Vor-Ort-Prüfungen in unterschiedlicher Tiefe[30].

Der Prüfdienstleister stellt alle seine Feststellungen im Rahmen der Erstprüfung vor.

5.4.6.3. Abschlussbesprechung

In der Abschlussbesprechung fasst Ihr Prüfdienstleister alle seine Feststellungen noch einmal zusammen.

5.4.6.4. TISAX-Bericht

Nach der Abschlussbesprechung erstellt und schickt Ihnen der Prüfdienstleister den Entwurf des „TISAX-Berichts“. Sie können Einwände erheben, wenn Sie der Meinung sind, dass der Prüfdienstleister etwas falsch verstanden hat.[31] Anschließend erstellt der Prüfdienstleister den abschließenden „TISAX-Bericht“.

In dieser Phase wird das aktuelle Gesamtprüfergebnis entweder:

  • „Konform“, oder

  • „Hauptabweichend“ sein
    Nicht behandelte (Neben-)Abweichungen führen immer zu einem Gesamtprüfergebnis von „Hauptabweichend“. Ihr Gesamtprüfergebnis kann nur dann „Nebenabweichend“ sein, wenn Sie Maßnahmen definiert haben, die zur Beseitigung der Nebenabweichung(en) führen.
    Informationen dazu, wie Sie das erreichen, finden Sie in Abschnitt 5.4.8.4, “Temporäre TISAX-Labels”.

Wenn Ihr Gesamtprüfergebnis bereits bei der Erstprüfung „Konform“ ist, können Sie den restlichen Teil des Prüfungsabschnitts überspringen und mit dem Austausch Ihres Ergebnisses fortfahren.

Wenn Ihr Gesamtprüfergebnis „Hauptabweichend“ ist, ist es Ihre nächste Aufgabe, einen Plan zu erarbeiten, wie die Feststellungen zu behandeln sind und wie etwaige Lücken, die der Prüfdienstleister gefunden hat, geschlossen werden können. Der Plan wird offiziell als „Maßnahmenplan“ (Icon der Flagge des Vereinigten Königreichs „corrective action plan“) benannt.

5.4.7. Vorbereitung des Maßnahmenplans

Ihr Maßnahmenplan (Icon der Flagge des Vereinigten Königreichs „corrective action plan“) legt fest, wie Sie mit den Feststellungen der Erstprüfung umgehen wollen. Ihr Prüfdienstleister wird Ihren „Maßnahmenplan“ daraufhin prüfen, ob er angemessen ist (siehe nächster Abschnitt).

Für die Erstellung Ihres „Maßnahmenplan“ sollten Sie die folgenden Anforderungen berücksichtigen:

  • Abhilfemaßnahmen

    • Für jede Abweichung müssen Sie eine oder mehrere Abhilfemaßnahmen definieren, die Maßnahmen zur Beseitigung der Abweichung umsetzen.

  • Umsetzungsdatum

    • Sie müssen für jede Abhilfemaßnahme ein Umsetzungsdatum festlegen.

    • Die Umsetzungsfrist sollte ausreichend Zeit für eine gründliche Umsetzung der Maßnahmen bieten.

  • Kompensationsmaßnahmen

    • Für alle Abweichungen, die kritische Risiken verursachen, müssen Sie Kompensationsmaßnahmen definieren, die sich mit den Abweichungen befassen, bis die Abhilfemaßnahmen umgesetzt sind.

  • Umsetzungszeitraum

    • Für alle Abhilfemaßnahmen, deren Umsetzung länger als drei Monate dauert, müssen Sie die Umsetzungsfrist begründen.

    • Für alle Abhilfemaßnahmen, die länger als sechs Monate dauern, müssen Sie zusätzlich den Nachweis erbringen, dass eine schnellere Umsetzung nicht möglich ist.

    • Die Umsetzungsfrist für jegliche Abhilfemaßnahmen darf nicht länger als neun Monate sein.

Sobald Ihr Maßnahmenplan vollständig ist, können Sie die „Maßnahmenplanprüfung“ anfordern.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Wir empfehlen, so schnell wie möglich mit der Umsetzung zu beginnen. Das Ergebnis der „Maßnahmenplanprüfung“ muss nicht abgewartet werden.
Die „Maßnahmenplanprüfung“ findet in der Regel statt, sobald Sie Ihren Maßnahmenplan bei Ihrem Prüfdienstleister eingereicht haben.

5.4.8. Maßnahmenplanprüfung

Ziel der „Maßnahmenplanprüfung“ ist es, sicherzustellen, dass Ihr „Maßnahmenplan“ (siehe oben) die TISAX-Anforderungen erfüllt.

Sie reichen Ihren „Maßnahmenplan“ bei Ihrem Prüfdienstleister ein. Ihr Prüfdienstleister prüft den Plan entsprechend den Anforderungen (siehe unten). Erfüllt Ihr Plan die Anforderungen, erstellt Ihr Prüfdienstleister den aktualisierten „TISAX-Bericht“.

Diese Prüfung dauert üblicherweise nicht lange. Sie kann sowohl ein persönliches Treffen als auch eine Telefon- oder eine Webkonferenz sein.

5.4.8.1. Voraussetzungen für die Maßnahmenplanprüfung

Die Voraussetzungen für eine „Maßnahmenplanprüfung“ sind entweder:

  • eine in letzter Zeit durchgeführte[32] Erstprüfung mit Abweichungen

  • oder ein „Maßnahmenplan“, der bereits geprüft wurde, aber die Anforderungen nicht erfüllte.

5.4.8.2. Kombination mit Erstprüfung

Die „Maßnahmenplanprüfung“ ist nicht unbedingt ein eigenständiges Ereignis. Sie haben die Möglichkeit, Ihren „Maßnahmenplan“ bereits während der Abschlussbesprechung bei der Erstprüfung vorzulegen. Der Prüfdienstleister kann dann direkt die „Maßnahmenplanprüfung“ durchführen.

Wenn Sie die „Maßnahmenplanprüfung“ mit der Erstprüfung kombinieren und Ihr „Maßnahmenplan“ die Anforderungen erfüllt, können Sie mit dem Prüfdienstleister vereinbaren, dass Sie keinen Prüfbericht zur Erstprüfung benötigen. Stattdessen würde Ihr Prüfdienstleister lediglich den Prüfbericht zur „Maßnahmenplanprüfung“ erstellen. Mit diesem Bericht können Sie temporäre TISAX-Labels direkt erhalten.

5.4.8.3. Anforderungen an den Maßnahmenplan

Der Prüfdienstleister bewertet Ihren „Maßnahmenplan“ anhand der folgenden Anforderungen:

  • Maßnahmen sind angemessen

  • Kritische Risiken werden durch geeignete Kompensationsmaßnahmen entschärft[33]

  • Umsetzungsfristen sind angemessen

    • Umsetzungsfristen beginnen am Tag des Abschlusses der Erstprüfung.

  • Keine Umsetzungsfrist ist länger als:

    • drei Monate ohne zusätzliche Begründung

    • sechs Monate ohne zusätzliche Begründung und Nachweise

    • neun Monate

5.4.8.4. Temporäre TISAX-Labels

Wenn Ihr Gesamtprüfergebnis „Nebenabweichend“ ist, erhalten Sie temporäre TISAX-Labels.

Der Vorteil von temporären TISAX-Labels ist, dass Ihr Partner sie in der Regel unter der Bedingung akzeptiert, dass Sie später dauerhafte TISAX-Labels erhalten. Dies kann Ihnen helfen, wenn der Nachweis der Wirksamkeit Ihres Informationssicherheitsmanagementsystems gegenüber Ihrem Partner dringend ist.

Die Voraussetzung für temporäre TISAX-Labels ist ein Prüfbericht einer Maßnahmenplanprüfung mit dem Gesamtprüfergebnis „Nebenabweichend“.

Bezüglich der Gültigkeitsdauer sind temporäre TISAX-Labels:

  • laufen neun Monate nach der Abschlussbesprechung der Erstprüfung ab.

  • solange gültig, bis alle Abweichungen beseitigt sind.

    • Dies wird in der Follow-up-Prüfung festgestellt und im Prüfbericht der Follow-up-Prüfung dokumentiert.

  • nicht erneuerbar.

Icon für Info-Boxen

Bitte beachten Sie:

Die „Maßnahmenplanprüfung“ ist optional.

Sie können direkt zur Follow-up-Prüfung übergehen, sofern Sie:

  • keine temporären TISAX-Labels benötigen und

  • zuversichtlich sind, alle Maßnahmen umzusetzen, ohne dass Ihr Prüfdienstleister Ihrem Plan zustimmt

Nachdem Sie alle Maßnahmen abgeschlossen haben, sollten Sie die Follow-up-Prüfung beantragen.

5.4.9. Follow-up-Prüfung

Ziel der Follow-up-Prüfung ist es, zu bewerten, ob alle zuvor festgestellten Abweichungen beseitigt sind. Normalerweise beantragen Sie die Follow-up-Prüfung in der Regel, sobald Sie sicher sind, dass alle Abweichungen beseitigt sind.

