Wie Sie die TISAX-Prüfung bestehen und Ihr Prüfergebnis mit Ihrem Partner teilen

Herausgeber

ENX Association
Eine französische Association nach dem Gesetz von 1901,
eingetragen bei der Sous-Préfecture Boulogne-Billancourt, Frankreich unter der Nummer w923004198.

Anschriften
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Frankreich
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Deutschland

Verfasser

Florian Gleich

Kontakt

Version

Datum:

08.04.2024

Version:

2.7.2

Klassifizierung:

Öffentlich

ENX doc ID:

602-DE

Urheberschutzvermerk

Alle Rechte vorbehalten.
ENX, TISAX und ihre jeweiligen Logos sind eingetragene Marken der ENX Association.
Erwähnte Marken Dritter sind Eigentum der jeweiligen Inhaber.

1. Überblick

1.1. Zweck

Willkommen bei TISAX, dem „Trusted Information Security Assessment Exchange“.

Einer Ihrer Partner hat Sie aufgefordert nachzuweisen, dass Ihr Informationssicherheitsmanagement den Anforderungen des „Information Security Assessment“ (ISA) entspricht. Und nun wollen Sie wissen, wie Sie dieser Aufforderung nachkommen können.

Der Zweck dieses Handbuchs ist es, Ihnen zu ermöglichen, der Aufforderung Ihres Partners nachzukommen — oder ihm zuvor zu kommen, indem Sie diese Anforderung erfüllen, noch bevor ein Partner danach fragt.

Dieses Handbuch beschreibt die Schritte, die Sie gehen müssen, um die TISAX-Prüfung zu bestehen und Ihr Prüfergebnis mit Ihrem Partner zu teilen.

Ein Informationssicherheitsmanagementsystems (ISMS) aufzubauen und aufrecht zu erhalten ist bereits eine komplexe Aufgabe. Ihrem Partner nachzuweisen, dass Ihr Informationssicherheitsmanagementsystem der Aufgabe gewachsen ist, erhöht die Komplexität weiter. Dieses Handbuch wird Ihnen nicht bei der Verwaltung Ihrer Informationssicherheit helfen. Aber es beabsichtigt, es Ihnen so einfach wie möglich zu machen, Ihre Anstrengungen gegenüber Ihrem Partner nachzuweisen.

1.2. Geltungsbereich

Dieses Handbuch gilt für alle TISAX-Prozesse, an denen Sie beteiligt sind.

Es enthält alles, was Sie wissen müssen, um den TISAX-Prozess zu durchlaufen.

Das Handbuch bietet einige Ratschläge zum Umgang mit den Anforderungen an die Informationssicherheit, die im Mittelpunkt der Prüfung stehen. Aber es beabsichtigt nicht, Sie grundsätzlich darüber aufzuklären, was Sie tun müssen, um die Informationssicherheitsprüfung zu bestehen.

1.3. Zielgruppe

Hauptzielgruppe dieses Handbuchs sind Unternehmen, die ein bestimmtes Niveau Ihres Informationssicherheitsmanagements gemäß den Anforderungen des „Information Security Assessment“ (ISA) nachweisen wollen oder müssen.

Sobald Sie aktiv an den TISAX-Prozessen beteiligt sind, profitieren Sie von den Informationen in diesem Handbuch.

Auch Unternehmen, die ihren Zulieferer auffordern, ein bestimmtes Niveau des Informationssicherheitsmanagement nachzuweisen, werden davon profitieren. Dieses Handbuch ermöglicht es ihnen zu verstehen, was ihre Zulieferer tun müssen, um ihrer Aufforderung nachzukommen.

1.4. Aufbau

Wir beginnen mit einer kurzen Einführung in TISAX. Danach folgen direkt Anweisungen, WIE Dinge getan werden müssen. Sie werden alles finden, was Sie brauchen, um durch den Prozess zu kommen — in der Reihenfolge, in der Sie es wissen müssen.

Die geschätzte Lesezeit für das Dokument beträgt 75-90 Minuten.

1.5. Wie Sie dieses Dokument benutzen

Früher oder später werden Sie wahrscheinlich das meiste von dem, was in diesem Dokument beschrieben wird, verstehen wollen. Für eine gute Vorbereitung empfehlen wir, das gesamte Handbuch zu lesen.

Wir haben das Handbuch jedoch nach den drei Hauptschritten des TISAX-Prozesses strukturiert. So können Sie den Abschnitt wählen, den Sie gerade benötigen, und den Rest später lesen.

Das Handbuch nutzt Illustrationen, um Ihnen zu helfen Ihr Verständnis zu verbessern. Oft haben die Farben in den Abbildungen eine unterstützende Bedeutung. Wir empfehlen daher, das Dokument entweder auf einem Bildschirm oder als Farbausdruck zu lesen.

Wir freuen uns über Ihre Rückmeldung. Wenn Sie der Meinung sind, dass etwas in diesem Handbuch fehlt oder nicht einfach zu verstehen ist, teilen Sie uns das bitte mit. Wir und alle künftigen Leser dieses Handbuchs werden Ihnen für Ihre Rückmeldung dankbar sein.

Wenn Sie bereits eine vorherige Version des TISAX-Teilnehmerhandbuchs benutzt haben, dann finden Sie eventuell hilfreiche Anmerkungen am Ende des Dokuments in Abschnitt 8, “Dokumentenhistorie”.

1.6. Sprechen Sie uns an

Wir sind hier, um Sie durch den TISAX-Prozess zu führen und Ihre Fragen zu beantworten.

Schicken Sie uns eine E-Mail an:

tisax@enx.com

Oder rufen Sie uns an:

+49 69 9866927-77

Sie erreichen uns zu den üblichen Geschäftszeiten in Deutschland (UTC+01:00).

Wir sprechen alle Icon der Flagge von Deutschland Deutsch und Icon der Flagge des Vereinigten Königreichs Englisch. Ein Kollege spricht Icon der Flagge von Italien Italienisch (Muttersprachler).

1.7. Das TISAX-Teilnehmerhandbuch in anderen Sprachen und Formaten

Das TISAX-Teilnehmerhandbuch ist in den folgenden Sprachen und Formaten verfügbar:

Sprache Version Format Link

Icon der Flagge des Vereinigten Königreichs Englisch

2.7.2

Online

https://www.enx.com/handbook/tisax-participant-handbook.html

Offline

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

Icon der Flagge von Deutschland Deutsch

2.7.2

Online

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

Offline

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

Icon der Flagge von Frankreich Französisch

2.7

Online

https://www.enx.com/handbook/tph-fr.html

Offline

https://www.enx.com/handbook/tph-fr-offline.html

PDF

https://www.enx.com/handbook/tph-fr.pdf

Icon der Flagge von China Chinesisch

2.7

Online

https://www.enx.com/handbook/tph-cn.html

Offline

https://www.enx.com/handbook/tph-cn-offline.html

PDF

https://www.enx.com/handbook/tph-cn.pdf

Icon der Flagge von Spanien Spanish

2.7

Online

https://www.enx.com/handbook/tph-es.html

Offline

https://www.enx.com/handbook/tph-es-offline.html

PDF

https://www.enx.com/handbook/tph-es.pdf

Icon der Flagge von Japan Japanisch

2.7

Online

https://www.enx.com/handbook/tph-jp.html

Offline

https://www.enx.com/handbook/tph-jp-offline.html

PDF

https://www.enx.com/handbook/tph-jp.pdf

Icon der Flagge von Brasilien Brasilianisches Portugiesisch

2.7

Online

https://www.enx.com/handbook/tph-pt.html

Offline

https://www.enx.com/handbook/tph-pt-offline.html

PDF

https://www.enx.com/handbook/tph-pt.pdf

Icon der Flagge von Italien Italienisch

2.7.1

Online

https://www.enx.com/handbook/tph-it.html

Offline

https://www.enx.com/handbook/tph-it-offline.html

PDF

https://www.enx.com/handbook/tph-it.pdf

Icon der Flagge von Süd-Korea Koreanisch

2.7

Online

https://www.enx.com/handbook/tph-kr.html

Offline

https://www.enx.com/handbook/tph-kr-offline.html

PDF

https://www.enx.com/handbook/tph-kr.pdf

Icon  der Flagge der Tschechischen Republik Tschechisch

2.7.1

Online

https://www.enx.com/handbook/tph-cz.html

Offline

https://www.enx.com/handbook/tph-cz-offline.html

PDF

https://www.enx.com/handbook/tph-cz.pdf

Icon der Flagge von Polen Polnisch

2.7.1

Online

https://www.enx.com/handbook/tph-pl.html

Offline

https://www.enx.com/handbook/tph-pl-offline.html

PDF

https://www.enx.com/handbook/tph-pl.pdf

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Die englische Version ist die führende Version.
Alle anderen Sprachen sind Übersetzungen der englischen Version.
Im Zweifelsfall ist die englische Version maßgebend.

1.7.1. Zur deutschen Übersetzung

Dieses TISAX-Teilnehmerhandbuch ist eine Übersetzung der englischen Version.

Alle TISAX zugrunde liegenden Dokumente sind auf Englisch entstanden (z. B. sämtliche Verträge und Vorgaben für die TISAX-Prüfdienstleister). Folglich kann es Ihnen passieren, dass Ihr Partner oder Ihr Prüfdienstleister einige der TISAX-spezifischen Begriffe auf Englisch verwendet.

Um Ihnen eine Zuordnung zu ermöglichen, haben wir in der deutschen Übersetzung des TISAX-Teilnehmerhandbuchs den englischen TISAX-Originalbegriff entweder beibehalten (ggf. leicht „eingedeutscht“) oder in Klammern direkt hinter der deutschen Übersetzung angeben.

1.7.2. Zum Online-Format

Jeder Abschnitt hat eine eindeutige ID (Format: ID1234).
Eine ID referenziert einen bestimmten Abschnitt, ungeachtet der Sprache.
Wenn Sie auf einen bestimmten Abschnitt verlinken möchten, können Sie:

  • Entweder auf den Abschnittstitel rechtsklicken und den Link kopieren

  • oder Sie klicken auf den Abschnittstitel und kopieren den Link aus der Adresszeile Ihres Browsers.

Die meisten Abbildungen sind in einem größeren Format verfügbar, als hier standardmäßig angezeigt wird. Klicken Sie auf eine Abbildung, um die größere Version zu öffnen.

1.7.3. Zum Offline-Format

Das Offline-Format behält die meisten Eigenschaften des Online-Formats. Vor allem die Abbildungen sind in die HTML-Datei eingebettet. Sie brauchen nur eine Datei, um das Offline-Format zu nutzen.

Im Vergleich zum Online-Format, fehlen dem Offline-Format:

  • die größeren Abbildungen

  • die Original-Schriftarten des Online-Formats
    Die Einstellungen Ihres Browsers bestimmen die Schriftarten.

1.7.4. Zum PDF-Format

Wenn Sie das PDF-Format auf Ihrem Computer benutzen, können Sie weiterhin auf alle Referenzen klicken. Wenn Sie hingegen die PDF-Version ausdrucken, werden Sie keine Seitenzahlen haben und Referenzen selbst nachschauen müssen.

2. Einleitung

In den folgenden Abschnitten stellen wir Ihnen das TISAX-Konzept vor.

Wenn Sie es eilig haben, können Sie diese überspringen und sofort mit Abschnitt 4.3, “Vorbereitung auf die Registrierung” beginnen.

2.1. Warum TISAX?

Oder besser gesagt, warum Sind Sie hier?

Um diese Frage zu beantworten, beginnen wir mit ein paar generellen Überlegungen zum Geschäftsleben im Allgemeinen und zum Schutz von Informationen im Besonderen.

Stellen Sie sich Ihren Partner vor. Er hat vertrauliche Informationen. Er will sie mit seinem Zulieferer teilen — mit Ihnen. Die Zusammenarbeit zwischen Ihnen und Ihrem Partner schafft Werte. Die Informationen, die Ihr Partner mit Ihnen teilt, sind ein wichtiger Teil dieser Wertschöpfung. Deshalb will er sie angemessen schützen. Und er möchte sicher sein, dass Sie seine Informationen mit der gleichen Sorgfalt behandeln.

Aber wie kann er sicher sein, dass seine Informationen in guten Händen sind? Er kann Ihnen nicht einfach „glauben“. Ihr Partner braucht Nachweise.

Jetzt kommen zwei Fragen auf. Wer bestimmt, was „sicherer“ Umgang mit Informationen bedeutet? Und als nächstes: Wie können sie es nachweisen?

2.2. Wer bestimmt, was "sicher" bedeutet?

Weder Ihr Partner noch Sie sind die Einzigen, die sich diesen Fragen zum ersten Mal stellen müssen. Fast jeder muss Antworten darauf finden und die meisten Antworten werden sich in gewisser Weise ähneln.

Jedes Mal, wenn Sie selbstständig eine Lösung für ein alltägliches Problem finden müssten, nimmt Ihnen eine Standardmethode die Arbeit ab, alles von Grund auf neu zu erfinden. Während die Definition eines Standards einen enormen Aufwand bedeutet, wird er aber nur einmal erbracht und die späteren Nutzer profitieren jedes Mal davon.

Es gibt sicherlich unterschiedliche Ansichten darüber, was für den Schutz von Informationen das Richtige ist. Doch aufgrund der oben genannten Vorteile setzen die meisten Unternehmen auf Standards. Ein Standard ist die komprimierte Form aller erprobten und bewährten Best Practices für eine bestimmte Herausforderung.

Standards wie ISO/IEC 27001 (über Informationssicherheitsmanagementsysteme, ISMS) und deren Implementierung stellen in Ihrem Fall die anerkannteste Art der sicheren Verarbeitung von vertraulichen Informationen dar. Ein solcher Standard erspart Ihnen, das Rad neu zu erfinden. Noch wichtiger ist, dass Standards eine gemeinsame Basis bilden, wenn zwei Unternehmen vertrauliche Daten austauschen müssen.

2.3. Der Weg der Automobilindustrie

Branchenunabhängige Standards sind naturgemäß eher als Universallösung konzipiert als auf die spezifischen Bedürfnisse von Unternehmen aus der Automobilindustrie zugeschnitten.

Die Automobilindustrie hat bereits vor langer Zeit Verbände gegründet, deren Ziel es unter anderem ist, Standards zu verfeinern und zu definieren, die ihre spezifischen Bedürfnisse berücksichtigen. Der Verband der Automobilindustrie (VDA) ist einer davon. Innerhalb der Arbeitsgruppe, die sich mit Informationssicherheit beschäftigt, kamen mehrere Mitglieder der Automobilindustrie zu dem Schluss, dass sie ähnliche Bedürfnisse haben, bestehende Standards für das Informationssicherheitsmanagement anzupassen.

Das Ergebnis der gemeinsamen Anstrengungen ist ein Fragebogen, der die branchenweit akzeptierten Anforderungen der Automobilindustrie an die Informationssicherheit abdeckt. Er wird als „Information Security Assessment“ (ISA) bezeichnet.

Mit dem ISA haben wir nun eine Antwort auf die Frage „Wer bestimmt, was „sicher“ bedeutet?“. Durch den VDA bietet die Automobilindustrie selbst ihren Mitgliedern diese Antwort an.

2.4. Wie können Sie Sicherheit effizient nachweisen?

Während einige Unternehmen den ISA nur für interne Zwecke nutzen, bewerten andere damit die Reife des Informationssicherheitsmanagements ihrer Zulieferer. In einigen dieser Fälle war eine „Selbsteinschätzung“ eine ausreichende Grundlage für die Geschäftsbeziehung. In bestimmten Fällen führten Unternehmen jedoch eine vollständige Prüfung des Informationssicherheitsmanagements ihrer Zulieferer durch (einschließlich Vor-Ort-Prüfungen).

Neben einem allgemein zunehmenden Bewusstsein für die Notwendigkeit des Informationssicherheitsmanagements und der zunehmenden Akzeptanz des ISA als Instrument zur Informationssicherheitsprüfung sahen sich immer mehr Zulieferer mit ähnlichen Anfragen verschiedener Partner konfrontiert.

Diese Partner wendeten noch unterschiedliche Standards an und hatten unterschiedliche Auffassungen davon, wie sie zu interpretieren sind. Aber die Zulieferer mussten im Wesentlichen die gleichen Dinge nachweisen, nur auf verschiedene Weisen.

Und je mehr Zulieferer von ihren Partnern aufgefordert wurden, ihr Niveau des Informationssicherheitsmanagements nachzuweisen, desto lauter wurden die Stimmen, die sich über wiederholte Anstrengungen beklagten. Einem Prüfdienstleister nach dem anderen die gleichen Maßnahmen des Informationssicherheitsmanagements zu zeigen, ist einfach nicht effizient.

Was kann man tun, um dies effizienter zu gestalten? Wäre es nicht hilfreich, wenn der Bericht eines Prüfers für verschiedene Partner wiederverwendet werden könnte?

Die OEMs und Zulieferer in der ENX-Arbeitsgruppe, die für die Pflege des ISA zuständig ist, hörten die Klagen ihrer Zulieferer. Nun bieten sie ihren Zulieferern und allen anderen Unternehmen der Automobilindustrie eine Antwort auf die Frage „Wie weist man Sicherheit nach?“.

Die Antwort ist TISAX, kurz für „Trusted Information Security Assessment Exchange“ (in etwa „Vertrauenswürdiger Austausch von Informationssicherheitsprüfungen“).

3. Der TISAX-Prozess

3.1. Überblick

Der TISAX-Prozess beginnt in der Regel[1] damit, dass einer Ihrer Partner Sie auffordert, ein definiertes Niveau des Informationssicherheitsmanagements gemäß den Anforderungen des „Information Security Assessment“ (ISA) nachzuweisen. Um dieser Aufforderung nachzukommen, müssen Sie den 3-schrittigen TISAX-Prozess durchlaufen. Dieser Abschnitt gibt Ihnen einen Überblick über die notwendigen Schritte.

Der 3-schrittige TISAX-Prozess besteht aus den folgenden Schritten:

TISAX-Prozess-Überblick
Abbildung 1. TISAX-Prozess-Überblick
  1. Registrierung
    Wir sammeln Informationen über Ihr Unternehmen und was Bestandteil der Prüfung sein soll.

  2. Prüfung
    Sie durchlaufen die Prüfung(en), die von einem unserer TISAX-Prüfdienstleister durchgeführt wird/werden.

  3. Austausch
    Sie teilen Ihr Prüfergebnis mit Ihrem Partner.

Jeder Schritt besteht aus Teilschritten. Diese werden in den drei folgenden Abschnitten kurz dargestellt und in den jeweiligen Abschnitten weiter unten detailliert beschrieben.

Icon für Info-Boxen

Bitte beachten Sie:

Wir würden Ihnen gerne einen Anhaltspunkt geben, wie lange es dauern wird, bis Sie Ihr TISAX-Prüfergebnis erhalten. Aber wir bitten um Ihr Verständnis, dass es uns nicht möglich ist, dies zuverlässig vorhersagen zu können. Die Gesamtdauer des TISAX-Prozesses hängt von zu vielen Faktoren ab. Die große Bandbreite an Unternehmensgrößen, Prüfzielen und die jeweiligen Zustände eines Informationssicherheitsmanagementsystems machen dies unmöglich.

3.2. Registrierung

Ihr erster Schritt ist die TISAX-Registrierung.

Der Hauptzweck der TISAX-Registrierung besteht darin, Informationen über Ihr Unternehmen zu sammeln. Wir verwenden einen Online-Registrierungsprozess, um Ihnen zu helfen, uns diese Informationen zur Verfügung zu stellen.

Die Registrierung ist die Voraussetzung für alle weiteren Schritte und sie ist kostenpflichtig.

Während des Online-Registrierungsprozesses:

  • bitten wir Sie um Kontaktdaten und Abrechnungsinformationen.

  • müssen Sie unsere Allgemeinen Geschäftsbedingungen akzeptieren.

  • können Sie den Scope der Informationssicherheitsprüfung festlegen.

Um direkt mit diesem Schritt zu starten, lesen Sie bitte weiter in Abschnitt 4, “Registrierung (Schritt 1)”.

Der Online-Registrierungsprozess ist in Abschnitt 4.5, “Online-Registrierungsprozess” ausführlich beschrieben. Aber wenn Sie gleich anfangen wollen, gehen Sie bitte zu Icon der Flagge von Deutschland enx.com/de-de/TISAX/.