Aber Sie können so viele Follow-up-Prüfungen durchführen, wie Sie benötigen. Wenn Ihr Prüfdienstleister im Rahmen einer Follow-up-Prüfung noch bestehende oder gar neue Abweichungen bescheinigt, aktualisieren Sie einfach Ihren Maßnahmenplan und starten diesen Teil des Prüfprozesses erneut.

Diese Prüfung kann sowohl ein persönliches Treffen als auch ein Telefon- oder Webkonferenz sein.

5.4.9.1. Zeitplanung

Ihr Prüfdienstleister kann jede Follow-up-Prüfung innerhalb von bis zu neun Monaten nach Abschluss der Erstprüfung durchführen[34].

5.4.9.2. Voraussetzungen

Wenn Sie keine temporären TISAX-Labels benötigen, können Sie direkt eine Follow-up-Prüfung beantragen. Sie brauchen keine „Maßnahmenplanprüfung“ vor einer Follow-up-Prüfung.

5.4.9.3. Ablauf von temporären TISAX-Labels

Falls Sie temporäre TISAX-Labels benötigen, sollten Sie sicherstellen, dass keine Lücke bis zum Erhalt der permanenten TISAX-Labels besteht. Wir empfehlen Ihnen daher, Ihre Follow-up-Prüfung rechtzeitig vor dem spätest möglichen Termin[35] zu beantragen. Der Grund dafür ist, dass Sie genügend Pufferzeit haben möchten, um kleinere Feststellungen, die bei einer Follow-up-Prüfung festgestellt wurden, anzugehen.

5.4.10. TISAX-Prüfprozessdiagramm

Die vorherigen Abschnitte sind nun im folgenden Prozessdiagramm zusammengefasst:

TISAX-Prüfprozessdiagramm (Teil 1/2)
Abbildung 33. TISAX-Prüfprozessdiagramm (Teil 1/2)
TISAX-Prüfprozessdiagramm (Teil 2/2)
Abbildung 34. TISAX-Prüfprozessdiagramm (Teil 2/2)

5.4.11. Assessment-ID

Jede TISAX-Prüfung eines Prüf-Scopes wird durch eine „Assessment-ID“ identifiziert. Diese ID bezieht sich auf Ihr Prüfergebnis und den entsprechenden TISAX-Bericht.

So sieht die Assessment-ID aus:

Format der Assessment-ID
Abbildung 35. Format der Assessment-ID

Die Assessment-ID wird üblicherweise verwendet, wenn Ihr Prüfdienstleister mit Ihnen kommuniziert.

5.4.12. TISAX-Bericht

Der „TISAX-Bericht“ (Icon der Flagge des Vereinigten Königreichs TISAX report):

  • wird nach jeder TISAX-Prüfung aktualisiert und ausgestellt.

  • dokumentiert die Feststellungen Ihres Prüfdienstleisters.

  • enthält das Gesamtprüfergebnis (Konform, Nebenabweichend, Hauptabweichend).

  • enthält alle weiteren Informationen zu Ihrer TISAX-Prüfung (z. B. Prüfziel, Scope, beteiligte Personen und Standorte).

Der „TISAX-Bericht“ kann (je nach Prüfungstyp) folgendermaßen aussehen:

  • TISAX-Bericht Erstprüfung

  • TISAX-Bericht Maßnahmenplanprüfung

  • TISAX-Bericht Follow-up-Prüfung[36]

Der „TISAX-Bericht“ hat immer den gleichen Aufbau[37]. Ihr Prüfdienstleister erweitert ihn einfach nach jedem Prüfungstyp. Das bedeutet, dass Sie sich nur mit der letzten Version des TISAX-Berichts beschäftigen müssen, da er immer den Inhalt seiner älteren Version(en) enthält.

Die ersten Abschnitte des „TISAX-Berichts“ sind das, was Sie schließlich mit Ihrem Partner teilen.

Es ist eines der Hauptmerkmale von TISAX, dass Sie selbst entscheiden können, welche Teile des TISAX-Berichts Sie mit Ihrem Partner oder jedem anderen Teilnehmer teilen möchten. Die Struktur des TISAX-Berichts ist so konzipiert, dass sie diese Art des selektiven Teilens ermöglicht. Jeder Abschnitt erweitert den Detaillierungsgrad.

Der „TISAX-Bericht“ ist folgendermaßen aufgebaut:

  • A: Prüfungsbezogene Informationen
    Firmenname, Prüf-Scope, Scope-ID, Assessment-ID, Assessment-Level, Prüfziel(e), Datum der Prüfung(en), Prüfdienstleister
    Dieser Abschnitt enthält kein Prüfergebnis.

  • B: Gesamtprüfergebnis
    Management-Zusammenfassung des Prüfergebnisses (Konform, Nebenabweichend, Hauptabweichend), Anzahl der Feststellungen, abstrakte Kategorisierung der resultierenden Risiken

  • C: Zusammenfassung des Prüfergebnisses
    Zusammenfassung des Prüfergebnisses pro Kapitel (z. B. „9 Access Control“) und pro Kriterienkatalog (z. B. „Informationssicherheit“)

  • D: Detaillierte Prüfergebnisse
    Detaillierte Beschreibung aller Feststellungen, entsprechende Ergebnisse der Risikobewertung, erforderliche Maßnahmen, Umsetzungsfristen

  • E: Reifegrade des ISA (Excel-Tabellenblatt „Ergebnisse“ des ISA)
    Reifegrade für jede Anforderung

Im Schritt „Austausch“ (siehe unten) entscheiden Sie, bis zu welcher Stufe Ihr Partner Zugriff auf den Inhalt Ihres TISAX-Berichts bekommen wird.

5.4.13. TISAX-Labels

Auf dieses Thema sind wir im Abschnitt der Vorbereitung der Registrierung kurz eingegangen: Was früher ein Prüfziel war, wurde nun zum TISAX-Label.

Prüfziele und TISAX-Labels
Abbildung 36. Prüfziele und TISAX-Labels

Die TISAX-Labels:

  • sind das Ergebnis des TISAX-Prüfprozesses.

  • fassen Ihr Prüfergebnis zusammen.

  • sind die Feststellung, dass Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt.

Die Verwendung von Prüfzielen erleichtert die TISAX-bezogene Kommunikation mit Ihrem Partner und Ihrem TISAX-Prüfdienstleister, da sie sich auf einen definierten Output des TISAX-Prüfprozesses beziehen.

5.4.13.1. Hierarchie der TISAX-Label

Die Zuordnung zwischen einem beliebigen Prüfziel und den entsprechenden TISAX-Labels ist recht einfach. Aber es gibt noch einen weiteren wichtigen Aspekt: Einige TISAX-Labels sind hierarchisch verknüpft. Das heißt, wenn Sie ein bestimmtes TISAX-Label erhalten, erhalten Sie damit automatisch auch alle TISAX-Labels „unterhalb“ dieses Labels.

Beispiel (mit abgekürzten Label-Namen): War Ihr Prüfziel „Info very high“, erhalten Sie das entsprechende TISAX-Label „Info very high“. Da aber das Prüfziel „Info very high“ eine Erweiterung von „Info high“ ist, erhalten Sie automatisch auch das TISAX-Label „Info high“.

TISAX-Prüfziele und TISAX-Labels (Abhängigkeiten und Hierarchien)
Abbildung 37. TISAX-Prüfziele und TISAX-Labels (Abhängigkeiten und Hierarchien)

Dies mag nicht für jeden Teilnehmer wichtig erscheinen. Aber stellen Sie sich vor, ein Partner fordert Sie auf, das TISAX-Label „Info very high“ und ein anderer das TISAX-Label „Info high“ vorzuweisen. Dann beide TISAX-Labels zu haben, macht es für alle einfacher, denn niemand muss verstehen, dass „Info high“ eine Teilmenge von „Info very high“ ist. Dies gilt insbesondere für Partner, bei denen bestimmte TISAX-Labels Teil eines strikten Einkaufsprozesses sind. Sie werden sicher nicht erklären wollen, dass „Info very high“ „besser“ als „Info high“ ist. Sie zeigen einfach alle Ihre TISAX-Labels und die Person, die die Auswertung durchführt, kann einfach die Anforderung „erfordert TISAX-Label ’Info very high’“ abhaken.

5.4.13.2. Gültigkeitsdauer der TISAX-Labels

TISAX-Labels sind in der Regel drei Jahre lang gültig. Der Gültigkeitszeitraum beginnt am Ende des Prüfprozesses (noch vor der Ausgabe des TISAX-Berichts).

Ihre Gültigkeitsdauer kann kürzer sein, wenn sich etwas Wesentliches im Hinblick auf den TISAX-Prüf-Scope ändert.

Beispiele: Umzug Ihres Unternehmens, neue Standorte (Anweisungen, was in solchen Fällen zu tun ist, finden Sie in Abschnitt 7.7.4, “Umzüge” und Abschnitt 7.7.5, “Zusätzlicher Standort (Scope-Erweiterungsprüfung)”)

Icon für Info-Boxen

Bitte beachten Sie:

Sie können Ihre TISAX-Labels nur im ENX-Portal einsehen. Sie werden im TISAX-Bericht nicht erfasst.