3.3. Prüfung

Im zweiten Schritt durchlaufen Sie die Informationssicherheitsprüfung.

Es gibt vier Teilschritte:

  1. Prüfungsvorbereitung
    Sie müssen die Prüfung vorbereiten. Das Maß hängt vom derzeitigen Reifegrad Ihres Informationssicherheits-managementsystems ab. Aber Ihre Vorbereitung muss auf dem ISA-Katalog basieren.

  2. Prüfdienstleisterauswahl
    Sie müssen einen unserer TISAX-Prüfdienstleister auswählen.

  3. Informationssicherheitsprüfung(en)
    Ihr Prüfdienstleister führt die Prüfung auf der Grundlage eines Prüf-Scopes durch, der zu den Anforderungen Ihres Partners passt. Der Prüfprozess besteht mindestens aus der Erstprüfung.
    Wenn Ihr Unternehmen die Prüfung nicht im ersten Anlauf besteht, kann der Prüfprozess weitere Schritte erforderlich machen.

  4. Prüfergebnis
    Sobald Ihr Unternehmen die Prüfung bestanden hat, erhalten Sie von Ihrem Prüfdienstleister den offiziellen „TISAX Assessment Bericht“. Ihr Prüfergebnis erhält auch TISAX-Labels[2].

Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 5, “Prüfung (Schritt 2)”.

3.4. Austausch

Ihr dritter und letzter Schritt besteht darin, Ihr Prüfergebnis mit Ihrem Partner zu teilen. Der Inhalt des „TISAX Assessment Berichts“ ist in Ebenen gegliedert. Sie können entscheiden, bis zu welcher Ebene Ihr Partner Zugang erhält.

Ihr Prüfergebnis ist drei Jahre gültig. Sofern Sie dann noch Zulieferer Ihres Partners sind, müssen Sie Ihr Prüfergebnis erneuern, indem Sie den 3-schrittigen Prozess erneut durchlaufen[3].

Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.


Nachdem Sie nun eine grundlegende Vorstellung davon haben, wie der TISAX-Prozess aussieht, finden Sie in den nächsten Abschnitten Anweisungen, wie Sie die einzelnen Schritte absolvieren können.

4. Registrierung (Schritt 1)

Die geschätzte Lesezeit für den Registrierungsabschnitt beträgt 30-40 Minuten.

4.1. Überblick

Die TISAX-Registrierung ist Ihr erster Schritt. Sie ist die Voraussetzung für alle weiteren Schritte.

Die folgenden Abschnitte führen Sie durch die Registrierung:

  1. Wir beginnen mit der Erläuterung eines wesentlichen neuen Begriffs.

  2. Dann beraten wir Sie, was Sie tun sollten, um auf die Online-Registrierung vorbereitet zu sein.

  3. Anschließend führen wir Sie durch den Online-Registrierungsprozess.

4.2. Sie sind ein TISAX-Teilnehmer

Lassen Sie uns zuerst einen neuen Begriff einführen, den Sie verstehen müssen. Bisher waren Sie der „Zulieferer“. Sie sind hier, um eine Anforderung Ihres „Kunden“ zu erfüllen. TISAX selbst unterscheidet jedoch nicht wirklich zwischen diesen beiden Rollen. Für TISAX ist jeder, der sich registriert hat, ein „Teilnehmer“. Sie — wie auch Ihr Partner — „beteiligen“ sich am Austausch von Ergebnissen von Informationssicherheitsprüfungen.

Registrieren Sie sich
Abbildung 2. Registrieren Sie sich, um ein TISAX-Teilnehmer zu werden

Um die beiden Rollen von Anfang an abzubilden, bezeichnen wir Sie, den Zulieferer, als „aktiven Teilnehmer“. Wir bezeichnen Ihren Partner als „passiven Teilnehmer“. Als „aktiver Teilnehmer“ werden Sie TISAX-geprüft und teilen Ihr Prüfergebnis mit anderen Teilnehmern. Der „passive Teilnehmer“ ist derjenige, der eine TISAX-Prüfung verlangt. Der „passive Teilnehmer“ erhält Ihr Prüfergebnis.

Passiver Teilnehmer und aktiver Teilnehmer
Abbildung 3. Passiver Teilnehmer und aktiver Teilnehmer

Jedes Unternehmen kann in beiden Rollen agieren. Sie können ein Prüfergebnis mit Ihrem Partner teilen und gleichzeitig Ihre eigenen Zulieferer auffordern, sich nach TISAX prüfen zu lassen.

TISAX-Teilnehmer können gleichzeitig aktiv und passiv sein
Abbildung 4. TISAX-Teilnehmer können gleichzeitig aktiv und passiv sein

Sofern Ihre eigenen Zulieferer auch mit den schutzbedürftigen Informationen Ihres Partners umgehen, kann es sogar besonders sinnvoll sein, wenn Sie Ihre eigenen Zulieferer auffordern, sich einer TISAX-Prüfung zu unterziehen.

4.3. Vorbereitung auf die Registrierung

In diesem Abschnitt geben wir Ihnen Empfehlungen, wie Sie sich auf die Registrierung vorbereiten. Wir beschreiben den Registrierungsprozess selbst im Detail in Abschnitt 4.5, “Online-Registrierungsprozess”.

Bevor Sie mit der Online-Registrierung beginnen, empfehlen wir Ihnen dringend:

  • einige Informationen im Voraus zusammen zu tragen

  • und bereits einige Entscheidungen zu treffen.

4.3.1. Die rechtliche Grundlage

Normalerweise müssen Sie zwei Verträge unterschreiben. Den ersten Vertrag gehen Sie zwischen Ihnen und der ENX Association ein: Die „TISAX Allgemeine Teilnahmebedingungen“ (TISAX-Teilnehmer-AGBs). Der zweite Vertrag besteht zwischen Ihnen und einem unserer TISAX-Prüfdienstleister. Für die Registrierung betrachten wir nur den ersten Vertrag.

Die TISAX-Teilnehmer-AGBs regeln unsere gegenseitige Beziehung und Ihre Beziehung zu anderen TISAX-Teilnehmern. Sie definieren die Rechte und Pflichten für uns alle. Neben den üblichen Klauseln, die Sie in den meisten Verträgen finden, definieren sie den Umgang mit den während des TISAX-Prozesses erhaltenen und ausgetauschten Informationen im Detail. Hauptziel dieser Regeln ist dabei der vertrauliche Umgang mit den TISAX-Prüfergebnissen. Da alle TISAX-Teilnehmer den gleichen Regeln unterliegen, können Sie von Ihrem Partner (in seiner Rolle als passiver Teilnehmer) einen angemessenen Schutz Ihres TISAX-Prüfergebnisses erwarten.

Bei der Online-Registrierung werden wir Sie relativ früh bitten, die TISAX-Teilnehmer-AGBs zu akzeptieren. Da es sich um einen richtigen Vertrag handelt, empfehlen wir Ihnen, die TISAX-Teilnehmer-AGBs zu lesen, bevor Sie mit der Online-Registrierung beginnen. Ein Grund dafür ist, dass Sie je nach Ihrer Rolle in Ihrem Unternehmen gegebenenfalls eine Genehmigung von einem internen oder externen Anwalt einholen müssen.

Sie können die „TISAX Allgemeine Teilnahmebedingungen“[4] auf unserer Website herunterladen unter:
Icon der Flagge von Deutschland enx.com/de-de/TISAX/downloads/

Direkter PDF-Download:
Icon der Flagge von Deutschland enx.com/tisaxgtcde.pdf

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Die TISAX-Teilnehmer-AGBs sind in einer deutschen Übersetzung verfügbar. Bei der Online-Registrierung müssen Sie allerdings die englische Version akzeptieren (diese ist ebenfalls im oben verlinkten Dokument enthalten).

Während des Online-Registrierungsprozesses werden Sie gebeten, zwei Pflichtkästchen anzukreuzen:

  • ❏ We accept the TISAX Participation General Terms and Conditions
    Icon der Flagge von Deutschland Wir akzeptieren die TISAX Allgemeine Teilnahmebedingungen

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
    Icon der Flagge von Deutschland Wir bestätigen die Kenntnis des Antragstellers von der Befreiung der beruflichen Schweigepflicht des Prüfdienstleisters gemäß Abschnitt IX.5. und X.3 der TISAX Allgemeine Teilnahmebedingungen;

Das zweite Kästchen gibt es, da einige unserer TISAX-Prüfdienstleister Wirtschaftsprüfer sind. Sie haben besondere Anforderungen hinsichtlich des Berufsgeheimnisses.

In der Regel verbieten es die besonderen Anforderungen hinsichtlich des Berufsgeheimnisses den Wirtschaftsprüfern unter unseren Prüfdienstleistern, Informationen mit uns zu teilen. Dies würde insbesondere die Kontrollmöglichkeiten aushebeln, die wir für unsere Führungsrolle benötigen. Deshalb brauchen wir diese Freigabe. Sie sollten in Erwägung ziehen, diesen Klauseln besondere Aufmerksamkeit zu schenken, bevor Sie das Kästchen ankreuzen.

Wenn Sie üblicherweise eine Geheimhaltungsvereinbarung („NDA“) zwischen Ihnen und jedem benötigen, der mit vertraulichen Informationen umgeht, bitten wir Sie, die entsprechenden Abschnitte in unseren AGBs zu lesen. Diese sollten alle Ihre Bedenken zerstreuen. Außerdem müssen Sie uns in der Regel überhaupt keine vertraulichen Informationen geben.

Zum Abschluss des rechtlichen Teils bitten wir um Verständnis, dass das System davon abhängt, dass jeder die gleichen Regeln akzeptiert. Wir können daher keine zusätzlichen Allgemeinen Geschäftsbedingungen akzeptieren[5].

4.3.2. Der TISAX-Prüf-Scope

Im zweiten Schritt des TISAX-Prozesses führt einer unserer TISAX-Prüfdienstleister die Informationssicherheitsprüfung durch. Er muss wissen, wo er anfangen und wo er aufhören soll. Deshalb müssen Sie einen „Prüf-Scope“ (Scope = Umfang; Icon der Flagge des Vereinigten Königreichs Assessment scope) definieren.

Der „Prüf-Scope“ beschreibt den Umfang der Informationssicherheitsprüfung. Einfach ausgedrückt ist jeder Teil Ihres Unternehmens, der mit vertraulichen Informationen Ihres Partners umgeht, Teil des Prüf-Scopes. Sie können ihn als ein wesentliches Element der Aufgabenbeschreibung des Prüfdienstleisters betrachten. Er gibt vor, was der Prüfdienstleister zu prüfen hat.

Der Prüf-Scope ist aus zwei Gründen wichtig:

  1. Ein Prüfergebnis erfüllt nur dann die Anforderungen Ihres Partners, wenn der jeweilige Prüf-Scope alle Teile Ihres Unternehmens umfasst, die mit Informationen Ihres Partners umgehen.

  2. Ein genau definierter Prüf-Scope ist eine wesentliche Voraussetzung für aussagekräftige Kostenkalkulationen durch unsere TISAX-Prüfdienstleister.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

ISO/IEC 27001 vs. TISAX

Zunächst müssen wir zwischen zwei Arten von Scopes unterscheiden:
1) dem Scope Ihres Informationssicherheitsmanagementsystems (ISMS) und
2) dem Scope der Prüfung.
Diese beiden sind nicht unbedingt identisch.

Für die ISO/IEC 27001-Zertifizierung definieren Sie den Scope Ihres ISMS (im „Scope-Statement“). Bei der Definition des Scopes Ihres ISMS sind Sie völlig frei. Der Scope der Prüfung (auch „Audit-Scope“ genannt) muss jedoch mit dem Scope Ihres ISMS identisch sein.

Für TISAX müssen Sie ebenfalls Ihr ISMS definieren. Der Scope der Prüfung kann jedoch unterschiedlich sein.

Bei der ISO/IEC 27001-Zertifizierung können Sie den Scope der Prüfung durch die Art und Weise, wie Sie den Scope Ihres ISMS definieren, frei gestalten.

Im Gegensatz dazu ist bei TISAX der Scope der Prüfung vordefiniert. Der Scope der Prüfung kann kleiner sein als der Scope Ihres ISMS. Er muss aber innerhalb des Scopes Ihres ISMS liegen.

4.3.2.1. Beschreibung des Prüf-Scopes

Die Beschreibung des Prüf-Scopes definiert den Umfang der Prüfung. Für die Beschreibung des Prüf-Scopes müssen Sie einen von zwei Prüf-Scope-Typen wählen:

  1. Standard scope (Icon der Flagge von Deutschland Standard-Scope)

  2. Custom scope (Icon der Flagge von Deutschland Angepasster Scope)

    1. Custom extended scope (Icon der Flagge von Deutschland Angepasster erweiterter Scope)

    2. Full custom scope (Icon der Flagge von Deutschland Vollständig angepasster Scope)

4.3.2.2. Standard-Scope

Die Beschreibung des Standard-Scope ist die Grundlage für eine TISAX-Prüfung. Andere TISAX-Teilnehmer akzeptieren nur Prüfergebnisse, die auf der Beschreibung des Standard-Scope basieren.

Die Beschreibung des Standard-Scope ist vordefiniert und kann nicht von Ihnen geändert werden.

Einen Standard-Scope zu haben hat für Sie den bedeutenden Vorteil, dass Sie sich keine eigene Definition überlegen müssen.

Dies ist die Beschreibung des „Standard scope“ (Version 2.0):

Icon der Flagge des Vereinigten Königreichs

{img-deflag-alt}

The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations.
The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment.
Der TISAX Scope definiert den Umfang der Prüfung. Die Prüfung umfasst alle Prozesse, Verfahren und beteiligte Ressourcen, die unter der Verantwortung der zu prüfenden Organisation stehen und die für die Sicherheit der in den genannten Prüfzielen definierten Schutzobjekte und deren Schutzziele an den aufgeführten Standorten relevant sind.
Die Prüfung wird mindestens im höchsten Assessment-Level durchgeführt, das in einem der aufgeführten Prüfziele gefordert ist. Alle in den aufgelisteten Prüfzielen geforderten Kriterien sind Gegenstand der Prüfung.

Wir empfehlen dringend, den Standard-Scope zu wählen. Alle TISAX-Teilnehmer akzeptieren die Ergebnisse der Informationssicherheitsprüfung auf Basis des Standard-Scopes.

4.3.2.3. Festlegung des Scopes

Ihre nächste Aufgabe nach der Definition des Scope-Typs ist die Entscheidung, welche Standorte zum Prüf-Scope gehören.

Ist Ihr Unternehmen klein (also nur ein Standort), so ist dies eine einfache Aufgabe. Sie fügen einfach Ihren Standort zum Prüf-Scope hinzu.

Ist Ihr Unternehmen groß, können Sie die Registrierung mehrerer Prüf-Scopes in Betracht ziehen.

Ein einziger Scope, der alle Ihre Standorte enthält, bietet Vorteile:

  • Sie haben einen Prüfbericht, ein Prüfergebnis, ein Ablaufdatum.

  • Sie profitieren möglicherweise von reduzierten Kosten für die Prüfung, da ein TISAX-Prüfdienstleister Ihre zentralen Prozesse, Verfahren und Ressourcen nur einmal bewerten muss.

Aber ein einzelner Scope kann Nachteile haben wie:

  • Alle Standorte müssen die selben Prüfziele haben.

  • Die Prüfergebnisse stehen erst dann zur Verfügung, sobald der TISAX-Prüfdienstleister alle Standorte geprüft hat. Diese Tatsache kann relevant sein, wenn Sie dringend ein Prüfergebnis benötigen.

  • Das Prüfergebnis hängt davon ab, dass alle Standorte die Prüfung bestehen. Wenn nur ein Standort die Prüfung nicht besteht, haben Sie kein positives Prüfergebnis. Um das zu umgehen können Sie: a) den Standort aus dem Scope nehmen, b) die Probleme lösen, c) den Standort nachträglich mit einer Scope-Erweiterungsprüfung wieder hinzufügen.

4.3.2.4. Maßschneidern des Scopes

Die Frage, ob Sie nur einen oder mehrere Scopes brauchen, können nur Sie beantworten. Aber die Beantwortung der Fragen im folgenden Diagramm kann Ihnen bei der Entscheidung möglicherweise helfen.

Entscheidungsbaum für das Maßschneidern von Scopes
Abbildung 5. Entscheidungsbaum für das Maßschneidern von Scopes
Icon für Info-Boxen

Bitte beachten Sie:

Lassen Sie sich von dieser Entscheidung nicht einschüchtern. Sie können jeden Scope ändern, solange der Prüfdienstleister die Prüfung nicht abgeschlossen hat.

Wenn Sie beispielsweise während der Vorbereitung auf Ihre Prüfung feststellen, dass der Scope nicht passt, dann können Sie ihn entsprechend ändern. Oder Ihr Prüfdienstleister empfiehlt Ihnen möglicherweise in den ersten Phasen der Prüfung, den Scope zu ändern.

Weitere Hinweise:

  • Technisch gesehen können Sie den Prüf-Scope, den Sie während der Online-Registrierung im ENX-Portal definiert haben, nicht ändern. Aber der Prüfdienstleister kann Ihren Prüf-Scope aktualisieren, wenn er Ihr Prüfergebnis in das ENX-Portal hochlädt.

  • Wird etwas zum Prüf-Scope hinzugefügt, so erhöht sich das Entgelt und Sie erhalten keine Rückerstattung, wenn Sie Standorte aus dem Prüf-Scope entfernen. Da die Prüfdienstleister den ursprünglichen Scope als Grundlage für ihre Kostenberechnung verwenden, sollten Sie auch mit Änderungen rechnen.

4.3.2.5. Scope-Standorte

Nachdem Sie nun entschieden haben, welche Standorte Teil Ihres Prüf-Scopes sind, können Sie damit weitermachen, einige standortspezifische Informationen zusammen zu tragen.

Für jeden Standort fragen wir nach Informationen wie Firmenname und Adresse. Wir bitten auch um einige zusätzliche Informationen, die es unseren TISAX-Prüfdienstleistern ermöglichen, sich ein besseres Bild von Ihrer Unternehmensstruktur zu machen. Ihre Antworten sind die Grundlage für deren Aufwandsabschätzung.

Bitte bereiten Sie sich darauf vor, die folgenden Angaben für jeden Ihrer Standorte anzugeben (das rote Sternchen * markiert Pflichtfelder im Online-Prozess):

Tabelle 1. Standortspezifische Informationen
Feld Optionen

Standortname *

n/a

D&B D-U-N-S NUMMER

n/a

Standortart *

Campus im Besitz und ausschließlich vom Unternehmen genutzt
Gebäude im Besitz und ausschließlich vom Unternehmen genutzt
Von dem Unternehmen gemietete Gebäude
Etage/Büro von dem Unternehmen in einem gemeinsamen Haus gemietet
Büro mit anderen Unternehmen geteilt
Eigenes Rechenzentrum
Geteiltes Rechenzentrum

Passiver Standortschutz *

Ja
Nein

Branche
(Mehrfach-Auswahl möglich)

Informationstechnologie

  • ❏ IT Service

  • ❏ Telekommunikationsdienstleistung

  • ❏ Softwareentwicklung

Management

  • ❏ Beratung

Medien

  • ❏ Marketing

  • ❏ Agentur

  • ❏ Druckdienstleistung

  • ❏ Fotographie

  • ❏ Übersetzungsdienstleistung

Forschung Und Entwicklung

  • ❏ Fahrzeugprüfung

  • ❏ Fahrzeugsimulation

  • ❏ Prototypenbau

  • ❏ Fahrzeugmodelle

  • ❏ Entwicklungsdienstleistung

  • ❏ CAx-Entwicklungsservices

Produktion

  • ❏ Produktionsdienstleistungen

  • ❏ Auftragsfertigung/Lohnherstellung

  • ❏ Werkstatt

  • ❏ Logistik

Verkauf und Kundendienst

  • ❏ Import, NSC

  • ❏ Händlerbetrieb

  • ❏ Finanzdienstleistung

  • ❏ Versicherung

  • ❏ Schadensabwicklung

Andere Branche
(bitte eingeben)

Mitarbeiter am Standort: Insgesamt *

0
1-10
11-100
101-1.000
1.001-5.000
Mehr als 5.000

Mitarbeiter am Standort: IT *

0
1-10
11-25
26-50
Mehr als 50

Mitarbeiter am Standort: Informationssicherheit *

0
Teilzeit
1-5
6-25
Mehr als 25

Mitarbeiter am Standort: Standortsicherheit *

0
Teilzeit
1-3
4-10
Mehr als 10

Zertifikate für diesen Standort

ISO 27001
Andere (bitte eingeben)
ISAE 3402
SOC2

Icon für Info-Boxen

Bitte beachten Sie:

Bezügliche der „Branche“: Wählen Sie nach bestem Wissen. Es gibt kein Richtig oder Falsch bei der Auswahl aus den obigen Optionen. Wenn Sie keine Option finden, die zu Ihrer Art von Geschäft passt, geben Sie einfach die passende Option unter „Sonstiges“ ein.