5.4.13.3. Erneuerung der TISAX-Labels

Um Ihre TISAX-Labels langfristig zu erhalten, müssen Sie sie alle drei Jahre erneuern[38].

Dazu müssen Sie im Wesentlichen den TISAX-Prozess erneut durchlaufen (einen Prüf-Scope registrieren, sich wieder nach TISAX prüfen lassen, Prüfergebnis teilen). Die Registrierung ist etwas einfacher, da Sie Ihr Unternehmen nicht neu als TISAX-Teilnehmer anlegen müssen. Und natürlich können Sie alle Ihre Ansprechpartner und Standorte, die bereits in der TISAX-Datenbank gespeichert sind, wiederverwenden.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Bitte registrieren Sie einen NEUEN Prüf-Scope, BEVOR Sie sich an Ihren Prüfdienstleister wenden. Ihr Prüfdienstleister kann nur dann einen neuen Prüfprozess beginnen, wenn Sie eine neue Scope-ID angeben können.

In den meisten Fällen ist die Registrierung eines neuen Prüf-Scopes einfach. Sie müssen lediglich einen neuen Scope-Namen vergeben, Ansprechpartner hinzufügen, das/die Prüfziel(e) auswählen und Standorte hinzufügen. Sie können Ansprechpartner und Standorte, die bereits im System vorhanden sind, aus jedem zuvor registrierten Prüf-Scope wiederverwenden.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Falls es während der Beziehung mit Ihrem Partner die Anforderung gibt, jederzeit gültige TISAX-Labels zu haben, empfehlen wir Ihnen dringend, eine Erinnerung in Ihren Kalender aufzunehmen, die den Erneuerungsprozess rechtzeitig anstößt.

Wir empfehlen, die Verlängerung mindestens ein Jahr vor Ablauf Ihrer TISAX-Labels zu beginnen.


Nachdem Sie nun Ihre TISAX-Labels erhalten haben, können Sie zum letzten Schritt übergehen und sie mit Ihrem Partner teilen.

6. Austausch (Schritt 3)

Die geschätzte Lesezeit für den Abschnitt „Austausch“ beträgt 7 Minuten.

Sie haben den TISAX-Prozess bis hierhin durchlaufen, aber Ihr Partner hat bisher immer noch keinen „Nachweis“ dafür gesehen, dass Ihr Informationssicherheitsmanagementsystem in der Lage ist, seine vertraulichen Daten zu schützen. Dieser Abschnitt beschreibt nun, wie Sie Ihr Prüfergebnis mit Ihrem Partner teilen und den geforderten Nachweis erbringen können.

6.1. Prämisse

Es ist eines der Hauptmerkmale von TISAX, dass Sie Ihr Prüfergebnis vollständig unter Ihrer Kontrolle haben. Ohne Ihre ausdrückliche Zustimmung werden alle Informationen, die sich auf Ihre Prüfung beziehen, an niemanden weitergegeben.

6.2. Die Austauschplattform

Das ENX-Portal stellt die Austauschplattform zur Verfügung.

Ihr Prüfdienstleister lädt die ersten beiden Abschnitte (A und B) Ihres TISAX-Berichts hoch. Zu diesem Zeitpunkt sind die Informationen für niemanden außer Ihnen verfügbar.

Mit dem bei der Registrierung angelegten Account können Sie auf das Portal zugreifen und die Austauschplattform nutzen.

Unter dieser Adresse können Sie auf das Portal zugreifen:
Icon der Flagge von Deutschland enx.com/de-de/SignIn

6.3. Allgemeine Voraussetzungen

Sie können Ihr Prüfergebnis nur dann mit Ihrem Partner teilen, wenn diese beiden Voraussetzungen erfüllt sind:

  1. Ihr Prüfdienstleister hat das Prüfergebnis an die Austauschplattform übermittelt.
    Das Prüfergebnis wird in der Regel 5-10 Werktage nach Ausstellung des TISAX-Berichts auf der Austauschplattform verfügbar sein.

  2. Wir haben Ihre Zahlung für das Entgelt erhalten (falls zutreffend).

Der Status Ihres Prüf-Scopes ist „Active“, wenn beide Voraussetzungen erfüllt sind.

Icon für Info-Boxen

Bitte beachten Sie:

Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt muss Ihr Prüf-Scope den Status „Active“ haben.

Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.5, “Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)”.

Um nachzuprüfen, ob Ihr Prüfergebnis zum Teilen bereit ist (Status des Prüf-Scopes = Active), gehen Sie folgendermaßen vor:

  1. Melden Sie sich im ENX-Portal an.

  2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  3. Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.

  4. Gehen Sie zur Tabelle finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.

  5. Überprüfen Sie, dass Ihr Prüf-Scope den Status „Aktiv“ hat (Spalte „Scope Status“).

6.4. Dauerhaftigkeit der ausgetauschten Ergebnisse

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sie können keine Veröffentlichungen oder Sharing-Permissions widerrufen.

Der Grund ist, dass wir wollen, dass sich alle passiven Teilnehmer auf einen dauerhaften Zugriff auf alle erhaltenen Prüfergebnisse verlassen können. Andernfalls müssten sie die Prüfergebnisse selbst verwalten und archivieren.

Die Berechtigung bleibt für den gesamten Gültigkeitszeitraum Ihrer TISAX-Prüfung gültig.

Wenn Sie versehentlich eine Veröffentlichung oder eine Sharing-Permission erstellt haben, contact us,sprechen Sie uns bitte sofort an.

6.5. Sharing-Level

Die Sharing-Level sind den Hauptabschnitten A-E des TISAX-Berichts 1:1 zugeordnet.

Tabelle 12. Hauptabschnitte des TISAX-Berichts und die Sharing-Level auf der Austauschplattform
Hauptabschnitte des TISAX-Berichts Sharing-Level auf der Austauschplattform

1

A: Informationen zur Prüfung
(Icon der Flagge des Vereinigten Königreichs Assessment-related information)

2

B: Gesamtprüfergebnis
(Icon der Flagge des Vereinigten Königreichs Overall assessment result)

3

C: Zusammenfassung des Prüfergebnisses
(Icon der Flagge des Vereinigten Königreichs Assessment result summary)

4

D: Detaillierte Prüfergebnisse
(Icon der Flagge des Vereinigten Königreichs Detailed assessment results)

5

E: Reifegrade im ISA
(Icon der Flagge des Vereinigten Königreichs Maturity levels of ISA (result tab of ISA))

Je höher der Sharing-Level, desto mehr Details über Ihre TISAX-Prüfung wird für den/die jeweiligen Teilnehmer zugänglich sein.

Einzelheiten zum Inhalt der einzelnen Abschnitte des TISAX-Berichts finden Sie in Abschnitt 5.4.6.4, “TISAX-Bericht”.

6.6. Veröffentlichen Sie Ihr Prüfergebnis auf der Austauschplattform

Sie können Ihr Prüfergebnis mit allen anderen TISAX-Teilnehmern teilen, indem Sie es auf der Austauschplattform veröffentlichen. Damit haben alle anderen TISAX-Teilnehmer Zugriff auf Ihr Prüfergebnis bis zum gewährten Sharing-Level.

Sie können Ihr Prüfergebnis nur veröffentlichen, wenn das Gesamtprüfergebnis „Konform“ ist.

Die Sharing-Level für die Veröffentlichung Ihrer Prüfergebnisse auf der Austauschplattform sind auf diese Optionen beschränkt:

  • Nicht veröffentlichen (Standard)

  • A: Informationen zum Assessment

  • A + Labels

  • A + Labels + B: Gesamtübersicht Prüfergebnisse

Wir empfehlen den Sharing-Level „A + Labels“ für diese allgemeine Publikationsart.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sie können Ihr Prüfergebnis nur veröffentlichen, wenn die in Abschnitt 6.3, “Allgemeine Voraussetzungen” beschriebenen Voraussetzungen erfüllt sind.

Um Ihr Prüfergebnis auf der Austauschplattform zu veröffentlichen, führen Sie diese Schritte aus:

  1. Melden Sie sich im ENX-Portal an.

  2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  3. Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.

  4. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.

  5. Überprüfen Sie, dass Ihr Prüf-Scope den Status „Active“ hat (Spalte „Scope Status“).

  6. Gehen Sie an das Ende der Tabellenzeile Ihres Prüf-Scopes und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  7. Wählen Sie „Scope Information“.

  8. Im neuen Fenster (“Scope Information”), wählen Sie den Reiter „EXCHANGE“.
    figure screenshot portal exchange de

  9. Gehen Sie zum Abschnitt „VERÖFFENTLICHEN“, öffnen Sie das Dropdown-Menü und wählen Sie den gewünschten Sharing-Level (siehe Empfehlung oben).

Icon für Info-Boxen

Bitte beachten Sie:

Die Prüfergebnisse werden nur auf der Austauschplattform veröffentlicht. Sie können nur von anderen TISAX-Teilnehmern eingesehen werden. Es gibt keine öffentliche Liste aller TISAX-Teilnehmer. Lediglich die bloße Anzahl der TISAX-Teilnehmer könnte auf der öffentlichen TISAX-Website erwähnt werden.

6.7. Teilen Sie Ihr Prüfergebnis mit einem bestimmten Teilnehmer

Neben der oben genannten Möglichkeit, Ihr TISAX-Prüfergebnis auf der Austauschplattform zu veröffentlichen, können Sie es gezielt mit bestimmten TISAX-Teilnehmern mit einem höheren Sharing-Level teilen.

Im Gegensatz zu der oben genannten Veröffentlichung können Sie Ihr Prüfergebnis auch dann weitergeben, wenn das Gesamtergebnis der Bewertung „Nebenabweichend“ oder „Hauptabweichend“ ist.

Der Austausch von Prüfergebnissen ist ein integraler Bestandteil von TISAX. Sie haben Ihr Informationssicherheitsmanagementsystem nur einmal prüfen lassen, aber jetzt können Sie Ihr Prüfergebnis mit so vielen Partner teilen wie sich möchten.

Die Optionen für das Teilen Ihres Prüfergebnisses auf der Austauschplattform sind:

  • A: Informationen zum Assessment

  • A + Labels

  • A + Labels + B: Gesamtübersicht Prüfergebnisse

  • A + Labels + B + C: Zusammenfassung der Ergebnisse des Assessments

  • A + Labels + B + C + D: Detaillierte Ergebnisse zum Assessment

  • A + Labels + B + C + D + E: Reifegrade gem. ISA

Wir empfehlen für das Teilen Sharing-Level "A + Labels". Dies ist für die Mehrheit der Partner ausreichend. Sie können den Sharing-Level später jederzeit ändern.

Icon für Info-Boxen

Bitte beachten Sie:

Einige TISAX-Teilnehmer verarbeiten die Prüfergebnisse ihrer Partner automatisch. Sie synchronisieren ihr eigenes System mit dem ENX-Portal. Nur die speziell mit diesem Teilnehmer geteilten Prüfergebnisse werden synchronisiert. Eine reine Veröffentlichung, wie in Abschnitt 6.6, “Veröffentlichen Sie Ihr Prüfergebnis auf der Austauschplattform” beschrieben, wird nicht anerkannt.

Unter den OEMs, die TISAX verwenden, ist BMW ein Beispiel dafür. Wenn Sie ein Partner von BMW sind, stellen Sie bitte sicher, dass Sie Ihr Prüfergebnis mit BMW teilen (und nicht nur veröffentlichen).

6.7.1. Voraussetzungen

Dies sind die Voraussetzungen, um Ihr Prüfergebnis mit Ihrem Partner (oder jedem anderen TISAX-Teilnehmer) zu teilen:

  • Sie können Ihr TISAX-Prüfergebnis nur mit anderen TISAX-Teilnehmern teilen.

  • Ihr Partner muss ein TISAX-Teilnehmer sein.

  • Sie benötigen die Participant-ID Ihres Partners.[39]

  • Sie müssen das Entgelt bezahlen (falls zutreffend).

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sie können Ihr Prüfergebnis nur teilen, wenn die in Abschnitt 6.3, “Allgemeine Voraussetzungen” beschriebenen Voraussetzungen erfüllt sind.

6.7.2. Wie Sie eine Sharing-Permission erstellen

Um Ihr Prüfergebnis mit einem anderen TISAX-Teilnehmer zu teilen, folgen Sie diesen Schritten:

  1. Melden Sie sich im ENX-Portal an.

  2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  3. Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.

  4. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.

  5. Überprüfen Sie, dass Ihr Prüf-Scope den Status „Aktiv“ hat (Spalte „Scope Status“).

  6. Gehen Sie an das Ende der Tabellenzeile Ihres Prüf-Scopes und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  7. Wählen Sie „Scope Information“.

  8. Im neuen Fenster (“Scope Information”), wählen Sie den Reiter „EXCHANGE“.
    figure screenshot portal exchange share de

  9. Gehen Sie zum Abschnitt „TEILEN“ und klicken Sie auf die Schaltfläche „Teilen“.

  10. Geben Sie die Participant-ID Ihres Partners ein.

  11. Wählen Sie den gewünschten Sharing-Level.

  12. Klicken Sie auf die Schaltfläche „Weiter“.

  13. Lesen und verstehen Sie die Hinweise zur Dauerhaftigkeit der Sharing-Permission.

  14. Machen Sie Haken in den beiden „Ich bestätige“-Kästchen.

  15. Klicken Sie auf die Schaltfläche „Übermitteln“.

Alles andere erledigt die Austauschplattform. Für die Sharing-Level A und B stehen die Informationen auf der Austauschplattform zur Verfügung. Ihr Partner kann sich nun im ENX-Portal anmelden und Ihr geteiltes Prüfergebnis einsehen.[40]

Bei höheren Sharing-Leveln (C-E) benachrichtigt die Austauschplattform Ihren Prüfdienstleister. Anschließend sendet Ihr Prüfdienstleister die Informationen (entsprechend dem ausgewählten Sharing-Level) an den Teilnehmer-Hauptansprechpartner Ihres Partners.

6.8. Teilen Ihres Prüfergebnisses außerhalb TISAX

Es gilt die allgemeine Regel[41], dass Sie nur die TISAX-Austauschplattform nutzen dürfen, um andere über Ihr Prüfergebnis zu informieren.

6.8.1. Die Gründe für die strenge Regelung des Austauschmechanismus

TISAX bietet einen standardisierten Austauschmechanismus für Prüfergebnisse. Dies stellt einen Mehrwert im Vergleich zum Austausch der Ergebnisse anderer Zertifizierungen (z. B. ISO) dar, wo dies auf verschiedene Weise geschieht und nicht immer alle für ein vollständiges Bild erforderlichen Informationen enthält.

Besonders OEMs schätzen diese Standardisierung. Aber auch andere Unternehmen profitieren von klar definierten Verfahren.

6.8.2. Ein Leitfaden zum Schreiben über TISAX in der Öffentlichkeit

Sie können zwar nicht öffentlich über das Prüfergebnis sprechen, aber Sie können Ihre TISAX-Bemühungen erwähnen. Auf dem ENX-Portal geben wir Ihnen Ratschläge, wie Sie an öffentliche Stellungnahmen herangehen können. Wir stellen Ihnen dort auch TISAX-Logos zur Verfügung.

Nachdem Sie sich in das ENX-Portal eingeloggt haben, können Sie hier auf die Informationen zugreifen:
Icon der Flagge des Vereinigten Königreichs enx.com/de-de/myenxportal/marketing/
Direkter Download des ZIP-Archivs (Dokument und Logos):
Icon der Flagge des Vereinigten Königreichs enx.com/myenxportal/marketing/tisax-trademark-and-logos-guidelines

Falls Sie sich fragen, ob es ein Zertifikat gibt, dass Sie sich an die Wand hängen können: Aufgrund des oben erwähnten standardisierten Austauschprozesses stellen wir ein solches Zertifikat nicht bereit.

6.8.3. Teilen mit einem Partner, der noch kein TISAX-Teilnehmer ist

Wenn Sie Ihr TISAX-Prüfergebnis mit einem bestimmten Partner teilen möchten, der a) noch kein TISAX-Teilnehmer ist und b) noch kein TISAX-Label erhalten hat (indem er den Prüfprozess durchläuft), können Sie die folgenden Schritte befolgen:

  1. Weisen Sie Ihren Partner an, sich als TISAX-Teilnehmer zu registrieren.
    Er muss sich lediglich als TISAX-Teilnehmer registrieren lassen. Er muss nicht mit der Registrierung eines Prüf-Scopes fortfahren.

  2. Weisen Sie Ihren Partner an, uns anzusprechen.
    In der Regel bearbeiten wir eine Neuregistrierung nur dann, wenn das Unternehmen auch einen Prüf-Scope registriert. Auf Anfrage Ihres Partners bearbeiten wir seine Registrierung. Auf diese Weise wird er ein TISAX-Teilnehmer. Er kann nun über den regulären Austauschprozess Ihr TISAX-Prüfergebnis erhalten.

Auf diesem Weg wird sichergestellt, dass Ihr Partner sich bereit erklärt, die „TISAX Allgemeine Geschäftsbedingungen“ einzuhalten, die den Austausch von TISAX-Prüfergebnissen regeln.

Nur die Registrierung eines Prüf-Scopes verursacht Kosten. Da die Registrierung als TISAX-Teilnehmer kostenlos ist, kann Ihr Partner Ihr Prüfergebnis kostenlos erhalten. Ohne ein eigenes Prüfergebnis kann Ihr Partner jedoch nur bis zu fünf Prüfergebnisse erhalten und er kann keine der Veröffentlichungen sehen.

6.8.4. Teilen mit Mitarbeitern Ihres Partners, die keinen direkten Zugang zum ENX-Portal haben

Nur die Mitarbeiter Ihres Partners, die einen Account für unser ENX-Portal haben, können Ihr Ergebnis direkt einsehen. Wenn Sie Ihre TISAX-Labels einem Mitarbeiter Ihres Partners ohne Portalzugang nachweisen müssen, können Sie ein spezielles Dokument verwenden. Um das Dokument zu erhalten, folgen Sie bitte diesen Schritten:

  1. Teilen Sie Ihr Prüfergebnis mit Ihrem Partner, wie in Abschnitt 6.7, “Teilen Sie Ihr Prüfergebnis mit einem bestimmten Teilnehmer” beschrieben.