Für jeden Standort müssen Sie einen „Location name“ (Icon der Flagge von Deutschland Standort-Name) angeben. Der Zweck des Standort-Namens ist es, das Referenzieren des Standorts bei seiner Zuordnung zu einem Prüf-Scope zu vereinfachen.

Wir empfehlen, den Standort-Namen nach folgendem Muster zu vergeben:

Muster:

[Geografische Referenz]

Beispiel:

für die fiktive Firma „ACME“

  • Frankfurt
    (für einen Standort in der Stadt Frankfurt)

4.3.2.6. Scope-Name

Für jeden Scope müssen Sie einen „Scope name“ (Icon der Flagge von Deutschland Scope-Name) angeben. Der Hauptzweck des Scope-Namens besteht darin, dass Sie einen Scope in der Übersichtsliste der Scopes im ENX-Portal leicht identifizieren können. Sie sollten einen Namen vergeben, der für den Leser und Ihre Kollegen hilfreich ist. Für die externe Kommunikation sollten Sie die Scope ID verwenden.

Sie können jeden beliebigen Namen angeben. Aber Sie sollten denselben Scope-Namen nicht mehr als einem Scope zuweisen.

Wenn Sie später Ihre TISAX-Prüfung erneuern möchten, müssen Sie einen neuen Scope erstellen (möglicherweise identisch mit dem jetzigen Scope). Wir empfehlen daher, das Jahr der Prüfung in den Scope-Namen aufzunehmen.

Wir empfehlen, Scope-Namen nach folgendem Muster zu vergeben:

Muster:

[Geografische oder funktionale Referenz] [Jahr der Prüfung]

Beispiel:

für die fiktive Firma „ACME“

  • 2024
    (ohne geographische Referenz, falls Ihre Firma nur einen Standort hat)

  • Frankfurt 2024
    (für einen Scope mit mehreren Standorten in der Stadt Frankfurt)

  • Niedersachsen 2024
    (für einen Scope mit allen Standorten im Bundesland Niedersachsen)

  • Deutschland 2024
    (für einen Scope mit allen Standorten im Land Deutschland)

  • EMEA 2024
    (für einen Scope mit allen Standorten in der Region EMEA (“Europe, Middle East, Africa“))

  • Prototypen-Entwicklung 2024
    (funktionale Referenz für einen Scope mit allen Standorten, die an Prototypen-Entwicklung beteiligt sind)

4.3.2.7. Ansprechpartner

Für unsere Kommunikation mit Ihnen sammeln wir Informationen über Ansprechpartner in Ihrem Unternehmen.

Wir bitten um mindestens einen Ansprechpartner für Ihr Unternehmen als TISAX-Teilnehmer im Allgemeinen und einen für jeden Prüf-Scope. Sie haben die Möglichkeit, weitere Ansprechpartner anzugeben.

Bei der Vorbereitung auf Ihre Registrierung sollten Sie entscheiden, wer in Ihrem Unternehmen Ansprechpartner sein wird.

Wir bitten um die folgenden Kontaktdaten:

Tabelle 2. Kontaktdaten der Ansprechpartner
Angabe Pflichtfeld? Beispiel

1.

Anrede

Ja

Frau, Herr

2.

Akademischer Grad

Dr., Prof., andere

3.

Vorname

Ja

John

4.

Nachname

Ja

Doe

5.

Jobtitel

Ja

Leiter IT

6.

Abteilung

Ja

Informationstechnologie

7.

Telefonnummer

Ja

+49 69 986692777

8.

Weitere Telefonnummer

9.

E-Mail-Adresse

Ja

john.doe@acme.com

10.

Bevorzugte Sprache

Ja

Englisch (Standard)

11.

Andere Sprachen

Deutsch, Französisch

12.

Weitere Empfängerbezeichnung

HPC 1234

13.

Adresse

Ja

Bockenheimer Landstraße 97-99

14.

Postleitzahl

Ja

60325

15.

Stadt

Ja

Frankfurt

16.

Bundesland/Kanton

17.

Land

Ja

Deutschland

Icon für Wichtig-Boxen

Wichtiger Hinweis:
 
Wir empfehlen, für jeden Ansprechpartner mindestens einen Vertreter zu benennen. Wenn ein Ansprechpartner zeitweise nicht verfügbar ist oder die Firma verlassen hat, dann gibt es jemanden anderen, der die Teilnehmerdaten Ihrer Firma verwalten kann.
Wenn Sie einen neuen Ansprechpartner benennen wollen (ohne andere verbliebene gültige Ansprechpartner), müssen Sie einen komplexen Prozess durchlaufen. Unser Prozess stellt sicher, dass nur Personen, die nachweisen können, dass sie berechtigt sind, das Unternehmen rechtlich zu vertreten, die Zuweisung eines neuen Hauptansprechpartners freigeben können.

4.3.2.8. Veröffentlichen und Teilen

Der Hauptzweck von TISAX ist es, Ihr Prüfergebnis für andere TISAX-Teilnehmer zu veröffentlichen und es mit Ihrem Partner / Ihren Partnern zu teilen.

Über die Veröffentlichung und das Teilen Ihres Prüfergebnisses können Sie entweder während des Registrierungsprozesses oder zu einem späteren Zeitpunkt entscheiden.

Wenn Sie den TISAX-Prozess als Präventivschritt durchlaufen, können Sie sich bereits jetzt dafür entscheiden, Ihr Prüfergebnis in der Community der TISAX-Teilnehmer zu veröffentlichen. Ansonsten gibt es zum jetzigen Zeitpunkt nichts vorzubereiten.

Hat Ihr Partner Sie aufgefordert, den TISAX-Prozess zu durchlaufen, müssen Sie Ihr Prüfergebnis früher oder später mit Ihm teilen. Sie können mit Ihrem Partner bereits während der Registrierung Status-Informationen teilen. Sobald Ihr Prüfergebnis vorliegt, hat Ihr Partner automatisch die Berechtigung, darauf zuzugreifen[6].

Es gibt zwei Dinge, die Sie zum Teilen von Status-Informationen benötigen:

  1. Die TISAX-Participant-ID Ihres Partners

    In der Regel sollte Ihnen Ihr Partner seine TISAX-Participant-ID mitteilen.

    Der Einfachheit halber bietet unser Registrierungsformular eine Auswahlliste von Participant-IDs von einigen Firmen, die häufig Prüfergebnisse bekommen.[7]

  2. Den erforderlichen Sharing-Level

    Der Sharing-Level definiert die Tiefe, bis zu der Ihr Partner auf Ihr Prüfergebnis zugreifen kann.

    Entweder verlangt Ihr Partner einen bestimmten Sharing-Level. Oder Sie müssen sich entscheiden, bis zu welcher Stufe Sie Ihrem Partner Zugang zu Ihrem Prüfergebnis gewähren wollen.

    Weitere Informationen zum Sharing-Level finden Sie in Abschnitt 6.5, “Sharing-Level”.

Sie wollen sicherlich dafür sorgen, dass Sie diese Informationen haben.

Icon für Info-Boxen

Bitte beachten Sie:

  • Sie können sich jederzeit entscheiden, Ihr Prüfergebnis später zu veröffentlichen.

  • Sie können jederzeit auch zu einem späteren Zeitpunkt eine Sharing-Permission für Ihren Partner erteilen.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Wenn Sie Ihr Prüfergebnis nicht veröffentlichen oder nicht teilen, kann niemand Ihr Prüfergebnis sehen.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sie können keine Veröffentlichungen und kein Sharing widerrufen.

Icon für Info-Boxen

Bitte beachten Sie:

Es mag seltsam klingen, aber Sie können Ihr „Prüfergebnis“ auch dann teilen, wenn Sie noch nicht mit dem Prüfprozess begonnen haben. In diesem frühen Stadium teilen Sie lediglich den „Prüfungs-Status“. Der Teilnehmer, mit dem Sie Ihr „Prüfergebnis“ teilen, sieht, wo Sie sich im Prüfprozess befinden.

Einige TISAX-Teilnehmer müssen eine Sonderfreigabe erteilen, wenn Sie TISAX-Labels vorlegen müssen, aber den Prüfprozess noch nicht abgeschlossen haben. In einem solchen Fall muss Ihr Partner möglicherweise Ihren „Prüfungs-Status“ in seinem Konto für das ENX-Portal sehen.

Weitere Informationen über den Prüfungs-Status finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.

Weitere Informationen zum Veröffentlichen und Teilen Ihres Prüfergebnisses finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.

4.3.3. Prüfziele

Sie müssen Ihr(e) Prüfziel(e) während des Registrierungsprozesses definieren. Das Prüfziel (Icon der Flagge des Vereinigten Königreichs Assessment objective) bestimmt die maßgeblichen Anforderungen, die Ihr Informationssicherheitsmanagementsystem (ISMS) zu erfüllen hat. Das Prüfziel richtet sich ausschließlich nach der Art der Daten, die Sie im Auftrag Ihres Partners verarbeiten.

In den folgenden Abschnitten beschreiben wir die Prüfziele und beraten Sie bei der Auswahl der richtigen Prüfziele.

Die Verwendung von Prüfzielen erleichtert die TISAX-bezogene Kommunikation mit Ihrem Partner und unseren TISAX-Prüfdienstleistern, da sie sich auf einen definierten Input für den TISAX-Prüfprozess beziehen.

Icon für Info-Boxen

Bitte beachten Sie:

Einige Partner könnten Sie auffordern, sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen zu lassen, anstatt ein Prüfziel vorzugeben.

Weitere Informationen zu den Assessment-Leveln finden Sie in Abschnitt 4.3.3.5, “Schutzbedarfe und Assessment-Level” (Unterabschnitt „Weitere Informationen“).

4.3.3.1. Liste der Prüfziele

Derzeit gibt es zwölf TISAX-Prüfziele. Sie müssen mindestens ein Prüfziel auswählen. Sie können aber auch mehrere auswählen.

Sie können Ihr Prüfziel als Maßstab für Ihr Informationssicherheitsmanagementsystem betrachten. Das Prüfziel ist ein entscheidender Input für den TISAX-Prozess. Alle TISAX-Prüfdienstleister orientieren sich bei ihrer Prüfstrategie vor allem am Prüfziel.

Die derzeitigen TISAX-Prüfziele sind:

Tabelle 3. Die derzeitigen TISAX-Prüfziele
Nr. Name Beschreibung

1.

 Info high

Icon der Flagge des Vereinigten Königreichs Handling of information with high protection needs
{img-deflag-alt} Umgang mit Informationen mit hohem Schutzbedarf

2.

 Info very high

Icon der Flagge des Vereinigten Königreichs Handling of information with very high protection needs
{img-deflag-alt} Umgang mit Informationen mit sehr hohem Schutzbedarf

3.

 Confidential

Icon der Flagge des Vereinigten Königreichs Handling of information with high protection needs in the context of confidentiality (access to confidential information)
{img-deflag-alt} Umgang mit Informationen mit hohem Schutzbedarf im Rahmen der Vertraulichkeit (Zugriff auf vertrauliche Informationen)

4.

 Strictly confidential

Icon der Flagge des Vereinigten Königreichs Handling of information with very high protection needs in the context of confidentiality (access to strictly confidential information)
{img-deflag-alt} Umgang mit Informationen von sehr hohem Schutzbedarf im Rahmen der Vertraulichkeit (Zugriff auf streng vertrauliche Informationen)

5.

 High availability

Icon der Flagge des Vereinigten Königreichs Handling of information with high protection needs in the context of availability (high availability of information)
{img-deflag-alt} Umgang mit Informationen von hohem Schutzbedarf im Rahmen der Verfügbarkeit (hohe Verfügbarkeit der Informationen)

6.

 Very high availability

Icon der Flagge des Vereinigten Königreichs Handling of information with very high protection needs in the context of availability (very high availability of information)
{img-deflag-alt} Umgang mit Informationen von sehr hohem Schutzbedarf im Rahmen der Verfügbarkeit (sehr hohe Verfügbarkeit der Informationen)

7.

 Proto parts

Icon der Flagge des Vereinigten Königreichs Protection of Prototype Parts and Components
{img-deflag-alt} Schutz von Prototypenbauteilen und -Komponenten

8.

 Proto vehicles

Icon der Flagge des Vereinigten Königreichs Protection of Prototype Vehicles
{img-deflag-alt} Schutz von Prototypenfahrzeugen

9.

 Test vehicles

Icon der Flagge des Vereinigten Königreichs Handling of Test Vehicles
{img-deflag-alt} Umgang mit Erprobungsfahrzeugen

10.

 Proto events

Icon der Flagge des Vereinigten Königreichs Protection of Prototypes during Events and Film or Photo Shoots
{img-deflag-alt} Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings

11.

 Data

Icon der Flagge des Vereinigten Königreichs Data protection according to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)
{img-deflag-alt} Datenschutz gemäß Artikel 28 („Auftragsverarbeiter“) der Datenschutz-Grundverordnung (DSGVO)

12.

 Special data

Icon der Flagge des Vereinigten Königreichs Data protection according to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR) with special categories of personal data as specified in Article 9 of the GDPR
{img-deflag-alt} Datenschutz gemäß Artikel 28 („Auftragsverarbeiter“) der Datenschutz-Grundverordnung (DSGVO) mit besonderen Kategorien personenbezogener Daten wie in Artikel 9 der Datenschutz-Grundverordnung (DSGVO) angegeben

Beispiel: Wenn Sie Erprobungsfahrten auf öffentlichen Straßen durchführen, dann ist das Prüfziel „Test vehicles“ eines Ihrer Prüfziele.

Icon für Info-Boxen

Bitte beachten Sie:

Sie können die Prüfziele „Info high“ und „Info very high“ nur bis 31. März 2024 auswählen.

Sie können die Prüfziele „Confidential“ und „Strictly confidential“ ab 1. April 2024 auswählen.

Weitere Informationen zu diesem Übergang finden Sie in folgendem News-Artikel auf unserer Webseite:
ÄNDERUNGEN AN TISAX-LABELS IN VERBINDUNG MIT ISA 6 VERÖFFENTLICHUNG
enx.com/de-de/news/Changes-to-TISAX-Labels-ISA-six-Release/

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Bei TISAX ist in der Regel das „Prüfziel“ der Prozess-Input. Einige Partner könnten Sie hingegen auffordern, sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen zu lassen.

Weitere Informationen zum Zusammenhang zwischen Schutzbedarfen und „Assessment-Leveln“ finden Sie in Abschnitt 4.3.3.5, “Schutzbedarfe und Assessment-Level”.

4.3.3.2. Prüfziele und ISA

Der ISA enthält drei Kriterienkataloge (Informationssicherheit, Prototypenschutz, Datenschutz). Jeder Kriterienkatalog setzt sich aus sogenannten „Kontrollfragen“ und den dazugehörigen Anforderungen zusammen.

Jedes Prüfziel definiert:

  • den/die anwendbaren ISA-Kriterienkatalog(e)

  • die Kontrollfragen, die Sie beantworten müssen

  • die Anforderungen, die Sie erfüllen müssen

Für einige Prüfziele ist nur eine Teilmenge der Kontrollfragen und Anforderungen anwendbar.

Weitere Informationen zu den TISAX-Prüfzielen und den anwendbaren Kontrollfragen und Anforderungen finden Sie in Abschnitt 5.2.2, “Das ISA-Dokument verstehen”.

4.3.3.3. Prüfziele und TISAX-Labels

Ihr Partner könnte von „TISAX-Labels“ sprechen. „Prüfziele“ und „TISAX-Labels“ sind nahezu identisch. Der Unterschied besteht darin, dass Sie mit den „Prüfzielen“ in den Prüfprozess einsteigen und beim Bestehen der Prüfung die entsprechenden „TISAX-Labels“ erhalten.

Beispiel: Ihr Partner verlangt von Ihnen das TISAX-Label „Info high“. Dann wählen Sie „Info high“ als Ihr Prüfziel aus.

Die Abbildung unten zeigt Input und Output des TISAX-Prozesses:

Prüfziele und TISAX-Label
Abbildung 6. Prüfziele und TISAX-Label

Weitere Informationen zu TISAX-Labels finden Sie in Abschnitt 5.4.14, “TISAX-Labels”.

4.3.3.4. Auswahl des Prüfziels

Im Idealfall sagt Ihnen Ihr Partner genau, welche Prüfziele Sie erreichen müssen.

Sie müssen das Prüfziel nach eigenem Ermessen auswählen, sofern:

  1. Sie eine TISAX-Prüfung anstreben, noch bevor ein Partner Sie dazu auffordert, oder

  2. Ihr Partner Ihnen nicht mitteilt, welches Prüfziel Sie erreichen sollen.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

An dieser Stelle empfehlen wir dringend, an Ihre anderen Partner zu denken. Gibt es bestehende Partner, welche die gleichen oder höhere Anforderungen haben? Erwarten Sie von zukünftigen Partnern, dass diese höhere Anforderungen haben könnten?

Möglicherweise sollten Sie die Auswahl von Prüfzielen mit einem höheren Schutzbedarf in Betracht ziehen. Dadurch können Sie Probleme vermeiden, wenn andere Partner höhere Anforderungen haben.

Wenn Sie das Prüfziel nach Ihrem eigenen Ermessen auswählen müssen, kann es hilfreich sein, die folgenden Aspekte zu bedenken:

Tabelle 4. Ratschläge für die Auswahl der Prüfziele
Nr. Prüfziel Information

1.

 Info high

Den Schutzbedarf (hoch, sehr hoch) können Sie möglicherweise aus der Dokumentenklassifikation Ihres Partners ableiten.

2.

 Info very high

3.

 Confidential

Für alle Unternehmen, die Informationen erhalten und verarbeiten, die einen hohen Schutzbedarf bezüglich Vertraulichkeit haben oder gemäß dem eigenen Klassifikationsschema (z. B. VDA-Whitepaper „Harmonisierung der Klassifizierungsstufen“) typischerweise als vertraulich eingestuft sind.
Sie sollten dieses TISAX-Label insbesondere dann auszuwählen, wenn die unberechtigte Offenlegung der Informationen potenziell einen beträchtlichen Schaden verursachen kann (z. B. Reputationsschaden, strafrechtliche Konsequenzen oder monetärer Schaden).

4.

 Strictly confidential

Für alle Unternehmen, die Informationen erhalten und verarbeiten, die einen sehr hohen Schutzbedarf bezüglich Vertraulichkeit haben oder gemäß dem eigenen Klassifikationsschema (z. B. VDA-Whitepaper „Harmonisierung der Klassifizierungsstufen“) als streng vertraulich oder geheim eingestuft sind.
Sie sollten dieses TISAX-Label insbesondere dann auszuwählen, wenn die unberechtigte Offenlegung der Informationen potenziell einen existenziell bedrohlichen oder katastrophalen Schaden verursachen kann (z. B. schwerer Reputationsschaden, schwere strafrechtliche Konsequenzen oder sehr hoher monetärer Schaden).

5.

 High availability

Für alle Unternehmen, bei denen von der Verfügbarkeit Ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit Ihrer Kunden abhängt und ein Ausfall in kurzer Zeit zu einem erheblichen Schaden bei Kunden führt.
Beispiel: Just-in-Time-Lieferanten von Produktionsmaterial

6.

 Very high availability

Für alle Unternehmen, bei denen von der kurzfristigen Verfügbarkeit ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit Ihrer Kunden abhängt und ein Ausfall in sehr kurzer Zeit zu einem signifikant hohen Schaden bei Kunden führt.
Beispiel: Just-in-Time-Lieferanten, bei deren Ausfall innerhalb kurzer Zeit ein umfassender Produktionsstillstand mit einer sehr hohen Wiederanlaufdauer zu erwarten ist.