  2. Melden Sie sich im ENX-Portal an.

  3. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  4. Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.

  5. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.

  6. Überprüfen Sie, dass Ihr Prüf-Scope den Status „Aktiv“ hat (Spalte „Scope Status“).

  7. Gehen Sie an das Ende der Tabellenzeile Ihres Prüf-Scopes und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  8. Wählen Sie „Scope Information“.

  9. Im neuen Fenster (“Scope Information”), wählen Sie den Reiter „EXCHANGE“.
    figure screenshot portal exchange de

  10. Gehen Sie zum Abschnitt „TEILEN“ und finden Sie die Tabellenzeile mit der Sharing-Permission (wie in Schritt 1 erstellt).

  11. Gehen Sie an das Ende der Tabellenzeile Ihrer Sharing-Permission und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  12. Wählen Sie „Anpassen“.

  13. Im neuen Fenster („SCOPE TEILEN“), scrollen Sie ans Ende und wählen Sie “Request Shared Information as PDF”.

  14. Warten Sie einen Moment, bis das Dokument erstellt wurde.

  15. Laden Sie das Dokument herunter (“Copy of information shared with ACME.pdf (66.84 KB)”)

7. Anhänge

7.1. Anhang: Beispielrechnung für das Entgelt

Dies ist ein Beispiel für die Rechnung über das Entgelt, die wir Ihnen schicken.

Weitere Informationen finden Sie in Abschnitt 4.3.4, “Entgelt”.

Invoice example

7.2. Annex: Beispiel einer Bestätigungs-E-Mail

Wir schicken Ihnen die Bestätigungs-E-Mail, sobald Sie alle verbindlichen Schritte während des Online-Registrierungsprozesses abgeschlossen haben.

Weitere Informationen dazu, wann wir diese Bestätigungs-E-Mail verschicken, finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.

Betreff: TISAX Registrierung

Hallo John Doe

vielen Dank für Ihre TISAX Scope Registrierung. Ich habe Ihre Scope Registrierung durchgeführt. Als Anlage übersende ich Ihnen den TISAX Scope Excerpt mit den relevanten Scope Informationen und die aktuelle TISAX-Prüfdienstleisterliste.

Wie geht es weiter?

Mit dem beigefügten TISAX Scope Excerpt können Sie nun Angebote bei allen TISAX-Prüfdienstleister für Ihre Prüfung anfragen.

Benötigen Sie Unterstützung?

Bei weiteren Fragen bezüglich TISAX verweisen wir Sie gerne auf unser TISAX-Teilnehmerhandbuch sowie auf unsere TISAX FAQs. Sollten Sie weitere Hilfe bezüglich TISAX brauchen, können Sie gerne unsere TISAX Hotline per E-Mail (tisax@enx.com) oder Telefon (+49 69 986692-777) kontaktieren.

Mit freundlichen Grüßen

ENX Association

7.3. Anhang: Beispiel eines TISAX Scope Excerpt

Sie erhalten den „TISAX Scope Excerpt“ im Anhang der Bestätigungs-E-Mail.

Weitere Informationen finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.

figure scope excerpt first page de

7.4. Anhang: „Participant status“ (Participant-Status)

7.4.1. Übersicht: „Participant status“

Der „Participant status“ beschreibt, wo Sie (als Unternehmen) sich im TISAX-Prozess befinden.

Ihr „Participant status“ kann sein:

  1. Incomplete (Icon der Flagge von Deutschland Unvollständig)

  2. Awaiting approval (Icon der Flagge von Deutschland Warten auf Genehmigung)

  3. Preliminary (Icon der Flagge von Deutschland Vorläufig)

  4. Registered (Icon der Flagge von Deutschland Registriert)

  5. Expired (Icon der Flagge von Deutschland Abgelaufen)

Die Tabellen im Abschnitt jedes Status beschreiben:

  • Ihre Situation
    (was gerade zutrifft, wenn Sie diesen Status haben)

  • Ihren nächsten Schritt
    (was Sie tun müssen, um zum nächsten Status zu gelangen; sofern zutreffend)

  • unseren nächsten Schritt
    (was wir tun müssen, um Ihren Status zu erhöhen; sofern zutreffend)

  • den nächsten Status
    (sofern zutreffend)

Die folgende Darstellung zeigt die Schritte, die von einem zum nächsten Status führen:

figure-participant-status-overview
Abbildung 38. Übersicht „Participant status“

7.4.2. Participant status „Incomplete“ (Unvollständig)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Incomplete

Sie haben die TISAX-Registrierung nicht abgeschlossen.
Entweder haben Sie die AGBs nicht akzeptiert.
Oder Sie haben den Teilnehmer-Hauptstandort nicht angegeben.
Oder Sie den Teilnehmer-Hauptansprechpartner nicht angegeben.
Oder andere Angaben, die wir brauchen, fehlen.

Fahren Sie fort auf Icon der Flagge von Deutschland enx.com/de-de/SignIn

Wir werden Ihnen eine Erinnerung per E-Mail schicken (üblicherweise innerhalb weniger Tage).

Awaiting approval

7.4.3. Participant status „Awaiting approval“ (Warten auf Genehmigung)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Awaiting approval

Ihre TISAX-Registrierung ist abgeschlossen.
Sie haben möglicherweise bereits einen Prüf-Scope registriert.

Warten Sie auf unseren nächsten Schritt.

Wir werden Ihren Antrag überprüfen und typischerweise genehmigen.
Allerdings lösen Sie unsere Überprüfung üblicherweise dadurch aus, dass Sie auch einen Prüf-Scope registrieren.
Wir weisen ihnen eine Participant-ID und die Scope-ID(s) zu.
Wir werden Ihnen eine Bestätigungs-E-Mail schicken. Der angehängte „TISAX Scope Excerpt“ fasst die Informationen zusammen, die wir in unserer Datenbank haben.

Preliminary

7.4.4. Participant status „Preliminary“ (Vorläufig)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Preliminary

Sie haben den TISAX-Registrierungsprozess erfolgreich abgeschlossen.

Bezahlen Sie das Entgelt.
Durchlaufen Sie den TISAX-Prüfprozess.
Veröffentlichen und Teilen Sie Ihr Prüfergebnis.

Keiner

Registered

7.4.5. Participant status „Registered“ (Registriert)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Registered

Sie haben den TISAX-Prüfprozess erfolgreich abgeschlossen und TISAX-Labels erhalten.
Sie haben Ihr Prüfergebnis veröffentlich und geteilt.
Sie erhalten nur TISAX-Labels, wenn Sie den TISAX-Prüfprozess erfolgreich durchlaufen haben. Im ENX-Portal spiegelt sich darin wider, dass Sie einen Prüf-Scope mit dem Prüf-Scope-Status „Active“ haben.

Keiner

Keiner

(Expired)

Icon für Info-Boxen

Hinweis:

Wenn Sie Zugriff auf die Prüfergebnisse Ihres/Ihrer Partner/s möchten:

Die konzeptionelle Voraussetzung, um Prüfergebnisse von anderen Teilnehmern zu erhalten, ist entweder:

  • Sie teilen Ihr eigenes Prüfergebnis (damit „beweisen“ Sie, dass ein ernsthafter TISAX-Teilnehmer und Mitglied der Automobilbranche sind).

  • Wir erkennen Sie basierend auf Ihrem Ruf in der Automobilindustrie an (z. B. Automobil-Hersteller, Tier-1-Zulieferer).

  • Sie weisen nach, dass Sie ein legitimes Interesse daran haben, Prüfergebnisse anderer Teilnehmer zu erhalten. Wir müssen das in einem aufwendigen Prozess überprüfen. Dafür können erhebliche Kosten anfallen. Für weitere Details sprechen Sie uns bitte an.

7.4.6. Participant status „Expired“ (Abgelaufen)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Expired

Sie haben das Entgelt nicht bezahlt.
Oder Sie oder wir haben unseren gemeinsamen Vertrag (die AGBs) gekündigt.

Keiner

Keiner

n/a

7.5. Anhang: „Prüf-Scope-Status“ (Assessment scope status)

7.5.1. Übersicht: „Prüf-Scope-Status“

Der „Prüf-Scope-Status“ beschreibt, wo in seinem Lebenszyklus sich Ihr Prüf-Scope befindet.

Bitte beachten Sie, dass der „Prüf-Scope-Status“ sich vom „Assessment status“ unterscheidet. Weitere Informationen zum „Assessment status“ finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.

Ihr „Prüf-Scope-Status“ kann sein:

  1. Unvollständig (Icon der Flagge des Vereinigten Königreichs Incomplete)

  2. Warten auf Ihren Antrag (Icon der Flagge des Vereinigten Königreichs Awaiting your order)

  3. Warten auf ENX Genehmigung (Icon der Flagge des Vereinigten Königreichs Awaiting ENX approval)

  4. Warten auf Ihre Zahlung (Icon der Flagge des Vereinigten Königreichs Awaiting your payment)

  5. Registriert (Icon der Flagge des Vereinigten Königreichs Registered)

  6. Aktiv (Icon der Flagge des Vereinigten Königreichs Active)

  7. Abgelaufen (Icon der Flagge des Vereinigten Königreichs Expired)

Die Tabellen im Abschnitt jedes Status beschreiben:

  • Ihre Situation
    (was gerade zutrifft, wenn Sie diesen Status haben)

  • Ihren nächsten Schritt
    (was Sie tun müssen, um zum nächsten Status zu gelangen; sofern zutreffend)

  • unseren nächsten Schritt
    (was wir tun müssen, um Ihren Status zu erhöhen; sofern zutreffend)

  • den nächsten Status
    (sofern zutreffend)

Die folgende Darstellung zeigt die Schritte, die von einem zum nächsten Status führen:

Übersicht „Prüf-Scope-Status“
Abbildung 39. Übersicht „Prüf-Scope-Status“

Der Verweis „A“ auf außerhalb der Darstellung in der obigen Abbildung verknüpft den Prüf-Scope-Status „Active“ mit dem „assessment status“. Weitere Informationen zum „assessment status“ finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.

7.5.2. Prüf-Scope-Status „Unvollständig“ (Incomplete)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Unvollständig
(Incomplete)

Sie haben nicht alle erforderlichen Informationen angegeben.

Fahren Sie fort auf Icon der Flagge von Deutschland enx.com/de-de/SignIn

Wir werden Ihnen eine Erinnerung per E-Mail schicken (üblicherweise innerhalb weniger Tage).

Warten auf Ihren Antrag

Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.7, “Registrierung des Prüf-Scopes”.

7.5.3. Prüf-Scope-Status „Warten auf Ihren Antrag“ (Awaiting your order)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Warten auf Ihren Antrag
(Awaiting your order)

Sie haben die Prüf-Scope-Registrierung nicht abgeschlossen.

Fahren Sie fort auf Icon der Flagge von Deutschland enx.com/de-de/SignIn

Wir werden Ihnen eine Erinnerung per E-Mail schicken (üblicherweise innerhalb weniger Tage).

Warten auf ENX Genehmigung

Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.7, “Registrierung des Prüf-Scopes”.

7.5.4. Prüf-Scope-Status „Warten auf ENX Genehmigung“ (Awaiting ENX approval)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Warten auf ENX Genehmigung
(Awaiting ENX approval)

Ihre Prüf-Scope-Registrierung ist abgeschlossen.

Warten Sie auf unseren nächsten Schritt.

Wir werden Ihren Antrag überprüfen und typischerweise genehmigen.
Wir weisen (eine) Scope-ID(s) zu.
Wir werden Ihnen eine Bestätigungs-E-Mail schicken. Der angehängte „TISAX Scope Excerpt“ (PDF) fasst die Informationen zusammen, die wir in unserer Datenbank haben.

Warten auf Ihre Zahlung

Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.7, “Registrierung des Prüf-Scopes”.

7.5.5. Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Warten auf Ihre Zahlung
(Awaiting your payment)

Ihre Prüf-Scope-Registrierung ist abgeschlossen und genehmigt.
Sie haben unsere Bestätigungs-E-Mail und den „TISAX Scope Excerpt“ erhalten.

Bezahlen Sie das Entgelt (sofern zutreffend).
Fordern Sie Angebote von unseren TISAX-Prüfdienstleistern an.
Ab dem Status „Warten auf Ihre Zahlung“ können Sie:

  • anfangen, einige Informationen über die Prüfung mit Ihrem Partner zu teilen.[42]

  • die Veröffentlichung Ihres Prüfergebnisses voreinstellen (dies wird jedoch erst wirksam, sobald Ihr „Prüf-Scope-Status“ zu „Aktiv“ wechselt.


42. Im Prüf-Scope-Status „Approved“ oder „Registered“ beinhalten die „Informationen zur Prüfung“ die Prüf-Scope-Standorte, den Assessment-Status und die Prüfziele.

Wir warten auf Ihre Zahlung.

Registriert

Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.

7.5.6. Prüf-Scope-Status „Registriert“ (Registered)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Registriert
(Registered)

Ihr Prüf-Scope ist registriert.
Wir haben Ihre Zahlung vollständig erhalten oder Ihre wirtschaftliche Stellung ist aufgrund anderer Umstände „Grün“.

Durchlaufen Sie den TISAX-Prüfprozess.

Keiner

Aktiv

7.5.7. Prüf-Scope-Status „Aktiv“ (Active)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Aktiv
(Active)

Sie haben den TISAX-Prüfprozess erfolgreich abgeschlossen und TISAX-Labels erhalten.

Veröffentlichen und teilen Sie Ihr Prüfergebnis.
Alle in einem niedrigeren Status voreingestellten Veröffentlichungen und Sharing-Permissions werden nun wirksam.

Keiner

Abgelaufen

Weitere Informationen zum Veröffentlichen und Teilen finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.

7.5.8. Prüf-Scope-Status „Abgelaufen“ (Expired)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Abgelaufen
(Expired)

Entweder:

  • Sie haben Ihre Prüf-Scope-Registrierung nicht innerhalb von 90 Tagen abgeschlossen,

  • oder es gab eine unzulässige Verzögerung bei Ihrer Zahlung des Entgelts,

  • oder Sie haben den TISAX-Prozess beendet,

  • oder die Gültigkeit Ihres Prüfergebnisses (drei Jahre) ist abgelaufen,

  • oder es gab bei Ihnen entscheidende Änderungen am Prüf-Scope (Beispiel: Alle Standorte in einem Prüf-Scope gehören nicht mehr zu Ihrem Unternehmen).

Beginnen Sie eine neue Prüf-Scope-Registrierung.

Keiner

Unvollständig
oder
Warten auf Ihren Antrag
oder
Warten auf ENX Genehmigung

7.6. Anhang: „Assessment status“ (Prüfungs-Status)

7.6.1. Übersicht: „Assessment status“

Der „Assessment status“ beschreibt, wo im Prüfprozess Sie sich befinden. Der Status ändert sich mit Ihrem Fortschreiten von einem Prüf-Typ zum Nächsten. (z. B. von der „Erstprüfung“ zur „Maßnahmenplanprüfung“).

Bitte beachten Sie, dass der „Assessment status“ sich vom „Prüf-Scope-Status“ unterscheidet. Weitere Informationen zum „assessment scope status“ finden Sie in Abschnitt 7.5, “Anhang: „Prüf-Scope-Status“ (Assessment scope status)”.

Ihr „Assessment status“ kann sein:

  1. Initial assessment ordered (Icon der Flagge von Deutschland Erstprüfung beauftragt)

  2. Initial assessment ongoing (Icon der Flagge von Deutschland Erstprüfung läuft)

  3. Waiting for corrective action plan assessment (Icon der Flagge von Deutschland Warten auf die Maßnahmenplanprüfung)

  4. Waiting for follow-up (Icon der Flagge von Deutschland Warten auf die Follow-up-Prüfung)

  5. Finished (Icon der Flagge von Deutschland Abgeschlossen)

Die Tabellen im Abschnitt jedes Status beschreiben:

  • Ihre Situation
    (was gerade zutrifft, wenn Sie diesen Status haben)

  • Ihren nächsten Schritt
    (was Sie tun müssen, um zum nächsten Status zu gelangen; sofern zutreffend)

  • unseren nächsten Schritt
    (was wir tun müssen, um Ihren Status zu erhöhen; sofern zutreffend)

  • den nächsten Status
    (sofern zutreffend)

Die folgende Darstellung zeigt die Schritte, die von einem zum nächsten Status führen:

Übersicht „Assessment status“
Abbildung 40. Übersicht „Assessment status“

Der Verweis „A“ auf außerhalb der Darstellung in der obigen Abbildung verknüpft den Prüf-Scope-Status „Active“ mit dem Assessment status „Waiting for corrective action plan assessment“. Weitere Informationen zum „Prüf-Scope-Status“ finden Sie in Abschnitt 7.5, “Anhang: „Prüf-Scope-Status“ (Assessment scope status)”.

7.6.2. Assessment status „Initial assessment ordered“ (Erstprüfung beauftragt)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Initial assessment ordered

Sie haben einen unserer TISAX-Prüfdienstleister ausgewählt und eine Erstprüfung beauftragt.

Fahren Sie mit dem TISAX-Prüfprozess fort.

Keiner

Initial assessment ongoing

7.6.3. Assessment status „Initial assessment ongoing (Erstprüfung läuft)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Initial assessment ongoing

Ihre Erstprüfung hat entweder:

  • Begonnen

  • oder ist abgeschlossen, aber Ihr Prüfdienstleister hat uns noch nicht den TISAX-Bericht übermittelt.

Keiner

Keiner

Waiting for corrective action plan assessment (sofern zutreffend)

7.6.4. Assessment status „Waiting for corrective action plan assessment“ (Warten auf die Maßnahmenplanprüfung)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Waiting for corrective action plan assessment

Ihr Prüfdienstleister hat eine Erstprüfung durchgeführt.
Ihr Prüfdienstleister hat den TISAX-Bericht an uns übermittelt.
Das Prüfergebnis ist Neben-/Hauptabweichend.