7.

 Proto parts

Für alle Unternehmen, die als schutzbedürftig klassifizierte Komponenten oder Bauteile an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen.

Anforderungen an physische und umgebungsbezogene Sicherheit, organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen sind Bestandteile der Prüfung.

8.

 Proto vehicles

Für alle Unternehmen, die als schutzbedürftig klassifizierte Fahrzeuge an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen.

Anforderungen an physische und umgebungsbezogene Sicherheit (inkl. Vorhandensein gesicherter Garagen- oder Werkstattflächen), organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen sind Bestandteile der Prüfung.

Bei einer erfolgreichen Prüfung erhalten Sie automatisch auch das TISAX-Label „Schutz von Prototypen-Bauteilen und -Komponenten“.

9.

 Test vehicles

Für alle Unternehmen, die als schutzbedürftig klassifizierte Fahrzeuge zur Durchführung von Tests und Erprobungsfahrten (z. B. Testfahrten auf öffentlichen Straßen oder auf Teststrecken) überlassen bekommen.

Organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen inkl. Tarnung und den Umgang mit Fahrzeugen bei Erprobungsfahrten in der Öffentlichkeit und auf Testgeländen sind Bestandteile der Prüfung.

Anforderungen an die physische und umgebungsbezogene Sicherheit des Standortes sind nicht zwangsläufig Bestandteil der Prüfung. Sollten die zu prüfenden Standorte entsprechend ausgestattet sein, empfehlen wir, das Prüfziel „Schutz von Prototypenfahrzeugen“ mit auszuwählen.

10.

 Proto events

Für alle Unternehmen, die als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile für die Durchführung von Ausstellungen und Veranstaltungen (z. B. Car-Clinics, Events, Marketing-Veranstaltungen) oder Film- und Fotoshootings überlassen bekommen.

Organisatorische Anforderungen sowie spezifischen Anforderungen für den Umgang mit Prototypen inkl. Anforderungen für Ausstellungen, Veranstaltungen und Film- und Fotoshootings in geschützten Räumen und in der Öffentlichkeit sind Bestandteile der Prüfung.

Anforderungen an die physische und umgebungsbezogene Sicherheit des Standortes sind nicht zwangsläufig Bestandteil der Prüfung. Sollten die zu prüfenden Standorte entsprechend ausgestattet sein, empfehlen wir, das Prüfziel „Schutz von Prototypenfahrzeugen“ mit auszuwählen.

11.

 Data

Wenn Sie personenbezogene Daten als Auftragsverarbeiter gemäß Artikel 28 der DSGVO verarbeiten, müssen Sie wahrscheinlich „Data“ auswählen.

12.

 Special data

Wenn Sie besondere Kategorien personenbezogener Daten (z. B. Gesundheit oder Religionszugehörigkeit) als Auftragsverarbeiter gemäß Artikel 28 verarbeiten, dann müssen Sie wahrscheinlich „Special data“ auswählen.

Weitere Erklärungen:

  • Wenn Sie genaue Vorgaben von Ihrem Partner haben, brauchen Sie in der Regel nicht weiter mit Ihrem Partner über Ihre Prüfziele zu sprechen. Wenn Sie jedoch keine genauen Vorgaben von Ihrem Partner haben, empfehlen wir Ihnen dringend, Ihren Partner zu konsultieren, bevor Sie den Prüfprozess beginnen.

  • Der ISA beschreibt den Umsetzungsunterschied zwischen „hohem“ und „sehr hohem“ Schutzbedarf (falls vorhanden) für jede Anforderung.
    Weitere Informationen hierzu finden Sie in Abbildung 11, “Screenshot: Hauptelemente der Fragen im ISA-Kriterienkatalog „Informationssicherheit“”.

4.3.3.5. Schutzbedarfe und Assessment-Level

Ihr Partner hat verschiedene Arten von Informationen, von denen manche einen höheren Schutz erfordern als andere. Dem trägt der ISA Rechnung, indem er zwischen drei „Schutzbedarfen“ (Icon der Flagge des Vereinigten Königreichs Protection needs) unterscheidet: normal, hoch und sehr hoch. Ihr Partner klassifiziert seine Informationen und weist in der Regel Schutzbedarfe zu.

Je höher der Schutzbedarf, desto mehr ist Ihr Partner daran interessiert, sich zu vergewissern, dass es sicher ist, Sie seine Informationen verarbeiten zu lassen. TISAX unterscheidet daher drei „Assessment-Level“ (AL). Der Assessment-Level bestimmt, welche Prüfmethode der Prüfdienstleister anwenden muss. Ein höherer Assessment-Level erhöht den Aufwand, der für die Prüfung aufgewendet wird. Dies führt zu einer größeren Sorgfalt und Genauigkeit in der Prüfung.

Die untenstehende Tabelle zeigt Ihnen, welche Assessment-Level für welche TISAX-Prüfziele gelten:

Tabelle 5. Zuordnung der TISAX-Prüfziele zu den Assessment-Leveln
Nr. TISAX-Prüfziel Assessment-Level (AL)

1.

 Info high

AL 2

2.

 Info very high

AL 3

3.

 Confidential

AL 2

4.

 Strictly confidential

AL 3

5.

 High availability

AL 2

6.

 Very high availability

AL 3

7.

 Proto parts

AL 3

8.

 Proto vehicles

AL 3

9.

 Test vehicles

AL 3

10.

 Proto events

AL 3

11.

 Data

AL 2

12.

 Special data

AL 3


Assessment-Level 1 (AL 1):

Prüfungen im Assessment-Level 1 spielen meist eine Rolle für interne Zwecke im eigentlichen Sinne einer Selbsteinschätzung (Icon der Flagge des Vereinigten Königreichs Self-assessment).

Bei einer Prüfung im Assessment-Level 1 prüft ein Prüfer, ob eine vollständige Selbsteinschätzung vorliegt. Er prüft nicht den Inhalt der Selbsteinschätzung. Er benötigt keine weiteren Nachweise.

Die Ergebnisse von Prüfungen mit dem Assessment-Level 1 haben eine niedrige Vertrauensstufe und werden daher in TISAX nicht verwendet. Aber es ist natürlich möglich, dass Ihr Partner eine solche Selbsteinschätzung außerhalb von TISAX anfordert.


Assessment-Level 2 (AL 2):

Bei einer Prüfung im Assessment-Level 2 führt der Prüfdienstleister eine Plausibilitätsprüfung Ihrer Selbsteinschätzung durch (für alle Standorte im Prüf-Scope). Er sichert dies ab, indem er Nachweise prüft[8] und ein Interview mit dem Gesamtverantwortlichen für Informationssicherheit durchführt.

Der Prüfdienstleister führt das Interview in der Regel als Webkonferenz durch. Auf Ihren Wunsch hin kann er das Interview persönlich durchführen.

Wenn Sie Nachweise haben, die Sie nicht an den Prüfdienstleister schicken möchten, können Sie eine Vor-Ort-Prüfung beantragen. So kann der Prüfdienstleister dennoch Ihre „for your eyes only“-Nachweise überprüfen.

Icon für Info-Boxen

Bitte beachten Sie:

Es gibt eine alternative Methode zur Durchführung einer Prüfung im Assessment-Level 2. Anstelle der Plausibilitätsprüfung führt der Prüfdienstleister eine vollständige Fernprüfung durch. Diese Methode wird manchmal als "Assessment-Level 2,5" bezeichnet.

Im Vergleich zu einer Prüfung im Assessment-Level 2 verifiziert der Auditor, ob Ihr ISMS die geltenden Anforderungen erfüllt. Im Gegensatz zu einer Prüfung im Assessment-Level 3 führt der Auditor jedoch nicht die Vor-Ort-Aktivitäten durch, die im folgenden Abschnitt über den Assessment-Level 3 beschrieben sind.

Formal wird eine solche Prüfung wie eine Prüfung im AL 2 bewertet.

Der Vorteil von AL 2,5 ist, dass der Ansatz methodisch mit AL 3 kompatibel ist. Es ist daher möglich, zu einem späteren Zeitpunkt mit überschaubarem Aufwand auf eine vollwertige Prüfung im AL 3 aufzurüsten. Für das Upgrade muss der Auditor lediglich die im nachfolgenden Abschnitt zu AL 3 beschriebenen Vor-Ort-Aktivitäten durchführen.

Wir empfehlen in folgenden Fällen Prüfungen im Assessment-Level 2,5:

  1. Sie benötigen derzeit nur TISAX-Labels, die eine Prüfung im AL 2 implizieren, können aber nicht ausschließen, dass andere Partner TISAX-Labels benötigen, die eine Prüfung im AL 3 implizieren. Eine Prüfung im AL 2,5 hält den Weg für ein späteres Upgrade auf AL 3 offen.

  2. Sie haben Schwierigkeiten, eine hinreichend plausible Selbsteinschätzung zu erstellen. Für die Plausibilitätsprüfung muss die Selbsteinschätzung schlüssig, gut nachvollziehbar und belegt sein. Die Erstellung einer solchen Selbsteinschätzung kann selbst für grundsätzlich gut aufgestellte Unternehmen einen erheblichen internen Aufwand bedeuten.

Weitere Informationen zum Upgrade des Assessment-Levels finden Sie in Abschnitt 7.10, “Anhang: Scope-Erweiterungsprüfung”.

Diese Alternative ist optional und nicht erforderlich, um die Anforderungen von AL 2 zu erfüllen. Der Unterschied zwischen AL 2 und AL 2,5 ist für die Partner, mit denen Sie Ihr Prüfergebnis teilen, nicht sichtbar.


Assessment-Level 3 (AL 3):

Bei einer Prüfung im Assessment-Level 3 führt der Prüfdienstleister eine umfassende Überprüfung der Einhaltung der geltenden Anforderungen durch Ihr Unternehmen durch. Der Auditor verwendet Ihre Selbsteinschätzung und die eingereichten Unterlagen, um die Prüfung vorzubereiten. Im Gegensatz zum Assessment-Level 2 wird der Prüfer jedoch alles überprüfen. Er wird:

  • Dokumente und Nachweise prüfen

  • geplante Interviews mit den Prozessverantwortlichen führen

  • die örtlichen Gegebenheiten betrachten

  • die Durchführung von Prozessen beobachten

  • ungeplante Interviews mit Prozessbeteiligten führen

Icon für Info-Boxen

Bitte beachten Sie:

Der folgende Text bezieht sich auf mehrere Konzepte, die erst später in diesem Dokument erläutert werden.

Bei AL 3 muss der Prüfdienstleister zu Ihrem Standort bzw. Ihren Standorten kommen. Wenn dies aus irgendeinem Grund vorübergehend nicht möglich ist oder einen unangemessenen Aufwand erfordern würde, kann Ihr Prüfdienstleister die Methode der videogestützten Fernprüfung verwenden, um die Vor-Ort-Aktivitäten der Prüfung durchzuführen.

Ihr Prüfdienstleister muss dies im „TISAX Assessment Bericht“ als Nebenabweichung vermerken. Sobald Ihr Prüfdienstleister an Ihren Standorte bzw. Ihre Standort kommen kann, muss er eine Follow-up-Prüfung durchführen, die alle zuvor nicht möglichen Vor-Ort-Aktivitäten umfasst. Außerdem müssen Sie die Follow-up-Prüfung auch dann einplanen, wenn Sie die anderen Korrekturmaßnahmen noch nicht abgeschlossen haben.

Im Vergleich zum Warten auf die Verfügbarkeit Ihres Prüfdienstleister für Vor-Ort-Aktivitäten können Sie bei diesem Ansatz bereits temporäre TISAX-Labels mit Ihrem Partner teilen.


Assessment-Level und Prüfmethoden

Die folgende Tabelle gibt einen vereinfachten Überblick über die zu den einzelnen Assessment-Leveln gehörenden Prüfmethoden:

Tabelle 6. Anwendbarkeit von Prüfmethoden auf unterschiedliche Assessment-Level
Prüfmethode Assessment-Level 1
(AL 1)
Assessment-Level 2
(AL 2)
Assessment-Level 3
(AL 3)

Selbsteinschätzung

Ja

Ja

Ja

Nachweise

Nein

Plausibilitätsprüfung

Eingehende Prüfung

Interviews

Nein

Als Webkonferenz[9]

Persönlich, vor Ort

Vor-Ort-Prüfung

Nein

Auf Ihren Wunsch

Ja


Weitere Informationen:

  • Unterschied zwischen AL 2 und AL 3
    Methodisch unterscheiden sich die beiden Ansätze erheblich. Bei Prüfungen im Assessment-Level 2 wird der Prüfer nicht alles verifizieren. Er prüft lediglich die Plausibilität. Daher kann der Prüfdienstleister die Ergebnisse einer Prüfung im Assessment-Level 2 nicht als Grundlage für ein Upgrade auf Assessment-Level 3 verwenden. Der Aufwand für ein Upgrade auf Assessment-Level 3 ist im Wesentlichen derselbe wie bei einer neuen Erstprüfung.

  • Plausibilitätsprüfung vs. Verifizierung
    Eine Plausibilitätsprüfung ist, stark vereinfacht, die Überprüfung, ob etwas existiert und richtig aussieht. Im Gegensatz dazu bedeutet eine Verifizierung, dass wirklich geprüft wird, ob etwas das ist, was es zu sein vorgibt.

  • Informationsklassifikation und Schutzbedarfe
    Die Zuordnung der Informationsklassifikation (beispielsweise vertraulich, geheim) zu den Schutzbedarfen kann für verschiedene Partner unterschiedlich sein. Daher können wir Ihnen, so gerne wir es tun würden, keine einfache Zuordnungstabelle zur Verfügung stellen, in der die Informationsklassifikation Ihres Partners genau einem Schutzbedarf zugeordnet wird.

  • Nur einen Assessment-Level zu kennen reicht nicht aus
    Manchen Partner fordern Sie möglicherweise dazu auf, dass Sie sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen lassen. Bitte haben Sie Verständnis dafür, dass ein Assessment-Level allein nicht ausreicht, um den TISAX-Prozess zu starten. Ein Assessment-Level ist nur in Verbindung mit einem ISA-Kriterienkatalog und einem zugehörigen Schutzbedarf hinreichend. In der Regel verlangen die Partner von Ihnen ein TISAX-Label (Kriterienkatalog plus Schutzbedarf). Da die Schutzbedarfe jedoch 1:1 Assessment-Leveln zugeordnet sind, ist es ausreichend, wenn Sie den/die Kriterienkatalog(e) plus Assessment-Level kennen.

  • Hierarchie der Assessment-Level
    Höhere Assessment-Level schließen immer auch die niedrigeren Assessment-Level ein. Wenn Ihre Prüfung beispielsweise auf Assessment-Level 3 basiert, kann es automatisch alle Anforderungen nach Assessment-Level 2 erfüllen.

  • Unsere Empfehlung zu den Assessment-Leveln
    Sofern Sie ein Prüfziel (und damit implizit einen zugehörigen Assessment-Level) nach eigenem Ermessen auswählen müssen, empfehlen wir Ihnen, Prüfziele zu wählen, die einen Assessment-Level 3 implizieren. Der Aufwand für TISAX-Prüfungen im Assessment-Level 3 ist in der Regel nicht höher als im Assessment-Level 2.
    Insbesondere Zulieferer, die mehrere Partner haben, wählen oft Prüfziele, die einen Assessment-Level 3 implizieren. Auf diese Weise sind sie für alle zukünftigen Aufforderungen vorbereitet und müssen sich nicht mit unterschiedlichen Assessment-Leveln beschäftigen.

  • Weitere wirtschaftliche Überlegungen
    Bezüglich der Assessment-Level setzen sich die Gesamtkosten einer TISAX-Prüfung aus der Summe Ihrer internen Aufwände und den Kosten der Prüfung zusammen. Während die Kosten einer Prüfung im Assessment-Level 2 geringer sind, kann Ihr interner Aufwand höher sein. Dies liegt daran, dass für eine Prüfung im Assessment-Level 2 in der Regel eine umfassendere Selbsteinschätzung und eine bessere interne Dokumentation erforderlich ist. Bei Prüfungen im Assessment-Level 3 ist es für den Prüfer oft ausreichend, wenn Sie zeigen, wie Sie etwas tun, und eine grundlegende Dokumentation vorlegen. Aber ohne eine Vor-Ort-Prüfung wird der Prüfer eine genaue Dokumentation verlangen. Daher ist es nicht unüblich, Assessment-Level 3 statt Assessment-Level 2 zu wählen. Dennoch ist es eine Wahl, die eher von kleineren als von größeren Unternehmen getroffen wird.

4.3.3.6. Prüfziele und Ihre eigenen Lieferanten

TISAX fordert nicht zwangsläufig, dass Sie alle Ihre eigenen Lieferanten den gleichen Anforderungen unterwerfen. Wenn Ihr Prüfziel „Informationssicherheit mit sehr hohem Schutzbedarf“ lautet, bedeutet dies NICHT automatisch, dass Ihre eigenen Lieferanten dasselbe Prüfziel erreichen müssen. Es bedeutet nicht einmal, dass sie überhaupt TISAX-Label benötigen.

Aber Sie müssen trotzdem für alle Ihre Lieferanten überprüfen, ob die Nutzung ihrer Dienstleistungen Risiken erhöht oder neue Risiken mit sich bringt.

Zwei stark vereinfachte Beispiele:

  1. Sie haben eine Richtlinie, dass normale E-Mails nicht für Daten mit sehr hohem Schutzbedarf verwendet werden. Daher muss Ihr E-Mail-Anbieter das TISAX-Label mit sehr hohem Schutzbedarf nicht erreichen.
    Sie könnten zu einem ähnlichen Schluss kommen, wenn Sie nur verschlüsselte E-Mails senden und der E-Mail-Dienstleister keine Daten mit sehr hohem Schutzbedarf sehen kann.

  2. Sie entsorgen veraltete Ausdrucke mit sehr hohem Schutzbedarf im Reißwolf. In einem solchen Fall muss der Entsorgungsdienstleister natürlich nicht die gleichen Anforderungen erfüllen wie Sie.

Die Risikobewertung kann allerdings ergeben, dass auch Ihr Lieferant den Anforderungen an sehr hohen Schutzbedarf genügen muss. Dann sind TISAX-Labels eine Möglichkeit, dies Ihnen gegenüber entsprechend nachzuweisen.

4.3.4. Entgelt

Wir erheben ein Entgelt. In unserer Preisliste erhalten Sie Informationen zu den anfallenden Entgelten, zu eventuellen Rabatten und zu unseren Zahlungsbedingungen.

Sie können die Preisliste auf unserer Website herunterladen (die Preisliste ist nur in englischer Sprache verfügbar):
Icon der Flagge des Vereinigten Königreichs enx.com/de-de/TISAX/downloads/
Direkter PDF-Download:
Icon der Flagge des Vereinigten Königreichs enx.com/pricelist.pdf

Es gibt einige rechnungsrelevante Aspekte, die Sie bei der Vorbereitung Ihrer Registrierung berücksichtigen sollten:

  • Auswahl der Rechnungsadresse
    Standardmäßig schicken wir die Rechnung an die Adresse, die Sie als Teilnehmer-Standort angegeben haben. Sie haben jedoch die Möglichkeit, eine andere Adresse für den Rechnungsempfang anzugeben.

    Icon für Wichtig-Boxen

    Wichtiger Hinweis:

    Bitte stellen Sie sicher, dass die Rechnungsadresse korrekt ist. Rechnungslegungsvorschriften verlangen, dass die Adresse auf unserer Rechnung genau mit der (Rechnungs-)Adresse Ihres Unternehmens übereinstimmt. Aus Gründen der Compliance können wir die Rechnungsadresse nicht mehr ändern, sobald wir die Rechnung ausgestellt haben.

  • Bestellnummer
    Wenn Sie eine bestimmte Bestellnummer oder Vergleichbares auf unserer Rechnung sehen möchten, haben Sie die Möglichkeit, uns eine Bestellreferenz mitzuteilen.