Erstellen Sie einen Maßnahmenplan.
Starten Sie die Umsetzung der Maßnahmen.
Beantragen Sie eine Maßnahmenplanprüfung.

Keiner

Waiting for follow-up (sofern zutreffend)

Der “Assessment status” “Waiting for corrective action plan assessment” ist auf neun Monate begrenzt. Weitere Informationen finden Sie in Abschnitt 5.4.8.3, “Anforderungen an den Maßnahmenplan”.

7.6.5. Assessment status „Waiting for follow-up“ (Warten auf die Follow-up-Prüfung)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Waiting for follow-up

Ihr Prüfdienstleister hat Ihren Maßnahmenplan genehmigt.
Sie haben die Maßnahmen umgesetzt.

Beantragen Sie eine Follow-up-Prüfung.

Keiner

Finished

Der “Assessment status” “Waiting for corrective action plan assessment” ist auf neun Monate begrenzt. Weitere Informationen finden Sie in Abschnitt 5.4.8.3, “Anforderungen an den Maßnahmenplan”.

7.6.6. Assessment status „Finished“ (Abgeschlossen)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

Finished

Ihr Prüfdienstleister hat eine Follow-up-Prüfung durchgeführt.
Das Prüfergebnis hat keine Abweichungen mehr.
Ihr Prüfdienstleister ht uns den TISAX-Bericht übermittelt.

Veröffentlichen und Teilen Sie Ihr Prüfergebnis.

Keiner

n/a

7.7. Anhang: Lebenszyklusmanagement der Teilnehmerdaten

Die folgenden Abschnitte beschreiben, was Sie tun müssen, wenn sich etwas bezüglich Ihrer Teilnehmerdaten ändert.

7.7.1. Änderung des Firmennamens

Wenn Sie den Namen Ihres Unternehmens ändern möchten, sprechen Sie uns bitte an.

7.7.2. Änderung von Ansprechpartnern

Die Teilnehmer-Ansprechpartner Ihres Unternehmens und alle anderen „administrativen Ansprechpartner“ mit Portal-Accounts können jederzeit auf das ENX-Portal zugreifen und:

  • neue Anprechpartner hinzufügen

  • bestehende Anprechpartner löschen

  • Kontaktdaten bestehender Ansprechpartner ändern

7.7.3. Verlorener Zugriff auf Teilnehmerdaten (ENX-Portal)

Wenn in Ihrem Unternehmen niemand mehr Zugang zum ENX-Portal und damit zu Ihren Teilnehmerdaten hat, sprechen Sie uns bitte an. Wir werden versuchen, Ihnen zu helfen, wieder Zugang zu den Teilnehmerdaten Ihres Unternehmens zu erhalten.

7.7.4. Umzüge

Wenn nur der Name einer Straße offiziell geändert wird, muss der Teilnehmer-Hauptansprechpartner Ihres Unternehmens uns ansprechen. Wir werden die Standortdaten entsprechend aktualisieren.

Aber wenn einer Ihrer Standorte an eine neue Adresse umzieht, müssen Sie:

  1. den Prüf-Scope erweitern.
    Folgen Sie den in Abschnitt 7.7.5, “Zusätzlicher Standort (Scope-Erweiterungsprüfung)” beschriebenen Schritten.

  2. uns eine E-Mail schicken, um uns mitzuteilen, dass der alte Standort nicht mehr Teil Ihres Unternehmens ist.
    Wir werden die Daten des Prüf-Scopes entsprechend aktualisieren. Wir schicken Ihnen dann eine Bestätigung zu.

7.7.5. Zusätzlicher Standort (Scope-Erweiterungsprüfung)

Wenn Sie während der Gültigkeitsdauer Ihrer bestehenden TISAX-Labels einen neuen Standort eröffnen, müssen Sie eine „Scope-Erweiterungsprüfung“ (Icon der Flagge des Vereinigten Königreichs scope extension assessment) bei Ihrem Prüfdienstleister beantragen. Sie können keinen anderen Prüfdienstleister für die Durchführung einer „Scope-Erweiterungsprüfung“ auswählen. Die Prüfung ähnelt den anderen Prüfungstypen. Ihr Prüfdienstleister wird jedoch höchstwahrscheinlich die Wiederverwendung von Ergebnissen aus früheren Prüfungen in Betracht ziehen.

Sobald die Scope-Erweiterungsprüfung ohne Abweichungen abgeschlossen ist, wird Ihr Prüfdienstleister:

  • Ihren Prüf-Scope im ENX-Portal aktualisieren.

  • den Prüfbericht der Scope-Erweiterungsprüfung ausstellen.

Eine Scope-Erweiterungsprüfung verlängert nicht den ursprünglichen Gültigkeitszeitraum Ihrer bestehenden TISAX-Labels.

7.8. Anhang: ISA-Lebenszyklus-Management

Eine ENX-Arbeitsgruppe pflegt den ISA. Der VDA veröffentlicht offiziell neue Versionen. Wir haben einen Zeitplan definiert, der festlegt, welche Version des ISA zu einem bestimmten Zeitpunkt die Grundlage für eine TISAX-Prüfung ist.

Wenn der VDA eine neue Version veröffentlicht, die Änderungen in Form und Inhalt enthält, beginnt unser Zeitplan und wir verteilen die neue Version an unsere TISAX-Prüfdienstleister. In der Regel KÖNNEN die Prüfdienstleister acht Wochen später Prüfungen auf Grundlage der neuen Version durchführen. Sechzehn Wochen später MÜSSEN die Prüfdienstleister Prüfungen auf Grundlage der neuen Version durchführen. Diese Fristen gelten für Prüfungen, die NACH Beginn des Zeitplans beauftragt werden. Wenn Sie Ihre Prüfung vor Beginn des Zeitplans beauftragt haben, KANN Ihr Prüfdienstleister die Prüfung auf Grundlage der älteren Version der ISA durchführen. Ihr Prüfdienstleister wird jedoch in der Regel eine Prüfung auf der Grundlage der neueren Version empfehlen.

Die Veröffentlichungsdaten finden Sie im ISA im Reiter „Änderungshistorie“ und auf der -isa-Webseite des VDA (www.vda.de/de/themen/sicherheit-und-standards/informationssicherheit/informationssicherheit-sicherheitsanforderungen)

7.9. Anhang: Hilfreiche Dokumente

Dieser Abschnitt listet Dokumente auf, die wir als hilfreich erachten.

  • Whitepaper „Harmonisierung der Klassifizierungsstufen“

    „Die Informationsklassifizierung stellt eine wesentliche Grundlage zur Erreichung eines bedarfsgerechten Informationssicherheitsniveaus dar. Das vorliegende Whitepaper gibt eine Orientierung zu harmonisierten und standardisierten Klassifizierungsstufen in Bezug auf die Vertraulichkeit.“

    Verfügbare Sprachen: Deutsch, Englisch

    Herausgeber: Verband der Automobilindustrie e.V.

  • Whitepaper „Risikomanagement in der Informationssicherheit“

    „Ziel des Whitepapers ist es, Unternehmen in der Automobilindustrie hinsichtlich eines risikoorientierten Informationssicherheitsmanagements zu sensibilisieren und zu befähigen, ein effektives Informationssicherheitsrisikomanagement zu etablieren. Das Whitepaper soll darüber hinaus Organisationen bei der Vorbereitung oder Durchführung eines TISAX Assessments unterstützen, die Anforderungen der VDA ISA Kontrollfrage 1.4.1 zu erfüllen. Es ist in diesem Zusammenhang als Umsetzungsempfehlung zu verstehen, nicht als verpflichtende Vorgabe.“

    Verfügbare Sprachen: Deutsch, Englisch

    Herausgeber: Verband der Automobilindustrie e.V.