  • Umsatzsteueridentifikationsnummer
    Alle unsere Entgelte verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer (sofern zutreffend).
    Diese Nummer benötigen wir für die Abwicklung von Zahlungen aus der EU. Die Angabe einer Umsatzsteueridentifikationsnummer ist verpflichtend, wenn Ihre Rechnungsadresse in einem der folgenden Länder liegt:
    Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn, Vereinigtes Königreich, Zypern

  • Lieferantenverwaltung

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Bitte haben Sie Verständnis dafür, dass wir aufgrund der Gegenseitigkeit zwischen allen TISAX-Teilnehmern keine weiteren Bedingungen (z. B. allgemeine Einkaufsbedingungen, Verhaltenskodizes) akzeptieren können.

Weitere Informationen zu unserem Rechnungsstellungsprozess:

  • Individuelle Einkaufsbedingungen können wir nicht akzeptieren.

  • Wir akzeptieren:

    • Überweisungen auf das auf der Rechnung angegebene Bankkonto

    • Kreditkartenzahlungen (während des Registrierungsprozesses über unseren Zahlungsdienstleister “Stripe”)

  • Unsere Rechnung enthält die folgenden Verweise auf Ihre Registrierung:

    • Name und E-Mail-Adresse des Haupt-Teilnehmeransprechpartners

    • Name des Prüf-Scopes

    Eine Beispielrechnung finden Sie im Anhang in Abschnitt 7.1, “Anhang: Beispielrechnung für das Entgelt”.

  • Die meisten Daten, die Sie für die Bearbeitung unserer Rechnung benötigen, stellen wir Ihnen direkt auf selbiger zur Verfügung. Diese und weitere Daten finden Sie in unserem Dokument Icon der Flagge des Vereinigten Königreichs „Information for Members and Business Partners“. Schicken Sie uns eine E-Mail und wir schicken Ihnen die aktuelle Version zu.

Icon für Info-Boxen

Bitte beachten Sie:

Wir sind uns bewusst, dass der interne Prozess die Genehmigung von Zahlungen eines Unternehmens manchmal recht langwierig ist. Ihr nächster Schritt im TISAX-Prozess hängt daher nicht davon ab, dass wir die Zahlung erhalten. Aber bitte beachten Sie, dass Sie Ihr Prüfergebnis nicht teilen können, wenn wir Ihre Zahlung nicht erhalten haben.

Aus diesem Grund empfehlen wir Ihnen, sicherzustellen, dass wir unsere Rechnung an den richtigen Empfänger schicken und sofern zutreffend eine Bestellreferenz enthalten ist. Vielleicht möchten Sie auch intern nachverfolgen, ob jemand die Rechnung bezahlt hat.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Wir — die ENX Association — berechnen das Entgelt. Es ist nur ein Teil der Gesamtkosten einer TISAX-Prüfung. Ihr TISAX-Prüfdienstleister stellt die Kosten für die Prüfung(en) in Rechnung.

Weitere Informationen zu Prüfdienstleister-bezogenen Kosten finden Sie in Abschnitt 5.3.4, “Beurteilen der Angebote”.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Das Entgelt ist fällig, unabhängig davon ob Sie:

  • den TISAX-Prozess fortsetzen oder nicht.

  • den TISAX-Prüfprozess erfolgreich durchlaufen.

Daher kann es sein, dass die Rechnung eintrifft, bevor Sie die Erstprüfung begonnen haben.

4.4. ENX-Portal

Im nächsten Abschnitt wird der Online-Registrierungsprozess beschrieben, in dem Sie alle Daten eingeben, die Sie wie im vorherigen Abschnitt empfohlen zusammen getragen haben. Bevor Sie den Online-Registrierungsprozess beginnen, lassen Sie uns bitte kurz den Zweck und die Vorteile des ENX-Portals erläutern.

Das ENX-Portal ermöglicht es uns, eine Datenbank aller TISAX-Teilnehmer zu pflegen und es spielt eine wichtige Rolle im gesamten TISAX-Prozess. Bei der TISAX-Registrierung geben Sie Ihre Daten ein, die die TISAX-Prüfdienstleister dann (wenn Sie zustimmen) zur Berechnung ihrer Angebote und zur Planung des Prüfverfahrens verwenden können. Nachdem Sie den TISAX-Prüfprozess durchlaufen haben, nutzen Sie die Austauschplattform auf dem ENX- Portal, um Ihr Prüfergebnis mit Ihrem Partner zu teilen.

Der Name des Portals lautet „ENX-Portal“ statt „TISAX-Portal“, da wir das Portal auch für die Verwaltung anderer Geschäftsaktivitäten (wie das ENX-Netzwerk) nutzen.

4.5. Online-Registrierungsprozess

Wenn Sie sich nach unseren obigen Empfehlungen (Abschnitt 4.3, “Vorbereitung auf die Registrierung”) vorbereitet haben, sind Sie bereit, den Online-Registrierungsprozess zu starten.

4.5.1. Erforderliche Zeit

Wie lange es dauert, hängt stark von der Anzahl der Scopes und Standorte ab, die Sie registrieren. Für Ihre erste Registrierung als Teilnehmer mit einem Scope und einem Standort sollten Sie mit mindestens 20 Minuten rechnen.

Wir empfehlen Ihnen, die Registrierung in einer einzigen Sitzung durchzuführen, da Sie im Moment einige Schritte nicht so einfach nachholen können. Sollten Sie dennoch unterbrechen müssen, werden wir uns mit Ihnen in Verbindung setzen, um fehlende Daten abzufragen.

4.5.2. Starten Sie hier

Bitte starten Sie Ihre Registrierung auf unserer Website unter:
Icon der Flagge von Deutschland enx.com/de-de/Account/Login/Register?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F

Grundsätzlich müssen Sie nur den Anweisungen auf dem Bildschirm folgen. Dennoch beschreiben wir im Folgenden kurz den Ablauf.

4.5.3. Portal-Account

Im ersten Schritt erstellen Sie sich einen Account für das ENX-Portal. Sie benötigen den Portal-Account, um die „Teilnehmerdaten“ Ihres Unternehmens verwalten zu können.

Icon für Info-Boxen

Bitte beachten Sie:

Sollte das ENX-Portal behaupten, dass Ihre E-Mail-Adresse bereits verwendet wird, sprechen Sie uns bitte an. Diese Meldung kann bedeuten, dass Sie aus irgendeinem Grund bereits in unserem System gespeichert sind.

Icon für Info-Boxen

Bitte beachten Sie:

Wie beschrieben, sind Portal-Accounts nicht unbedingt „Teilnehmer-Ansprechpartner“ oder „Scope-Ansprechpartner“ (siehe unten) mit einer aktiven Rolle im Prüfprozess.

Umgekehrt beinhaltet ein „Teilnehmer-Ansprechpartner“ oder „Scope-Ansprechpartner“ nicht automatisch die gleichen Rechte zur Verwaltung der Teilnehmerdaten wie bei einem Portal-Account. Das bedeutet, dass Kollegen, die als „Teilnehmer-Ansprechpartner“ oder „Scope-Ansprechpartner“ bestimmt werden, nicht automatisch auf die Teilnehmerdaten im ENX-Portal zugreifen können.

Wenn Sie einem Kontakt, den Sie bereits im ENX-Portal angelegt haben (unabhängig davon, ob Sie ihm eine Rolle zugewiesen haben), das Recht zur Verwaltung der Teilnehmerdaten zuweisen möchten, müssen Sie ihn einladen. Weitere Informationen finden Sie in Abschnitt 4.5.5, “Teilnehmer-Ansprechpartner”.

4.5.4. Teilnehmerregistrierung

Ihr zweiter Schritt ist die Registrierung Ihres Unternehmens als TISAX-Teilnehmer. Der „TISAX-Teilnehmer“ ist das Unternehmen, das Prüfergebnisse mit anderen Teilnehmern austauscht.

4.5.5. Teilnehmer-Ansprechpartner

Wir bitten Sie, den Teilnehmer-Hauptansprechpartner anzugeben.

Dies ist die Person, die in der Regel für alle Themen der Informationssicherheitsprüfung in Ihrem Unternehmen verantwortlich ist. Dies können entweder Sie oder jemand anderes in Ihrem Unternehmen sein.

Der Teilnehmer-Hauptansprechpartner ist in der Regel alles, was wir brauchen. Sollten Sie es vorziehen, die gesamte Kommunikation von uns und unseren TISAX-Prüfdienstleistern im Rahmen dieser Registrierung auch an andere Personen verschicken zu lassen, können Sie weitere Teilnehmer-Ansprechpartner hinzufügen.

Icon für Wichtig-Boxen

Wichtiger Hinweis:
 
Wir empfehlen, für jeden Ansprechpartner mindestens einen Vertreter zu benennen. Wenn ein Ansprechpartner zeitweise nicht verfügbar ist oder die Firma verlassen hat, dann gibt es jemanden anderen, der die Teilnehmerdaten Ihrer Firma verwalten kann.
Wenn Sie einen neuen Ansprechpartner benennen wollen (ohne andere verbliebene gültige Ansprechpartner), müssen Sie einen komplexen Prozess durchlaufen. Unser Prozess stellt sicher, dass nur Personen, die nachweisen können, dass sie berechtigt sind, das Unternehmen rechtlich zu vertreten, die Zuweisung eines neuen Hauptansprechpartners freigeben können.

Icon für Info-Boxen

Bitte beachten Sie:

Sie können Ansprechpartner jederzeit zu einem späteren Zeitpunkt hinzufügen oder entfernen (auch nach Abschluss des Online-Registrierungsprozesses und auch nach Abschluss von Prüfungen).

Icon für Info-Boxen

Bitte beachten Sie:

Sie können keine Funktionspostfächer bzw. Gruppen-E-Mail-Adressen (wie “info@acme.de“ oder “IT@acme.de“) für Teilnehmer-Ansprechpartner verwenden.

Dies steht im Einklang mit den ISA-Anforderungen bezüglich der Benutzeranmeldung.

Icon für Info-Boxen

Bitte beachten Sie:

Für jeden Ansprechpartner können Sie wählen, ob er Zugriff auf die Teilnehmerdaten Ihres Unternehmens haben soll. Entweder:

  1. Sie fügen einfach den Ansprechpartner hinzu. Der Ansprechpartner ist in unserem System gespeichert, kann sich aber nicht einloggen und keine Daten verwalten.

  2. Oder Sie laden den Kontakt ein. Dann sendet das ENX-Portal eine Einladungs-E-Mail an den Ansprechpartner. Der Ansprechpartner muss dem Einladungslink in der E-Mail folgen. Sobald der Ansprechpartner sein eigenes persönliches Konto für das ENX-Portal eingerichtet hat, kann er die Teilnehmerdaten Ihres Unternehmens verwalten.

Um einen neuen Ansprechpartner zu erstellen: Anmelden > MEIN TISAX > ADMINISTRATOREN > Neuen TISAX-Administrator erstellen

Um einen Ansprechpartner einzuladen: Anmelden > MEIN TISAX > ADMINISTRATOREN > Neuen TISAX-Administrator erstellen > Gehen Sie an das Ende der Tabellenzeile des Ansprechpartners und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten > TISAX-Administrator bearbeiten > Gehen Sie zum Abschnitt “ENX PORTAL ZUGANG“ > Setzen Sie “DIESEN KONTAKT EINLADEN“ auf “Ja“ > Klicken Sie auf “Kontakt speichern“

4.5.6. Allgemeine Geschäftsbedingungen

Ihr dritter Schritt ist die Annahme der „TISAX Participation General Terms and Conditions“.

Sie können mehr darüber in Abschnitt 4.3.1, “Die rechtliche Grundlage” lesen.

4.5.7. Registrierung des Prüf-Scopes

Ihr vierter Schritt ist die Registrierung des Prüf-Scopes Ihrer Informationssicherheitsprüfung.

Wir bitten Sie:

  1. einen Namen für den Prüf-Scope zu vergeben.
    Der Hauptzweck des Scope-Namens besteht darin, dass Sie einen Scope in der Übersichtsliste der Scopes im ENX-Portal leicht identifizieren können.
    Sie können mehr darüber in Abschnitt 4.3.2.6, “Scope-Name” lesen.

  2. einen Prüf-Scope-Typ auszuwählen.
    (Standard, Custom)
    Sie können mehr darüber in Abschnitt 4.3.2, “Der TISAX-Prüf-Scope” lesen.

  3. den Hauptansprechpartner für den Prüf-Scope anzugeben.
    Dies ist die Person, die in der Regel für die Prüfung eines bestimmten Scopes verantwortlich ist. Das können entweder Sie oder jemand anderes in Ihrem Unternehmen sein.
    Der Hauptansprechpartner ist in der Regel alles, was wir brauchen. Sollten Sie es vorziehen, die gesamte Kommunikation von uns im Rahmen dieses Scopes auch an andere Personen verschicken zu lassen, können Sie weitere Teilnehmer-Ansprechpartner hinzufügen.

  4. Ihr(e) Prüfziel(e) auszuwählen.
    Sie können mehr darüber in Abschnitt 4.3.3, “Prüfziele” lesen.

  5. den/die Standort/e zum Prüf-Scope hinzuzufügen.
    Wir bitten Sie, alle Standorte anzugeben, die zum Prüf-Scope gehören.
    Sie können mehr darüber in Abschnitt 4.3.2, “Der TISAX-Prüf-Scope” lesen.

    Icon für Info-Boxen

    Bitte beachten Sie:

    Sobald Sie einen neuen Standort angelegt haben, können Sie ihn nicht mehr bearbeiten. Für kleinere Änderungen (Umfirmierung, Tippfehler in Straßenname, Postleitzahl, Stadt, usw.) sprechen Sie uns bitte an. Wir führen die Änderungen für Sie durch.

    Icon für Wichtig-Boxen

    Wichtiger Hinweis:

    Dieser Hinweis ist nur relevant, wenn Sie Ihre TISAX-Labels erneuern.

    Bitte verwenden Sie die vorhandenen Standort-Einträge, die Sie bei der Registrierung Ihres vorherigen Scopes erstellt und verwendet haben. Legen Sie keinen neuen Standort-Eintrag mit derselben Adresse an.
     
    Der Grund hierfür: Einige TISAX-Teilnehmer verarbeiten die Prüfergebnisse ihrer Partner automatisch. Sie synchronisieren ihr eigenes System mit dem ENX-Portal. Schon kleine Unterschiede können die erfolgreiche Synchronisation verhindern. Außerdem überfrachten Sie Ihre Teilnehmerdaten nicht mit unnötigen Duplikaten.

  6. Veröffentlichungen einzurichten und Sharing-Permissions zu vergeben (optional).
    Sie können sich bereits jetzt entscheiden, Ihr Prüfergebnis für andere TISAX-Teilnehmer zu veröffentlichen und es mit Ihren Partnern zu teilen. Typischerweise erlauben Sie uns zumindest zu zeigen, dass Ihr Unternehmen ein Teilnehmer ist und dass Sie den TISAX-Prozess erfolgreich durchlaufen haben.
    Sie können diesen Schritt bei der Erstregistrierung ohne Konsequenzen überspringen. Sie können den Zugriff auf Ihr Prüfergebnis jederzeit nachträglich festlegen.
    Sie können mehr darüber in Abschnitt 4.3.2.8, “Veröffentlichen und Teilen” lesen.

    Icon für Wichtig-Boxen

    Wichtiger Hinweis:

    Sie können keine Veröffentlichungen oder Sharing-Permissions widerrufen.
    Einzelheiten hierzu finden Sie in Abschnitt 6.4, “Dauerhaftigkeit der ausgetauschten Ergebnisse”.

  7. den Rechnungsempfänger anzugeben.
    Wir bitten Sie anzugeben, wer unsere Rechnung(en) erhalten soll.
    Sie können mehr darüber in Abschnitt 4.3.4, “Entgelt” lesen.

Icon für Info-Boxen

Bitte beachten Sie:

Sie können hier Sie nicht viel falsch machen. Wenn Sie später feststellen, dass Sie einen etwas anderen Scope hätten registrieren sollen (Sie haben einen Ort vergessen, Sie haben ein anderes Prüfziel, usw.), kann der Prüfdienstleister die Prüfung trotzdem durchführen.

Beispiel: Der Prüfer stellt fest, dass der Scope einen zusätzlichen Standort enthalten muss, den Sie ursprünglich nicht in den Scope aufgenommen haben. Der Prüfer fährt fort und aktualisiert anschließend Ihren Prüf-Scope im ENX-Portal, während er Ihr Prüfergebnis hochlädt.

Icon für Info-Boxen

Bitte beachten Sie:

Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt hat Ihr Prüf-Scope entweder den Status „Incomplete“ oder „Waiting for approval“.

Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.1, “Übersicht: „Prüf-Scope-Status“”.

Icon für Info-Boxen

Bitte beachten Sie:

Für große Unternehmen mit vielen Standorten bietet TISAX die „vereinfachte Gruppenprüfung“ ( Icon der Flagge des Vereinigten Königreichs „simplified group assessment“) an. Sie können diese Option in Betracht ziehen, wenn:

  • sie mindestens drei Standorte in Ihrem Scope[10] haben und

  • Ihr Informationssicherheitsmanagementsystem in Bestform ist und zentral organisiert[11] ist.

Für eine vereinfachte Gruppenprüfung ist der initiale Aufwand höher. Das zahlt sich jedoch aus, je mehr Standorte Sie haben.

Weitere Informationen zur vereinfachten Gruppenprüfung finden Sie im Dokument „TISAX Simplified Group Assessment“ (nur auf Englisch verfügbar).

Sie können das Dokument „TISAX Simplified Group Assessment“ auf unserer Website herunterladen:
Icon der Flagge von Deutschland enx.com/de-de/TISAX/downloads/

Direkter PDF-Download:
Icon der Flagge von Deutschland enx.com/sga.pdf

Icon für Info-Boxen

Bitte beachten Sie:

Sobald wir Ihren Prüf-Scope registriert haben, können Sie ihn nicht mehr selbst ändern.

Wenn Sie glaubwürdig versichern können, dass Sie Ihr „TISAX Scope Excerpt“ noch NICHT an unsere Prüfdienstleister geschickt haben, sprechen Sie uns bitte an. Wir können ihn für Sie ändern.

Wenn Sie Ihren „TISAX Scope Excerpt“ bereits an unsere Prüfdienstleister geschickt haben, erstellen Sie einfach die neue(n) Standort(e) im ENX-Portal (falls zutreffend) und besprechen Sie alle Änderungen mit Ihrem Prüfdienstleister. Ihr Prüfdienstleister wird die Prüfung auf der Grundlage der Änderungen durchführen und die Scope-Informationen im ENX-Portal aktualisieren.

Icon für Info-Boxen

Bitte beachten Sie:

Es ist Ihnen nicht möglich, einen Prüf-Scope im ENX-Portal zu löschen. Falls Sie versehentlich einen Prüf-Scope angelegt haben, sprechen Sie uns bitte an. Wir werden ihn für Sie löschen.

4.5.8. Bestätigungs-E-Mail

Sobald Sie alle oben genannten verpflichtenden Schritte abgeschlossen haben, werden wir Ihren Antrag prüfen. Wir schicken Ihnen dann eine Bestätigungs-E-Mail.

Diese E-Mail hat zwei wichtige Elemente:

  • Eine Liste mit den Ansprechpartnern aller TISAX-Prüfdienstleister
    Sie müssen sich für einen unserer TISAX-Prüfdienstleister entscheiden, der die Prüfung Ihres Prüf-Scopes durchführt. Über die Ansprechpartner können Sie Angebote anfordern.
    Weitere Informationen zur Prüfdienstleisterauswahl finden Sie in Abschnitt 5.3, “Auswahl eines Prüfdienstleisters”.

  • Den „TISAX Scope Excerpt“ als angehängte PDF-Datei

    Er enthält:

Ein Beispiel für unsere Bestätigungs-E-Mail finden Sie in Abschnitt 7.2, “Annex: Beispiel einer Bestätigungs-E-Mail”.

Ein Beispiel für den „TISAX Scope Excerpt“ finden Sie in Abschnitt 7.3, “Anhang: Beispiel eines TISAX Scope Excerpt”.

Sie erhalten unsere Bestätigungs-E-Mail in der Regel innerhalb von drei Werktagen.

Wenn Sie nicht innerhalb von sieben Werktagen von uns hören, überprüfen Sie bitte, ob Sie a) alle Angaben gemacht haben und b) der Prüf-Scope-Status „Warten auf ENX Genehmigung“ ist. Erst wenn alles vollständig ist, beginnen wir mit der Bearbeitung Ihrer Registrierung. Wenn Sie glauben, dass alles vollständig ist und wir Sie noch nicht kontaktiert haben, dann sprechen Sie uns bitte an.

Wir schicken unsere Bestätigungs-E-Mail an den Teilnehmer-Hauptansprechpartner.

Icon für Info-Boxen

Bitte beachten Sie:

Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt hat Ihr Prüf-Scope den Status „Warten auf ENX Genehmigung“.
Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.5, “Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)”.

In den nächsten beiden Unterabschnitten finden Sie detaillierte Informationen über den Zweck Ihrer Participant-ID und der Scope-ID.

4.5.8.1. Participant-ID

Die Participant-ID:

  • identifiziert einen TISAX-Teilnehmer.

  • ist einmalig für jeden Teilnehmer.

  • wird von uns bei Abschluss der Registrierung vergeben.

  • ist Voraussetzung für die Beauftragung einer Informationssicherheitsprüfung durch einen unserer TISAX-Prüfdienstleister.

  • sieht folgendermaßen aus:

    Format der Participant-ID
    Abbildung 7. Format der Participant-ID[12]
Icon für Info-Boxen

Bitte beachten Sie:

Es gibt zwei Möglichkeiten, Ihre Participant-ID zu finden:

  1. Prüfen Sie Ihr „TISAX Scope Excerpt“.
    Siehe weiter oben in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.

  2. Melden Sie sich im ENX-Portal an, gehen Sie zur Hauptnavigationsleiste und wählen Sie „DASHBOARD“. Dort finden Sie Ihre Participant-ID.

4.5.8.2. Scope-ID

Die Scope-ID:

  • identifiziert einen Prüf-Scope.

  • ist einmalig für jeden Prüf-Scope.

  • wird von uns bei Abschluss der Registrierung vergeben.

  • ist Voraussetzung für die Beauftragung einer Informationssicherheitsprüfung durch einen unserer TISAX-Prüfdienstleister.

  • sieht folgendermaßen aus:

    Format der Scope-ID
    Abbildung 8. Format der Scope-ID
Icon für Info-Boxen

Bitte beachten Sie:

Es gibt zwei Möglichkeiten, Ihre Scope-ID zu finden:

  1. Prüfen Sie Ihren „TISAX Scope Excerpt“.
    Siehe weiter oben in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.

  2. Melden Sie sich im ENX-Portal an, gehen Sie zur Hauptnavigationsleiste, wählen Sie „MEIN TISAX“ und dann „SCOPES UND PRÜFUNGEN“. Dort finden Sie Ihre Scope-ID.

Icon für Info-Boxen

Bitte beachten Sie:

Jeder Prüf-Scope (identifiziert durch seine Scope-ID) durchläuft einen Lebenszyklus.

Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5, “Anhang: „Prüf-Scope-Status“ (Assessment scope status)”.

4.5.9. Statusinformation

Zu diesem Zeitpunkt gibt es zwei relevante Status, mit denen wir Ihre Position im TISAX-Prozess beschreiben:

  1. „Participant status“

  2. Prüf-Scope-Status

Die folgende Abbildung veranschaulicht die Bedingungen, die erfüllt sein müssen, um einen bestimmten Status zu erreichen:

Bedingungen für den „Participant status“ und den „Prüf-Scope-Status“
Abbildung 9. Bedingungen für den „Participant status“ und den „Prüf-Scope-Status“

Die Statusdefinitionen und was Sie tun müssen, um zum nächsten Status zu gelangen, finden Sie im Anhang.

Weitere Informationen über den:

4.5.10. Änderungen Ihrer Registrierungsdaten

Icon für Info-Boxen

Bitte beachten Sie:

Alle Antworten zum Lebenszyklus Ihrer Daten finden Sie in Abschnitt 7.9, “Anhang: Lebenszyklusmanagement der Teilnehmerdaten”. Er enthält Anweisungen für den Fall, dass Sie Daten wie Ihren Firmennamen oder Ihre Kontaktdaten ändern oder aktualisieren möchten.


Herzlichen Glückwunsch, Sie sind jetzt registrierter TISAX-Teilnehmer. Sie sind bereit für den nächsten Schritt im TISAX-Prozess.

5. Prüfung (Schritt 2)

Die geschätzte Lesezeit für den Prüfungsabschnitt beträgt 30-35 Minuten.

5.1. Überblick

Die TISAX-Registrierung ist Ihr zweiter Schritt. Hier erledigen Sie die meiste Arbeit der TISAX-Prüfung.

Die folgenden Abschnitte führen Sie durch die Prüfung:

  1. Wir beginnen mit der Erläuterung, wie Sie die ISA-Selbsteinschätzung verwenden, um herauszufinden, ob Sie auf eine TISAX-Prüfung vorbereitet sind.

  2. Dann beraten wir Sie, wie Sie einen unserer TISAX-Prüfdienstleister auswählen.

  3. Anschließend beschreiben wir Ihren Weg durch den Prüfprozess.

  4. Am Ende erklären wir Ihnen das „Prozessergebnis“: Ihr Prüfergebnis und die damit verbundenen TISAX-Labels.

5.2. Selbsteinschätzung auf Basis des ISA

Um für eine TISAX-Prüfung bereit zu sein, muss in erster Linie Ihr Informationssicherheitsmanagementsystem (ISMS) in Bestform sein. Um herauszufinden, ob Ihr ISMS dem erwarteten Reifegrad entspricht, müssen Sie eine Selbsteinschätzung auf Basis des ISA durchführen.

Der ISA ("Information Security Assessment") ist ein vom "Verband der Automobilindustrie e.V." (VDA) herausgegebener Kriterienkatalog. Es ist der Branchenstandard der Automobilindustrie für Informationssicherheits-Assessments.

In den folgenden Abschnitten geben wir Ihnen praktische Hinweise zur Durchführung einer Selbsteinschätzung auf Basis des ISA.

Die Erläuterungen, Beispiele und Screenshots in diesem Handbuch basieren Version 5 des ISA.

Icon für Info-Boxen

Bitte beachten Sie:

Informationen über Änderungen gegenüber vorigen Versionen des ISA finden Sie dessen Excel-Tabellenblatt „Änderungshistorie“.

Icon für Info-Boxen

Bitte beachten Sie:

Informationen darüber, welche ISA-Version für Ihre Prüfung gilt, wenn der VDA eine neue Version veröffentlicht, finden Sie in Abschnitt 7.11, “Anhang: ISA-Lebenszyklus-Management”.

5.2.1. Laden Sie das ISA-Dokument herunter

Starten Sie Ihre Selbsteinschätzung mit dem Download des ISA-Dokuments.

Sie können es auf unserer Website herunterladen:
Icon der Flagge von Deutschland enx.com/de-de/TISAX/downloads/

Direkter Excel-Datei-Download:
Icon der Flagge von Deutschland portal.enx.com/isa5-de.xlsx

Das ISA-Dokument ist auch in englischer Sprache erhältlich:
Icon der Flagge des Vereinigten Königreichs enx.com/en-US/TISAX/downloads/

5.2.2. Das ISA-Dokument verstehen

Bevor Sie mit Ihrer Selbsteinschätzung beginnen, finden Sie hier einige Erklärungen, die hilfreich für Sie sein könnten. Diese stellen wir zusätzlich zu den offiziellen Erläuterungen und Definitionen im ISA-Dokument zur Verfügung, wobei der Schwerpunkt auf der Verwendung für TISAX-Prüfungen liegt.

5.2.2.1. Kriterienkataloge

Der ISA enthält derzeit drei „Kriterienkataloge“[13]:

{img-deflag-alt} Icon der Flagge des Vereinigten Königreichs

1.

 Informationssicherheit

Information Security

2.

 Prototypenschutz

Prototype Protection

3.

 Datenschutz

Data Protection

Jeder Kriterienkatalog hat sein eigenes Excel-Tabellenblatt:

Screenshot: ISA-Kriterienkataloge als Excel-Tabellenblätter
Abbildung 10. Screenshot: ISA-Kriterienkataloge als Excel-Tabellenblätter

Welcher Kriterienkatalog ist für Sie relevant? Das hängt von Ihrem Prüfziel ab.

Jedes Prüfziel definiert, welche Anforderungen aus welchem Kriterienkatalog gelten. Für einige Prüfungsziele gelten nur Anforderungen aus einem Kriterienkatalog, für andere gelten Anforderungen aus mehr als einem Kriterienkatalog.

Die vorgenannten Prüfziele sind diesen Kriterienkatalogen zugeordnet:

Tabelle 7. Zuordnung zwischen TISAX-Prüfzielen und ISA-Kriterienkatalogen
Nr. Prüfziel (Icon der Flagge des Vereinigten Königreichs Assessment objective) ISA-Kriterienkatalog(e)

1.

 Info high

Informationssicherheit

2.

 Info very high

Informationssicherheit

3.

 Confidential

Informationssicherheit

4.

 Strictly confidential

Informationssicherheit

5.

 High availability

Informationssicherheit

6.

 Very high availability

Informationssicherheit

7.

 Proto parts

Prototypenschutz

8.

 Proto vehicles

Prototypenschutz

9.

 Test vehicles

Prototypenschutz

10.

 Proto events

Prototypenschutz

11.

 Data

Informationssicherheit
Datenschutz

12.

 Special data

Informationssicherheit
Datenschutz

Beispiel: Wenn Sie das Prüfziel „Datenschutz“ gewählt haben, müssen Sie die Fragen im Kriterienkatalog „Informationssicherheit“ UND im Kriterienkatalog „Datenschutz“ beantworten.

Sie haben vielleicht bemerkt, dass es mehr als ein Prüfziel pro Kriterienkatalog gibt. Wie finden Sie heraus, welche Anforderungen für welches Prüfziel gelten?

Die folgende Tabelle zeigt Ihnen die geltenden Anforderungen:

Tabelle 8. Geltung der Anforderungen für die Prüfziele
Nr. Prüfziel (Icon der Flagge des Vereinigten Königreichs Assessment objective) Geltende Anforderungen

1.

 Info high

  • Kriterienkatalog „Informationssicherheit“

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

    • Spalte „Zusatzanforderungen bei hohem Schutzbedarf“

2.

 Info very high

  • Kriterienkatalog „Informationssicherheit“

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

    • Spalte „Zusatzanforderungen bei hohem Schutzbedarf“

    • Spalte „Zusatzanforderungen bei sehr hohem Schutzbedarf“

3.

 Confidential

  • Kriterienkatalog „Informationssicherheit“

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

    • Spalte „Zusatzanforderungen bei hohem Schutzbedarf“
      (aber nur die mit „C” wie „Confidentiality“ (Icon der Flagge von Deutschland Vertraulichkeit) markierten)

4.

 Strictly confidential

  • Kriterienkatalog „Informationssicherheit“

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

    • Spalte „Zusatzanforderungen bei hohem Schutzbedarf“
      (aber nur die mit „C” wie „Confidentiality“ (Icon der Flagge von Deutschland Vertraulichkeit) markierten)

    • Spalte „Zusatzanforderungen bei sehr hohem Schutzbedarf“
      (aber nur die mit „C” wie „Confidentiality“ (Icon der Flagge von Deutschland Vertraulichkeit) markierten)

5.

 High availability

  • Kriterienkatalog „Informationssicherheit“

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

    • Spalte „Zusatzanforderungen bei hohem Schutzbedarf“
      (aber nur die mit „A” wie „Availability“ (Icon der Flagge von Deutschland Verfügbarkeit) markierten)

6.

 Very high availability

  • Kriterienkatalog „Informationssicherheit“

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

    • Spalte „Zusatzanforderungen bei hohem Schutzbedarf“
      (aber nur die mit „A” wie „Availability“ (Icon der Flagge von Deutschland Verfügbarkeit) markierten)

    • Spalte „Zusatzanforderungen bei sehr hohem Schutzbedarf“
      (aber nur die mit „A” wie „Availability“ (Icon der Flagge von Deutschland Verfügbarkeit) markierten)

7.

 Proto parts

  • Kriterienkatalog „Prototypenschutz“
    Aber nur diese Kapitel:
    8.1 Physische und umgebungsbezogene Sicherheit
    8.2 Organisatorische Anforderungen
    8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

8.

 Proto vehicles

  • Kriterienkatalog „Prototypenschutz“
    Aber nur diese Kapitel:
    8.1 Physische und umgebungsbezogene Sicherheit
    8.2 Organisatorische Anforderungen
    8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

    • Spalte „Zusatzanforderungen bei als schutzbedürftig klassifizierten Fahrzeugen“

9.

 Test vehicles

  • Kriterienkatalog „Prototypenschutz“
    Aber nur diese Kapitel:
    8.2 Organisatorische Anforderungen
    8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen
    8.4 Anforderungen für Erprobungsfahrzeuge

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

10.

 Proto events

  • Kriterienkatalog „Prototypenschutz“
    Aber nur diese Kapitel:

    • 8.2 Organisatorische Anforderungen

    • 8.3 Umgang mit Fahrzeugen, Komponenten und Bauteilen

    • 8.5 Anforderungen für Veranstaltungen und Shootings

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

11.

 Data

  • Kriterienkatalog „Informationssicherheit“

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

    • Spalte „Zusatzanforderungen bei hohem Schutzbedarf“
      (aber nur die mit „C” wie „Confidentiality“ (Icon der Flagge von Deutschland Vertraulichkeit) markierten)

  • Kriterienkatalog „Datenschutz“

    • Spalte „Anforderungen (muss)“

12.

 Special data

  • Kriterienkatalog „Informationssicherheit“

    • Spalte „Anforderungen (muss)“

    • Spalte „Anforderungen (sollte)“

    • Spalte „Zusatzanforderungen bei hohem Schutzbedarf“
      (aber nur die mit „C” wie „Confidentiality“ (Icon der Flagge von Deutschland Vertraulichkeit) markierten)

    • Spalte „Zusatzanforderungen bei sehr hohem Schutzbedarf“
      (aber nur die mit „C” wie „Confidentiality“ (Icon der Flagge von Deutschland Vertraulichkeit) markierten)

  • Kriterienkatalog „Datenschutz“

    • Spalte „Anforderungen (muss)“

Icon für Info-Boxen

Bitte beachten Sie:

Jede Anforderung in den beiden Spalten „Zusatzanforderungen bei hohen Schutzbedarf“ und „Zusatzanforderungen bei sehr hohen Schutzbedarf“ ist entweder mit einem „C“ wie in Confidentiality (Icon der Flagge von Deutschland Vertraulichkeit) oder einem „I“ wie in Integritiy (Icon der Flagge von Deutschland Integrität) oder einem „A“ wie in Availability (Icon der Flagge von Deutschland Verfügbarkeit) oder einer beliebigen Kombination dieser drei Buchstaben gekennzeichnet.

Wenn die obige Tabelle die Anforderungen in den beiden Spalten auf die mit einem der oben genannten Buchstaben gekennzeichneten Anforderungen eingrenzt, schließt dies immer auch die Anforderungen ein, die mit mehr als diesem Buchstaben gekennzeichnet sind.

Beispiel: Alle Anforderungen, die mit „(C)“, „(C, I, A)“ oder „(C, I)“ gekennzeichnet sind, gelten dort, wo in der obigen Tabelle „C“ angegeben ist (z. B. im Prüfziel „Special data“).

Der folgende Screenshot zeigt die Hauptelemente der Kontrollfragen im Kriterienkatalog „Informationssicherheit“. (Die anderen Kriterienkataloge haben nur eine Teilmenge dieser Elemente.) Wir erklären alle Elemente weiter unten.

Screenshot: Hauptelemente der Fragen in den ISA-Kriterienkatalogen
Abbildung 11. Screenshot: Hauptelemente der Fragen im ISA-Kriterienkatalog „Informationssicherheit“
5.2.2.2. Kapitel

Jeder Kriterienkatalog fasst die Fragen in Kapiteln zusammen.

Beispiel: „2 Human Resources“

Die Gruppierung basiert auf den typischen Verantwortlichkeiten in einem Unternehmen. Diese Abteilungen werden in der Spalte "Üblicher Prozessverantwortlicher" angegeben ("HR" im obigen Beispiel).

5.2.2.3. Kontrollfragen

Die Fragen zu den einzelnen Kriterienkatalogen finden Sie in den jeweiligen Excel-Tabellenblättern.

Beispiel: „4.1.2 Inwieweit wird der Zugang von Benutzern zu Netzwerkdiensten, IT-Systemen und IT-Anwendungen gesichert?”

Die Kontrollfragen werden auch als „Controls“ bezeichnet. Das ist „Prüfdienstleister-Jargon“. Die ISO-Standards, auf denen der ISA aufbaut, verwenden den Begriff „Control“.

5.2.2.4. Formularfelder für die Selbsteinschätzung

Zwischen den Spalten „Reifegrad“ und „Kontrollfrage“ befinden sich Formularfelder, die Sie für eine Selbsteinschätzung ausfüllen müssen:

Tabelle 9. Formularfelder in der Selbsteinschätzung und ihr Zweck
Formularfeld Zweck Pflichtfeld?

Beschreibung der Umsetzung
(Spalte F)

Hier sollten Sie kurz beschreiben, was Sie umgesetzt haben, um diese Frage in Ihrem Unternehmen zu beantworten.

Ja

Referenz Dokumentation
(Spalte G)

Hier sollten Sie angeben, in welchen Dokumenten Sie die Umsetzung nachweisen.

Ja

Feststellungen/Prüfergebnis
(Spalte H)

Hier können Sie alle Feststellungen aufschreiben, bei denen Ihrer Meinung nach eine Lücke zwischen dem, was sein sollte und dem, was ist, besteht.

Nein

Nur die kurze Beschreibung Ihrer Umsetzung und der Verweis auf Ihre Dokumentation sind Pflichtangaben. Diese Informationen helfen unseren TISAX-Prüfdienstleistern, Ihr Unternehmen besser zu verstehen und die Prüfung vorzubereiten.

Es gibt weitere optionale Spalten, um Sie bei Ihrer Selbsteinschätzung zu unterstützen:

  • Maßnahmen/Empfehlungen (Spalte R)

  • Datum der Feststellung (Spalte S)

  • Datum der Erledigung (Spalte T)

  • Verantwortliche Abteilung (Spalte U)

  • Kontakt (Spalte V)

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Wenn Sie die heruntergeladene Excel-Datei öffnen und eines der Kriterienkatalog-Tabellenblätter auswählen (z. B. Informationssicherheit), werden Sie wahrscheinlich nicht sofort die Formularfelder für die Selbsteinschätzung sehen. Um sie anzuzeigen, müssen Sie auf die Gruppierungsschaltfläche für die Ebene „2“ klicken[14]. Sie finden die Schaltfläche ein wenig oberhalb und links von Zelle C1. Dadurch wird die Ansicht erweitert, um die Formularfelder für die Selbsteinschätzung anzuzeigen.

Screenshot: Excel-Gruppierungsschaltfläche

Ein weiterer Tipp ist, mit den Pfeiltasten nach unten zu scrollen. Da die Zellen sehr groß sind, kann das Scrollen mit dem Scrollbalken sehr gute feinmotorische Fähigkeiten erfordern. Wenn Sie die Scroll-Funktion Ihres Zeigegeräts verwenden, könnten Sie außerdem unfreiwillig einige der größeren Zellen „überspringen“.

5.2.2.5. Ziel

Rechts der Spalte „Kontrollfrage“ befindet sich die Spalte „Ziel“ (Spalte J). Deren Inhalt beschreibt, was Sie in Bezug auf diesen Aspekt Ihres Informationssicherheitsmanagements erreichen müssen.

Beispiel (zur Kontrollfrage 4.1.2): „Um die Berechtigung für den physischen Zutritt wie auch elektronischen Zugang zu prüfen, werden oft Identifikationsmittel wie Schlüssel, Sichtausweise oder kryptographische Tokens verwendet. Die Schutzmerkmale sind nur dann verlässlich, wenn der Umgang mit solchen Identifikationsmitteln adäquat gehandhabt wird.“

5.2.2.6. Anforderungen

Um das Ziel zu erreichen, wird von Ihnen erwartet, diese Anforderungen zu erfüllen.