8. Dokumentenhistorie

Version Anmerkungen

2.3

  • Wechsel von Word/PDF zu HTML als primäres Format für das Handbuch

  • Weitere Übersetzungen verfügbar (Chinesisch und Französisch, siehe nächster Punkt)

  • Abschnitt “Das TISAX-Teilnehmerhandbuch in anderen Sprachen und Formaten” hinzugefügt

  • Alle Links auf die ENX-Homepage von "https://portal.enx.com" auf "https://enx.com" geändert (die alten Links funktionieren noch)

  • „VDA ISA“ wird zu „ISA“

  • Abschnitt Abschnitt 5.2, “Selbsteinschätzung auf Basis des ISA” aktualisiert, um Änderungen zu berücksichtigen, die durch den ISA in Version 5 eingeführt wurden

  • Zeilen aller Tabellen, die Prüfziele auflisten, neu sortiert, um der geänderten Reihenfolge der Kriterienkataloge im ISA 5 zu entsprechen

  • Abbildungen mit Prüfziel-Auflistungen aktualisiert, um der geänderten Reihenfolge der Kritierienkataloge im ISA 5 zu entsprechen

  • Abschnitt „Maßschneidern des Scopes“ aktualisiert (Abbildung 6, Tippfehler korrigiert, Prüfziele aktualisiert)

  • Abschnitt „Entgelt“ mit Informationen über Kreditkartenzahlungen aktualisiert

  • Abschnitt „TISAX-Prüfprozessdiagramm“ aktualisiert (Abbildung 34, Verweis auf Managed-Service-Provider entfernt)

  • Abschnitt „Anhang: Hilfreiche Dokumente“ aktualisiert (Whitepaper „Risikomanagement in der Informationssicherheit“ hinzugefügt)

2.2.1

  • Kleine Tippfehler korrigiert

2.2

2.1.2

  • Formale Grenze für „Abstand“ zwischen „Ihrem Ergebnis“ und „maximalem Ergebnis“ korrigiert von 25 % auf 30 %

2.1.1

  • Kleine Tippfehler korrigiert

2.1





1. Verband der Automobilindustrie e. V. (VDA), www.vda.de
2. Vielleicht möchten Sie den TISAX-Prozess als Präventivmaßnahme durchlaufen. Einige Unternehmen tun dies, um besser vorbereitet zu sein. Bereits TISAX-geprüft zu sein kann eine wesentlich kürzere Anlaufphase bedeuten und Ihnen damit einen Vorteil gegenüber noch nicht TISAX-geprüften Wettbewerbern verschaffen.
3. „TISAX-Labels“ sind ein Konzept zur Zusammenfassung Ihres Prüfergebnisses und sind der Output des TISAX-Prozesses. Weitere Informationen finden Sie in Abschnitt 5.4.13, “TISAX-Labels”.
4. Die meisten Registrierungsschritte müssen Sie nur einmalig durchführen, wenn Sie als TISAX-Teilnehmer starten. Für die Erneuerung Ihres Prüfergebnisses müssen Sie Ihre Daten nur aktualisieren und bestätigen.
5. Wir werden Änderungen unserer AGBs im ENX-Portal veröffentlichen und dort registrierte Ansprechpartner benachrichtigen.
6. Dies gilt auch für alle anderen zusätzlichen Vereinbarungen (z. B. Verhaltenskodizes).
7. Das ist die Beschreibung des Standard-Scopes in Version 1.0. Wir haben die Beschreibung versioniert, da wir sie zukünftig möglicherweise aktualisieren.
8. „TISAX-Labels“ sind ein Konzept zur Zusammenfassung Ihres Prüfergebnisses und sind der Output des TISAX-Prozesses. Weitere Informationen finden Sie in Abschnitt 5.4.13, “TISAX-Labels”.
9. „X“ ist Ihr Unternehmen.
10. Um das zu umgehen können Sie: a) den Standort aus dem Scope nehmen, b) die Probleme lösen, c) den Standort nachträglich mit einer Scope-Erweiterungsprüfung wieder hinzufügen.
11. Bitte beachten Sie, dass Ihr Partner nicht automatisch über neue Berechtigungen informiert wird. Möglicherweise möchten Sie Ihren Partner benachrichtigen, sobald Ihr Prüfergebnis für Ihn verfügbar ist.
12. Wenn Sie auf diese Liste möchten, sprechen Sie uns bitte an.
13. Nachweise sind alles, was Ihre Aussagen unterstützt, dass Sie eine bestimmte Anforderung erfüllen. Nachweise sind hauptsächlich Dokumente. Sie werden mit Sicherheit interne Dokumentationen als Nachweise verwenden.
14. Interviews für Prüfungen mit Assessment-Level 2 werden in der Regel als Telefonkonferenz durchgeführt. Auf Wunsch können die Interviews vor Ort durchgeführt werden.
15. Unsere normale Kommunikation per E-Mail wird nur an die Teilnehmer-Ansprechpartner geschickt. Sie wird nicht an Portal-Accounts ohne Teilnehmer-Rolle verschickt. Damit Account-Inhaber unsere E-Mails auch erhalten, weisen Sie ihnen bitte mindestens eine Rolle als zusätzlicher Teilnehmer-Ansprechpartner zu.
16. Das theoretische Minimum für vereinfachte Gruppenprüfungen sind drei Standorte.
17. Wenn Sie bereits wissen, dass Sie Ihr Informationssicherheitsmanagementsystem verbessern müssen, ist das empfohlene Minimum zwölf Standorte.
18. Um mögliche Verwechslungen zwischen Zahlen und Buchstaben (z. B. 8 und B) zu vermeiden, sind bestimmte Buchstaben in Participant-IDs nicht erlaubt. Allerdings können einige ältere Participant-IDs den Buchstaben „G“ enthalten.
19. Der ISA bezeichnet die Kriterienkataloge auch als „Module“.
20. Die zugrundeliegende Excel-Funktion finden Sie im Menüband „Daten“, Abschnitt „Gliederung“.
21. Haben Sie Prüfdienstleister für Ihr Unternehmen für ähnliche Prüfungen (wie ISO/IEC 27001), die ebenfalls an der Durchführung von TISAX-Prüfungen interessiert sind? Dann geben Sie Ihnen dieses Handbuch und sagen Sie ihnen, sie sollen uns ansprechen, um herauszufinden, welche Anforderungen ein TISAX-Prüfdienstleister erfüllen muss.
22. Prüfdienstleister, die nicht in unserer Auflistung enthalten sind, dürfen keine TISAX-Prüfungen durchführen.
23. Bei Verlassen des TISAX-Prozesses erhalten Sie keine TISAX-Labels.
24. Genau genommen gibt es einen vierten Typ: Die „Scope-Extension-Prüfung“. Da es sich hierbei um einen Sonderfall handelt, wird er im Anhang in Abschnitt 7.7.5, “Zusätzlicher Standort (Scope-Erweiterungsprüfung)” detailliert beschrieben.
25. Die „offizielle Eröffnungsbesprechung“ wird nur für die Erstprüfung detailliert beschrieben. Für die anderen TISAX-Prüfungen plant und gestaltet Ihr Prüfdienstleister diese Termine.
26. Einige Prüfdienstleister könnten den Begriff „Kickoff-Meeting“ synonym für die „offizielle Eröffnungsbesprechung“ verwenden.
27. Die „offizielle Abschlussbesprechung“ wird nur für die Erstprüfung detailliert beschrieben. Für die anderen TISAX-Prüfungen plant und gestaltet Ihr Prüfdienstleister diese Termine.
28. Wenn ein Streit nicht gelöst werden kann, haben Sie die Möglichkeit, das Problem zu eskalieren. Bitte sprechen Sie uns für weitere Details an.
29. Änderungen am Scope sind in diesem Stadium immer noch möglich.
30. Weitere Informationen zu Prüfmethoden und -intensitäten finden Sie in Abschnitt 4.3.3.6, “Schutzbedarfe und Assessment-Level”.
31. Wenn ein Streit nicht gelöst werden kann, haben Sie die Möglichkeit, das Problem zu eskalieren. Bitte sprechen Sie uns für weitere Details an.
32. Der Zeitraum zwischen Erstprüfung und der „Maßnahmenplanprüfung“ darf nicht länger als neun Monate sein.
33. Bitte beachten Sie, dass Ihr Gesamtprüfergebnis immer noch „Hauptabweichend“ sein kann, auch wenn Sie entsprechende Abhilfemaßnahmen definiert haben. Dies ist der Fall, wenn Ihre Maßnahmen nicht sofort wirksam werden (können).
34. Dies gilt natürlich nur für eine Erstprüfung, bei der keine Abweichungen festgestellt wurden. Sie brauchen keine Follow-up-Prüfung für eine Erstprüfung mit dem Prüfergebnis „Konform“.
35. Theoretisch kann dies neun Monate nach dem Abschluss der Erstprüfung sein.
36. Genau genommen gibt es einen vierten Typ: Die „Scope-Extension-Prüfung“. Da es sich hierbei um einen Sonderfall handelt, wird er im Anhang in Abschnitt 7.7.5, “Zusätzlicher Standort (Scope-Erweiterungsprüfung)” detailliert beschrieben.
37. Der „TISAX-Bericht“ basiert auf einer Vorlage, zu deren Verwendung alle TISAX-Prüfdienstleister verpflichtet sind.
38. Das Wort "Erneuerung" kann irreführend sein. Um ein TISAX-Label für mehr als drei Jahre zu behalten, müssen Sie den TISAX-Prozess erneut durchlaufen. Dies beginnt mit der Registrierung eines neuen Prüf-Scopes.
39. Wir führen keine „TISAX-öffentliche“ Liste der Participant-IDs. Der Grund dafür ist, dass wir einem versehentlichen Teilen aufgrund von ähnlich klingenden Firmennamen oder anderen „menschlichen Fehlern“ vorbeugen möchten. Daher müssen Sie immer die Participant-ID Ihres Partners direkt bei ihm erfragen.
40. Ihr Partner muss sich im ENX-Portal anmelden und aktiv Ihr Prüfergebnis nachschlagen. Ihr Partner erhält keine automatisierte Benachrichtigung über neue geteilte Prüfergebnisse.
41. Die Regel ist in den „TISAX Allgemeine Teilnahmebedingungen“ (TISAX-Teilnehmer-AGBs) definiert (https://enx.com/tisaxgtcde.pdf).