Die Anforderungen sind über vier Spalten verteilt:

  1. Anforderungen (muss) (Spalte K)

  2. Anforderungen (sollte) (Spalte L)

  3. Zusatzanforderungen bei hohem Schutzbedarf (Spalte M)

  4. Zusatzanforderungen bei sehr hohem Schutzbedarf (Spalte N)

Sie müssen alle Anforderungen bis zu dem Schutzbedarf erfüllen, den Sie erreichen müssen (welchen Sie aus Ihrem Prüfziel ableiten können).

Für einige Prüfziele gilt nur eine Teilmenge der Anforderungen. Weitere Informationen zu den geltenden Anforderungen finden Sie in Tabelle 8, “Geltung der Anforderungen für die Prüfziele” in Abschnitt 5.2.2.1, “Kriterienkataloge” und insbesondere im Hinweis am Ende des Abschnitts.

Weitere Informationen zu den ISA-Definitionen der Anforderungsstufen "muss" und "soll" finden Sie unter "Schlüsselbegriffe" im Excel-Tabellenblatt "Definitionen".

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Es ist sehr wichtig, dass Sie verstehen, dass Sie jede Anforderung im Kontext und im Sinne des Ziels interpretieren müssen. Selbst wenn Sie eine Anforderung buchstabengetreu erfüllen, ist das keine Garantie dafür, dass der Prüfdienstleister bestätigt, dass Sie sie im Kontext und im Sinne des Ziels (Spalte J) erfüllen.

Die Anforderungen und deren Formulierung basieren auf einer theoretischen Umsetzung durch ein fiktionales Durchschnittsunternehmen unbekannter Größe.

Der Prüfdienstleister muss immer das Ziel gegen die einzigartige Umsetzung in Ihrem Unternehmen abwägen. Was für das durchschnittliche Unternehmen angemessen ist, kann in Ihrer speziellen Situation nicht ausreichend sein.

5.2.2.7. Reifegrade

Der ISA verwendet das Konzept der „Reifegrade“, um die Qualität aller Aspekte Ihres Informationssicherheitsmanagementsystems zu bewerten. Je ausgereifter Ihr Informationssicherheitsmanagementsystem ist, desto höher wird Ihr Reifegrad sein.

Der ISA unterscheidet sechs Reifegrade. Die detaillierte Definition finden Sie im Excel-Tabellenblatt „Reifegrade“. Für eine konsolidierte Sicht auf die Reifegrade zitieren wir aus den Kurzbeschreibungen des ISA:

Tabelle 10. Kurzbeschreibung der Reifegrade
Reifegrad In einem Wort Beschreibung

0

Unvollständig

Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen.

1

Durchgeführt

Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt („informeller Prozess“) und es existieren Indizien, dass er sein Ziel erreicht.

2

Gesteuert

Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden.

3

Etabliert

Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.

4

Vorhersagbar

Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss. (Key Performance Indicators)

5

Optimierend

Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben.

Sie müssen den Reifegrad Ihres Informationssicherheitsmanagementsystems für jede Frage bewerten.
Geben Sie Ihren Reifegrad in der Spalte „Reifegrad“ (Spalte E) ein.

Screenshot: Beispiel für die Reifegrade-Auswahl im ISA-Dokument (Excel-Tabellenblatt „Informationssicherheit“)
Abbildung 12. Screenshot: Beispiel für die Reifegrade-Auswahl im ISA-Dokument (Excel-Tabellenblatt „Informationssicherheit“)

Weitere Informationen zu den Zielreifegraden und deren Auswirkungen auf Ihr Prüfergebnis finden Sie in Abschnitt 5.2.4, “Interpretieren Sie das Ergebnis der Selbsteinschätzung”.


Mit diesem besseren Verständnis sind Sie nun bereit, mit der Selbsteinschätzung zu beginnen.

5.2.3. Führen Sie die Selbsteinschätzung durch

Öffnen Sie die Excel-Datei und gehen Sie alle Kontrollfragen der einzelnen Kriterienkataloge durch, die für Ihr(e) Prüfziel(e) gelten, und ermitteln Sie den Reifegrad, der dem aktuellen Stand Ihres Informationssicherheitsmanagementsystems entspricht. Tun Sie dies nach bestem Wissen und Gewissen. Es gibt kein Richtig oder Falsch in diesem Stadium.

Nachdem Sie die Selbsteinschätzung abgeschlossen haben, sollte die Spalte „Ergebnis“ (H) im Excel-Tabellenblatt „Ergebnisse (ISA5)“ vollständig ausgefüllt sein, entweder mit Zahlen (0-5) oder „n.a.“ (wie in Icon der Flagge des Vereinigten Königreichs „not applicable“).

Screenshot: Beispiel für „Ergebnisse (ISA5)“-Tabellenblatt im ISA-Dokument
Abbildung 13. Screenshot: Beispiel für „Ergebnisse (ISA5)“-Tabellenblatt im ISA-Dokument

Wenn Sie Fragen zum ISA haben, sprechen Sie uns bitte an.

5.2.4. Interpretieren Sie das Ergebnis der Selbsteinschätzung

Die nächsten fünf Unterabschnitte erklären, wie Sie das Ergebnis Ihrer Selbsteinschätzung analysieren und interpretieren können. Die Analyse zeigt Ihnen, ob Sie für eine TISAX-Prüfung bereit sind oder (noch) nicht.

5.2.4.1. Analyse

Ihr Ergebniswert fasst das Ergebnis der Selbsteinschätzung zusammen.

Das Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad „) finden Sie im Excel-Tabellenblatt „Ergebnisse (ISA5)“ (Zelle D6). Wir werden die „Kürzung“ gleich erklären.

Screenshot: Ihr Ergebnis und das maximale Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“
Abbildung 14. Screenshot: Ihr Ergebnis und das maximale Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“, Zelle D6 und G6)

Um das Ergebnis Ihrer Selbsteinschätzung und Ihren Ergebniswert zu verstehen und anschließend zu interpretieren, müssen Sie zwischen zwei Analyse-Ebenen unterscheiden:

  1. Frage-Ebene
    Auf dieser Ebene finden Sie alle Fragen. Für jede Frage gibt es einen Zielreifegrad und Ihren Reifegrad.

  2. Ergebnis-Ebene
    Auf dieser Ebene finden Sie das Gesamtergebnis, das die Ergebnisse aller Fragen zusammenfasst. Es gibt ein maximales Ergebnis und Ihr Ergebnis.

Die folgende Abbildung zeigt die Analyse-Ebenen:

Analyse des Ergebnisses der Selbsteinschätzung auf Frage-Ebene und Ergebnis-Ebene
Abbildung 15. Analyse des Ergebnisses der Selbsteinschätzung auf Frage-Ebene und Ergebnis-Ebene

Die folgende Abbildung zeigt Ihnen, wo Sie die Ergebnisse auf der Ergebnis-Ebene auf der Frage-Ebene finden:

Ergebnis-Ebene und Frage-Ebene im Excel-Tabellenblatt „Ergebnisse (ISA5)“
Abbildung 16. Ergebnis-Ebene und Frage-Ebene im Excel-Tabellenblatt „Ergebnisse (ISA5)“

Die nächste Abbildung zeigt eine vereinfachte Darstellung der Analyse-Ebenen, den ISA-Zielvorgaben und Ihrer eigenen Ergebnisse:

Die Vorgaben und Ihr Ergebnis auf Frage- und Ergebnis-Ebene
Abbildung 17. Die Vorgaben und Ihr Ergebnis auf Frage- und Ergebnis-Ebene

In den folgenden Abschnitten finden Sie eine detaillierte Erläuterung zum Ergebnis und seiner Analyse.

5.2.4.2. Der Zielreifegrad (auf Frage-Ebene)

Der ISA definiert für jede Frage einen „Zielreifegrad“ von 3.

Weitere Informationen zur Definition der einzelnen Reifegrade finden Sie in Abschnitt 5.2.2, “Das ISA-Dokument verstehen”.

Der ISA definiert die Zielreifegrade im Excel-Tabellenblatt „Ergebnisse (ISA5)“ (ab Spalte G, Zeile 22; siehe Abbildung unten).

Die Zielreifegrad-Definitionen im Excel-Tabellenblatt „Ergebnisse (ISA5)“
Abbildung 18. Die Zielreifegrad-Definitionen im Excel-Tabellenblatt „Ergebnisse (ISA5)“
5.2.4.3. Ihr Ergebnis (auf Frage-Ebene)

Um TISAX-Labels zu erhalten, benötigen Sie in der Regel Reifegrade für jede Frage, die gleich dem oder höher als der Zielreifegrad sind.

Beispiel: Wenn der Zielreifegrad für Frage X „3“ ist, sollte Ihr Reifegrad für diese Frage „3“ oder höher sein. Wenn Ihr Reifegrad für diese Frage unter „3“ liegt, erhalten Sie möglicherweise keine TISAX-Labels.

Dies muss für jede Frage einzeln erfolgen. Wenn der Zielreifegrad für zwei Fragen „3“ ist, können Sie einen Reifegrad von „2“ in einer Frage nicht mit einem Reifegrad von „4“ in der anderen Frage ausgleichen.

Das ISA-Dokument übernimmt automatisch Ihre Reifegrade aus dem Excel-Tabellenblatt „Informationssicherheit“ (Spalte E) in das Excel-Tabellenblatt „Ergebnisse (ISA5)“ (ab Spalte H, Zeile 23):

Ihr Reifegrad im Excel-Tabellenblatt „Ergebnisse (ISA5)“
Abbildung 19. Ihr Reifegrad im Excel-Tabellenblatt „Ergebnisse (ISA5)“

Ihr Reifegrad unterliegt einer Berechnung, bevor das ISA-Dokument ihn in Ihrem Ergebniswert zusammenfasst. Im Prinzip wird Ihr Reifegrad auf den Zielreifegrad „gekürzt“. Dies wird gemacht, damit Fragen, bei denen Ihr Reifegrad über dem Zielreifegrad liegt, keine Fragen kompensieren, bei denen Ihr Reifegrad unter dem Zielreifegrad liegt.

So berechnet es der ISA Ihr Ergebnis auf der Frage-Ebene:

  • Es nimmt Ihren Reifegrad und vergleicht ihn mit dem Zielreifegrad der Frage.

  • Liegt Ihr Reifegrad über dem Zielreifegrad, wird er auf den Zielreifegrad „gekürzt“.

  • Liegt Ihr Reifegrad unter oder ist gleich dem Zielreifegrad, passiert für diese Frage nichts.

Beispiel (siehe Abbildung unten): Der Zielreifegrad ist „3“. Ihr Reifegrad ist „4“. Ihr „gekürztes Ergebnis“ für diese Frage ist „3“.

Kürzungsberechnung Ihres Ergebnisreifegrads
Abbildung 20. Kürzungsberechnung Ihres Ergebnisreifegrads

Die folgende Abbildung zeigt, dass der ISA Ihren Reifegrad kürzt, wenn er über dem Zielreifegrad liegt (die Farben Grün, Orange und Rot passen zu den in der Spalte „Ergebnis“ verwendeten Farben, siehe Abbildung 19, “Ihr Reifegrad im Excel-Tabellenblatt „Ergebnisse (ISA5)“”).

Illustration der Kürzung mit den Farben
Abbildung 21. Illustration der Kürzung mit den Farben, die im Excel-Tabellenblatt „Ergebnisse (ISA5)“ benutzt werden

Im Folgenden finden Sie eine weitere Möglichkeit, die Reifegrade auf Frage-Ebene zu betrachten. Die Farben der Kreise zeigen den Zielreifegrad oder den „Abstand“ dazu an (Beispiel: der Kreis ist Orange, wenn der Reifegrad „-1“ unter dem Zielreifegrad liegt). Die Häkchen zeigen Ihren Reifegrad an.

Reifegrade auf Frage-Ebene
Abbildung 22. Reifegrade auf Frage-Ebene
Icon für Info-Boxen

Bitte beachten Sie:

Es ist möglich, eine TISAX-Prüfung erfolgreich zu bestehen, auch wenn Sie nicht bei allen Fragen den Zielreifegrad erreichen. Die entscheidende Frage in solchen Fällen ist, ob Sie ein relevantes Risiko haben. Wenn Ihr Reifegrad unter dem Zielwert liegt, aber kein Risiko besteht, kann dies dennoch ausreichend sein.

5.2.4.4. Das Ziel (auf Ergebnis-Ebene)

Der ISA definiert einen „idealen“ Gesamtreifegrad — das „maximale Ergebnis“ (oder „Maximal erreichbar“, Zelle G6).

Das maximale Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“)
Abbildung 23. Das maximale Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“)

Theoretisch ist dieser Gesamtreifegrad der Durchschnitt aller Zielreifegrade (auf Frage-Ebene). Das ergäbe ein maximales Ergebnis von „3,0“.

Er ist aber nur „3,0“, wenn alle Fragen auf Ihre Situation zutreffen. Sobald eine Frage nicht auf Ihre Situation zutrifft, ändert sich der Durchschnitt und das maximale Ergebnis ist niedriger als „3,0“.

Eine Darstellung von weiter oben aufgreifend (Abbildung 22, “Reifegrade auf Frage-Ebene”) können Sie unten sehen, was in den Mittelwert für das maximale Ergebnis einfließt:

Das maximale Ergebnis (auf Ergebnis-Ebene)
Abbildung 24. Das maximale Ergebnis (auf Ergebnis-Ebene)
5.2.4.5. Ihr Ergebnis (auf Ergebnis-Ebene)

Ihr Gesamtergebnis („Ergebnis mit Kürzung auf Zielreifegrad“, Zelle D6):

  • fasst den Gesamtreifegrad Ihres Informationssicherheitsmanagementsystems zusammen.

  • ist der Durchschnitt aller Ihrer Reifegrade (auf Frage-Ebene).

  • kann kleiner oder gleich dem maximalen Ergebnis sein.

  • sollte so nahe wie möglich am maximalen Ergebnis liegen. Je mehr Ihr Ergebnis unter dem maximalen Ergebnis liegt, desto unwahrscheinlicher ist es, dass Sie in der Lage sind, TISAX-Labels zu erhalten.

Ihr Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“)
Abbildung 25. Ihr Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“)

Wieder eine weiter oben gezeigte Darstellung aufgreifend (Abbildung 22, “Reifegrade auf Frage-Ebene”) können Sie unten sehen, was in den Mittelwert für Ihr Ergebnis einfließt:

Ihr Ergebnis (auf Ergebnis-Ebene)
Abbildung 26. Ihr Ergebnis (auf Ergebnis-Ebene)

Ihr Ergebnis sagt Ihnen, ob Sie:

  • für eine TISAX-Prüfung bereit sind.

  • mit TISAX-Labels rechnen können.

Liegt Ihr Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) unter „3,0“, dann erreicht Ihr Reifegrad zumindest für eine Frage nicht den Zielreifegrad. In diesem Fall müssen Sie wahrscheinlich Ihr Informationssicherheitsmanagementsystem verbessern, bevor Sie für Ihre TISAX-Prüfung bereit sind.

Icon für Info-Boxen

Bitte beachten Sie:

Für das Gesamtergebnis gibt es formale Grenzen für einen akzeptablen „Abstand“ zwischen Ihrem Ergebnis und dem maximalen Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“).

Wenn Ihr Ergebnis mehr als:

  • 10 % darunter liegt, wird das Gesamtprüfergebnis „Nebenabweichend“ sein.

  • 30 % darunter liegt, wird das Gesamtprüfergebnis „Hauptabweichend“ sein.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Ein Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) von „3“ ist keine Garantie dafür, dass Sie die TISAX-Prüfung ohne negative Feststellungen bestehen. Bitte beachten Sie, dass der Prüfdienstleister bestimmte Aspekte möglicherweise anders sieht als Sie.

5.2.4.6. Sind Sie bereit?

Der Zweck der obigen Analyse ist festzustellen, ob Sie für eine TISAX-Prüfung bereit sind.

Sie sind definitiv für eine TISAX-Prüfung bereit, wenn Ihr Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) (nahezu) bei „3,0“ liegt. In diesem Fall sind alle Werte in der Spalte „Ergebnisse“ (H) grün (kein Orange, kein Rot).

Andernfalls müssen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung weiter befassen (siehe Abschnitt 5.2.5, “Befassen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung”).

Die Abbildung unten zeigt das ISA-Spinnennetzdiagramm aus dem Excel-Tabellenblatt „Ergebnisse (ISA5)“. Die grüne Linie markiert den Zielreifegrad pro Kapitel. Wenn Ihre Reifegrade auf oder über dieser Linie liegen, sind Sie bereit für eine TISAX-Prüfung. Wenn sie unterhalb dieser Linie liegen, reicht dies möglicherweise nicht aus, um TISAX-Labels zu erhalten.

Screenshot: Erfüllung der Zielreifegrade im ISA-Spinnennetzdiagramm (Excel-Tabellenblatt „Ergebnisse (ISA5)“)
Abbildung 27. Screenshot: Erfüllung der Zielreifegrade im ISA-Spinnennetzdiagramm (Excel-Tabellenblatt „Ergebnisse (ISA5)“)

Wenn Sie das ISA-Spinnennetz auf die Frage-Ebene „entfalten“, erhalten Sie eine ähnliche Grün/Rot-Darstellung auf der Frage-Ebene:

„Entfalten“ des ISA-Spinnennetzdiagramms
Abbildung 28. „Entfalten“ des ISA-Spinnennetzdiagramms

5.2.5. Befassen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung

Das Ergebnis Ihrer Selbsteinschätzung kann zeigen, dass Sie Ihr Informationssicherheitsmanagementsystem verbessern müssen, bevor Sie bereit sind, TISAX-Labels zu erhalten.

Bei einigen Lücken zwischen Ihrem Reifegrad und dem Zielreifegrad wissen Sie vielleicht schon, wie Sie diese schließen können. Für andere benötigen Sie möglicherweise externe Beratung. In diesem Fall können Sie sich von unseren TISAX-Prüfdienstleistern beraten lassen. TISAX gestattet ihnen diese Beratung, verpflichtet sie aber nicht zur Beratung. Bitte beachten Sie, dass Prüfdienstleister, die für Sie beratend tätig sind, keine TISAX-Prüfungen mehr für Sie durchführen können.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sich vor der Prüfung nicht richtig mit dem Ergebnis der Selbsteinschätzung auseinander zu setzen ist für viele Unternehmen ein großer Stolperstein. Bitte unterschätzen Sie nicht den Aufwand, Ihr Informationssicherheitsmanagementsystem den Anforderungen entsprechend zu gestalten. Viele Unternehmen müssen ausdrücklich ein umfangreiches Projekt aufsetzen, um sich auf eine TISAX-Prüfung vorzubereiten.

Icon für Info-Boxen

Bitte beachten Sie:

Wenn Sie auf der Suche nach externer Hilfe sind, um den TISAX-Prozess zu durchlaufen, werden Sie feststellen, dass verschiedene Unternehmen Beratungs- und Schulungsdienste anbieten. Alle diese Unternehmen sind nicht mit uns verbunden.

Stand heute:

  • bieten wir keine offiziellen Schulungen an, weder direkt noch durch Dritte.

  • machen wir keine Aussagen zur Qualität der Dienstleistungen Dritter und raten daher zu Vorsicht.

Icon für Info-Boxen

Bitte beachten Sie:
 
Wir raten davon ab, Dinge wie ein “Pre-Assessment“ oder eine „Gap-Analyse“ anzufragen oder zu beauftragen. Wir verstehen zwar den Wunsch, die Prüfung auf diese Weise vorzubereiten, aber in fast allen Fällen ist es sinnvoller, sofort mit der Prüfung zu beginnen.
 
Weitere Informationen dazu, warum wir von „Pre-Assessments“ abraten, finden Sie in Abschnitt 7.7, “Anhang: Die Argumentation gegen „Pre-Assessments“ und „Gap-Analysen“”.

5.3. Auswahl eines Prüfdienstleisters

Nur von uns zugelassene Prüfdienstleister können TISAX-Prüfungen durchführen[15]. TISAX-Prüfdienstleister dürfen für Sie nur dann TISAX-Prüfungen durchführen, wenn sie zuvor keine Beratungsaufträge bei Ihnen hatten.

Alle unsere TISAX-Prüfdienstleister sind verpflichtet, TISAX-Prüfungen ausschließlich für solche Unternehmen durchzuführen, die registrierte TISAX-Teilnehmer sind.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sobald Sie einen TISAX-Prüf-Scope registriert haben, sollten Sie unsere Prüfdienstleistern ansprechen. Sie haben eine gewisse Vorlaufzeit, was ihre Verfügbarkeit angeht. Eine Kontaktaufnahme nach Abschluss Ihrer Vorbereitungen könnte zu einer unnötigen Verzögerung führen.

Icon für Info-Boxen

Bitte beachten Sie:

Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt muss Ihr Prüf-Scope den Status „Approved“ oder „Registered“ haben.

Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.5, “Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)”.

5.3.1. Ansprechpartner

Sobald Sie einen TISAX-Prüf-Scope registriert haben, können Sie alle TISAX-Prüfdienstleister ansprechen und Angebote anfordern. Deren Ansprechpartner finden Sie in der Bestätigungs-E-Mail, die Sie erhalten haben[16] (siehe Abschnitt 4.5.8, “Bestätigungs-E-Mail”).

Icon für Info-Boxen

Bitte beachten Sie:

Bitte fordern Sie Angebote von unseren TISAX-Prüfdienstleistern erst an, NACHDEM Sie sich registriert haben. Die Prüfdienstleister kontrollieren, ob eine Registrierung vorhanden ist. Sie müssen Anfragen ohne Registrierung ablehnen.

Aus diesem Grund erhalten Sie die Ansprechpartner der Prüfdienstleister nur in der Bestätigungs-E-Mail (und nicht über unsere öffentliche Website).

5.3.2. Abdeckung

Obwohl derzeit viele Prüfdienstleister-Ansprechpartner in Deutschland angesiedelt sind, ist es wichtig zu verstehen, dass alle unsere Prüfdienstleister grundsätzlich dazu in der Lage sind, TISAX-Prüfungen weltweit durchzuführen. Die meisten von ihnen haben in vielen Ländern sogar eigene Mitarbeiter.

Auf unserer Website bieten wir Ihnen eine Seite an, auf der Sie Ihr Land auswählen und dann sehen können, welcher Prüfdienstleister über lokale Vertriebsmitarbeiter und/oder lokale Auditoren verfügt (Icon der Flagge von Deutschland enx.com/de-de/TISAX/xap/).

5.3.3. Angebote anfordern

Damit unsere TISAX-Prüfdienstleister den zu erwartenden Prüfaufwand genau ermitteln können, sollten Sie immer Ihr „TISAX Scope Excerpt“ zur Verfügung stellen.

Miniaturansicht eines „TISAX Scope Excerpt“ (erste Seite)
Abbildung 29. Miniaturansicht eines „TISAX Scope Excerpt“ (erste Seite)

Weitere Informationen finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.

Icon für Info-Boxen

Bitte beachten Sie:

Unparteilichkeit ist ein wesentliches Merkmal unserer TISAX-Prüfdienstleister. Sie werden sicherstellen, dass kein Interessenkonflikt besteht. Sie möchten das gegebenenfalls bei der Anfrage bedenken. Wenn Ihr Unternehmen in irgendeiner Weise mit einem Prüfdienstleister verbunden ist, können Sie nicht erwarten, von ihm geprüft zu werden.

5.3.4. Beurteilen der Angebote

Sie können zwischen allen unseren TISAX-Prüfdienstleistern frei wählen. Sie sind alle an den gleichen Vertrag gebunden. Sie alle führen die Prüfungen nach den gleichen Kriterien und mit den gleichen Prüfmethoden durch. In Bezug auf das Prüfergebnis gibt es keinen Unterschied, egal für welchen Prüfdienstleister Sie sich entscheiden. Ihr Prüfergebnis wird von allen TISAX-Teilnehmern akzeptiert.

Neben offensichtlichen Faktoren wie Preis, Ruf und Sympathie gibt es bei einem Angebot einige Aspekte, auf die Sie achten können:

  • Verfügbarkeit:
    Wie schnell kann der Prüfprozess beginnen? Dies kann ein wichtiger Aspekt sein, wenn eine TISAX-Prüfung für Sie dringend ist.

  • Reisekosten für Vor-Ort-Termine:
    Prüfdienstleister mit Niederlassungen in Ihrem Land haben möglicherweise geringere Reisekosten.

  • Sprache:
    Werden Sie und jeder andere Befragte in Ihrem Unternehmen in der Lage sein, mit dem Auditor in Ihrer Muttersprache zu kommunizieren?

  • Angebotsumfang:
    Welche Prüfungen sind enthalten?
    Weitere Informationen zu Prüfungen finden Sie in Abschnitt 5.4.3, “TISAX-Prüfungstypen”.
    In der Regel beinhalten die Angebote eine Erstprüfung und die Maßnahmenplanprüfung. Da der Aufwand für Follow-up-Prüfungen schwer vorhersehbar ist, werden sie in der Regel erst nach Abschluss der anderen Prüfungen angeboten.

Letztendlich wird es auf das Vertrauen ankommen. Sie müssen ein Vertrauensverhältnis zu Ihrem Prüfdienstleister aufbauen, da er einen tiefen Einblick in Ihr Unternehmen bekommen wird.

Icon für Info-Boxen

Bitte beachten Sie:
 
Wir raten davon ab, Dinge wie ein “Pre-Assessment“ oder eine „Gap-Analyse“ anzufragen oder zu beauftragen. Wir verstehen zwar den Wunsch, die Prüfung auf diese Weise vorzubereiten, aber in fast allen Fällen ist es sinnvoller, sofort mit der Prüfung zu beginnen.
 
Weitere Informationen dazu, warum wir von „Pre-Assessments“ abraten, finden Sie in Abschnitt 7.7, “Anhang: Die Argumentation gegen „Pre-Assessments“ und „Gap-Analysen“”.

Icon für Info-Boxen

Bitte beachten Sie:

Wir würden Ihnen gerne einen Anhaltspunkt geben, wie viel unsere Prüfdienstleister für die Prüfung berechnen. Aber wir bitten um Verständnis, dass wir Ihnen diese Information nicht geben können. Die Kosten hängen von zu vielen Faktoren ab. Außerdem sind unsere Prüfdienstleister in ihrer kaufmännischen Kalkulation frei.

Wir können Ihnen jedoch einige grobe Schätzungen nennen, wie viele Manntage unsere Prüfdienstleister Ihnen in Rechnung stellen werden. Für ein durchschnittliches kleines Unternehmen mit einem Standort sollten Sie mit dreieinhalb bis vier Manntagen für eine Prüfung im Assessment-Level 2 und fünf bis sechs Manntagen für eine Prüfung im Assessment-Level 3 rechnen.

Icon für Info-Boxen

Bitte beachten Sie:

Jede Prüfung durchläuft einen Lebenszyklus.

Weitere Informationen zum Status einer Prüfung finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.


Nachdem Sie sich für einen unserer TISAX-Prüfdienstleister entschieden haben, können Sie endlich den TISAX-Prüfprozess anstoßen.

5.4. TISAX-Prüfprozess

5.4.1. Überblick

Der TISAX-Prüfprozess besteht aus mehreren Typen von Prüfungen. In den meisten Fällen wird es mehr als eine Prüfung geben.

Sie sollten den Prüfprozess als eine verschachtelte Folge von Schritten betrachten:

  • Sie bringen Ihr Informationssicherheitsmanagementsystem in Bestform.

  • Der Prüfdienstleister prüft, ob Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt. Vielleicht findet er Lücken.

  • Anschließend schließen Sie die Lücken innerhalb von definierten Zeiträumen.

  • Der Prüfdienstleister prüft dann erneut, ob Sie die Lücken geschlossen haben.

Diese Schritte werden abwechselnd so lange durchgeführt, bis alle Lücken geschlossen sind.

Wichtig dabei ist zu verstehen, dass Sie jeden Teilschritt im Prüfprozess einleiten. Der gesamte Prüfprozess unterliegt Ihrer Kontrolle. Und natürlich liegt es in Ihrer Hand, die Prüfungsverfahren zu stoppen und zu beenden, wann immer Sie wollen.[17]

Der TISAX-Prüfprozess hat die folgende Makrostruktur:

  • Kick-off-Meeting
    Sie und der Prüfdienstleister planen die Einzelheiten des Prüfprozesses

  • Assessment-Phase 1
    Der Prüfdienstleister prüft Ihre Selbstauskunft

  • Assessment-Phase 2
    Der Prüfdienstleister führt die Prüfung(en) durch

5.4.2. Kick-off-Meeting

Der TISAX-Prüfprozess beginnt mit dem Kick-off-Meeting. Hier werden die Einzelheiten des Prüfprozesses geplant. In der Regel findet das Kick-off-Meeting als Telefonkonferenz statt. Der Prüfdienstleister führt Sie durch den Termin.

Auf der Tagesordnung stehen unter anderem die folgenden Themen:

  • Wer sind die Teilnehmer des Termins?

  • Wer ist das zu prüfende Unternehmen?

  • Wie läuft der TISAX-Prüfprozess ab?

  • Was ist der Prüf-Scope und ist er der richtige?

  • Gibt es keine Interessenkonflikte?

  • Wie sieht eine gute Selbsteinschätzung aus?

  • Wer ist für was verantwortlich?

  • Wie wird kommuniziert?

  • Wann findet die Prüfung statt (und weitere Zeitplanung)?

  • Wer muss an der/den Prüfung(en) teilnehmen?

  • An wen können Sie sich bei Beschwerden wenden?

Der Zeitraum zwischen Ende des Kick-off-Meetings und der Abgabe Ihrer Selbsteinschätzung beträgt typischerweise ein bis drei Monate. Aber auch sechs Monate sind nicht ungewöhnlich. Der Zeitraum hängt vom Stand Ihrer Vorbereitung ab. TISAX schreibt keine Fristen für diesen Zeitraum vor. Sie können sich so viel Zeit nehmen, wie Sie brauchen, um Ihre Selbsteinschätzung zu erstellen und sich auf die Prüfung vorzubereiten.

5.4.3. TISAX-Prüfungstypen

Der TISAX-Prüfprozess besteht aus diesen drei Typen von TISAX-Prüfungen:

  • Erstprüfung

  • Maßnahmenplanprüfung

  • Follow-up-Prüfung[18]

Die Erstprüfung wird immer stattfinden. Die beiden anderen TISAX-Prüfungen können stattfinden und das gegebenenfalls mehrfach. Sie werden entweder stattfinden:

  • bis Sie alle Lücken geschlossen haben

  • oder Sie den TISAX-Prüfprozess verlassen

  • oder Sie erreichen den maximalen Zeitraum von neun Monaten nach Ende der Abschlussbesprechung der Erstprüfung (woraufhin eine erneute Erstprüfung erforderlich wird).

Sämtliche TISAX-Prüfungen werden in den nächsten Abschnitten beschrieben.

Icon für Info-Boxen

Bitte beachten Sie:

Jede Prüfung durchläuft einen Lebenszyklus.

Weitere Informationen zum Status einer Prüfung finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.

5.4.4. TISAX-Prüfungselemente

Jede TISAX-Prüfung besteht aus den folgenden Elementen:

  • Offizielle Eröffnungsbesprechung[19][20]

    • Sie beabsichtigt, alle organisatorischen Themen abzudecken.

    • Sie muss nicht unbedingt als persönliches Treffen stattfinden.

    • Die Themen können in einem Durchgang oder über mehrere Termine verteilt behandelt werden.

    • Sie ist ein „logischer Container“ für alle organisatorischen Vor-Prüfungsthemen

  • Prüfverfahren

    • Ihr Prüfdienstleister prüft alle Anforderungen.

    • Die Auswahl der Prüfmethoden richtet sich nach dem jeweiligen Assessment-Level.

  • Offizielle Abschlussbesprechung[21]

    • Sie bildet den Abschluss einer TISAX-Prüfung.

    • Der Prüfdienstleister stellt seine Feststellungen vor.

    • Der Prüfdienstleister gibt das Prüfergebnis bekannt.

    • Sie muss nicht unbedingt als persönliches Treffen stattfinden.

    • Sie ist ein „logischer Container“ für alle organisatorischen Nach-Prüfungsthemen.

Nach der „Abschlussbesprechung“ erstellt und sendet Ihnen der Prüfdienstleister den Entwurf des aktualisierten „TISAX Assessment Berichts“. Sie können Einwände erheben, wenn Sie der Meinung sind, dass der Prüfdienstleister etwas falsch verstanden hat.[22] Anschließend erstellt der Prüfdienstleister den abschließenden „TISAX Assessment Bericht“.

Alle diese Elemente werden in den nächsten Abschnitten beschrieben.

5.4.5. Zur Übereinstimmung mit den Anforderungen („Konformität“)

Bevor wir den TISAX-Prüfprozess weiter skizzieren, möchten wir Ihnen ein Schlüsselkonzept erläutern, das für Ihr Verständnis der nächsten Abschnitte wesentlich ist.

Ziel einer TISAX-Prüfung ist es, festzustellen, ob Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt. Der Prüfdienstleister prüft, ob Ihr Informationssicherheitsmanagementsystem mit den Anforderungen übereinstimmt (Icon der Flagge des Vereinigten Königreichs to conform).

Schritt 1: Die Prüfungen werden für jede anzuwendende Anforderung einzeln durchgeführt.

Wenn Ihre Herangehensweise mit sämtlichen Anforderungen übereinstimmt, bestehen Sie die Prüfung und erhalten die TISAX-Labels, die Ihren Prüfzielen entsprechen.

Alles unterhalb der vollen oder idealen Übereinstimmung mit den Anforderungen wird als „Feststellung“ (Icon der Flagge des Vereinigten Königreichs finding) bezeichnet. TISAX unterscheidet vier Arten von Feststellungen:

Tabelle 11. Die vier Arten von Feststellungen
Nr. Art Definition Reaktion Beispiele

1.

Hauptabweichung
(Icon der Flagge des Vereinigten Königreichsmajor non-conformity“)

Eine Hauptabweichung:

  • verursacht ein erhebliches unmittelbares Risiko für Ihre Informationssicherheit

  • oder lässt Zweifel an der Gesamtwirksamkeit Ihres Informations­sicherheits­managementsystems aufkommen

Sie müssen:

  • Nebenabweichungungen mit angemessenen Kompensations­maßnahmen begegnen

  • Abhilfemaßnahmen ohne unangemessene Verzögerung umsetzen

  • Systematische Abweichungen

  • Umsetzungsdefizite, die kritische Risiken für die Sicherheit vertraulicher Informationen verursachen

  • Umsetzungsdefizite, die nicht durch geeignete Abhilfemaßnahmen behoben werden

2.

Nebenabweichung
(Icon der Flagge des Vereinigten Königreichsminor non-conformity“)

Eine Nebenabweichung:

  • verursacht kein erhebliches unmittelbares Risiko für Ihre Informationssicherheit

  • und lässt keine Zweifel an der Gesamtwirksamkeit Ihres Informations­sicherheits­managementsystems aufkommen

Sie müssen:

  • Abhilfemaßnahmen ohne unangemessene Verzögerung umsetzen

  • Vereinzelte oder sporadische Fehler

  • Nichteinhaltung oder Defizite in der Umsetzung von Anforderungen oder Ihren Richtlinien

3.

Beobachtung
(Icon der Flagge des Vereinigten Königreichs Observation)

Eine Beobachtung ist eine Nichteinhaltung der Anforderungen oder Ihrer eigenen Richtlinien, die kein unmittelbares Risiko für Ihre Informationssicherheit verursacht, dies aber in der Zukunft tun könnte.

Sie müssen:

  • mögliche Risiken sorgfältig untersuchen, überwachen und bewerten

  • entscheiden, wie Sie mit der Beobachtung umgehen

n/a

4.

Identifiziertes Verbesserungspotential
(Icon der Flagge des Vereinigten Königreichs Room for improvement)

Eine Abweichung, die nicht zu den vorgenannten Arten zählt und kein Risiko für Ihre Informationssicherheit darstellt, aber offensichtlich Raum für Verbesserungen bietet.

Sie können entscheiden, ob oder wie Sie mit dieser Art Feststellung umgehen.

n/a


Schritt 2: Alle Ergebnisse des vorherigen Schrittes „pro Anforderung“ werden in das Gesamtprüfergebnis einbezogen.

Das Gesamtprüfergebnis kann sein:

  1. Konform (Icon der Flagge des Vereinigten Königreichs conform)
    Das Gesamtprüfergebnis ist „Konform“. Alle Anforderungen sind erfüllt.

  2. Nebenabweichend (Icon der Flagge des Vereinigten Königreichs minor non-conform)
    Das Gesamtprüfergebnis ist „Nebenabweichend“, wenn Sie mindestens eine Nebenabweichung für eine Anforderung haben.

  3. Hauptabweichend (Icon der Flagge des Vereinigten Königreichs major non-conform)
    Das Gesamtprüfergebnis ist „Hauptabweichend“, wenn Sie mindestens eine Hauptabweichung für eine Anforderung haben.
    (Ohne einen genehmigten Maßnahmenplan führt jede Abweichung zu einem „Hauptabweichend“-Gesamtprüfergebnis.)

Ist das Gesamtprüfergebnis:

  • „Nebenabweichend“, können Sie temporäre TISAX-Labels erhalten, bis alle Abweichungen beseitig sind.

  • „Hauptabweichend“, müssen Sie das entsprechende Problem zuerst lösen, bevor Sie TISAX-Labels erhalten können.
    Mit angemessenen Kompensationsmaßnahmen und Abhilfemaßnahmen, die vom Prüfdienstleister genehmigt wurden, ist es möglich, Ihr Gesamtprüfergebnis von „Hauptabweichend“ auf „Nebenabweichend“ zu ändern und somit temporäre TISAX-Labels zu erhalten.

Es ist wichtig zu verstehen, dass sich Ihr Gesamtprüfergebnis im Laufe des gesamten TISAX-Prüfprozesses verbessert.

Ein stark vereinfachtes Beispiel: Möglicherweise haben Sie nach der Erstprüfung ein Gesamtprüfergebnis von „Hauptabweichend“. Danach mindern Sie das entsprechende Risiko. Damit ändert sich Ihr Gesamtergebnis von „Hauptabweichend“ auf „Nebenabweichend“. Und ist das Risiko dann beseitigt, ist Ihr endgültiges Gesamtergebnis „Konform“.

All dies wird im Folgenden näher erläutert. Weitere Informationen zu den TISAX-Labels finden Sie weiter unten in Abschnitt 5.4.14, “TISAX-Labels”.

5.4.6. Ihre Vorbereitung auf den TISAX-Prüfprozess

Der Prüfdienstleister bereitet die Prüfung auf Basis Ihrer Selbsteinschätzung vor. Bedenken Sie daher, dass Sie Ihre Selbsteinschätzung vorab Ihrem Prüfdienstleister zur Verfügung stellen müssen. Die genauen Abgabetermine werden im Kick-off-Meeting vereinbart.

Eine gute Vorbereitung des Prüfdienstleisters reduziert den Zeitaufwand für die Prüfung. Neben der Selbsteinschätzung wird er vor der Prüfung auch darin referenzierte Unterlagen anfordern. Das kann eine Dokumentation sein, auf die Sie in der Selbsteinschätzung verwiesen haben, sowie weitere Dokumentation, die der Prüfdienstleister für relevant hält.

Auf der Grundlage dieser Informationen plant Ihr Prüfdienstleister das Prüfverfahren.

5.4.7. Erstprüfung

Dies ist die erste TISAX-Prüfung und markiert den offiziellen Beginn des TISAX-Prüfprozesses.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Die Erstprüfung markiert den Beginn von zwei wichtigen Zeiträumen:

  1. Die maximale Gültigkeitsdauer für TISAX-Labels ist drei Jahre.

  2. Sie haben bis zu neun Monate Zeit, Abweichungen zu beseitigen. Wenn Sie innerhalb dieser Frist nicht alle Abweichungen beseitigt haben, erhalten Sie keine TISAX-Labels. Wenn Sie diese Frist verpasst haben, können Sie jedoch direkt mit einer neuen Erstprüfung weiter machen.

Beide Zeiträume starten beide am Tag der Abschlussbesprechung.

Icon für Info-Boxen

Bitte beachten Sie:

Neben den beiden oben beschriebenen Zeiträumen gibt es keine weiteren zeitlichen Beschränkungen. Beispielsweise starten weder der Abschluss der Online-Registrierung noch die Kontaktaufnahme mit unseren Prüfdienstleistern oder gar für die Durchführung des Kick-off-Meetings irgendwelche Fristen. Es bleibt Ihnen überlassen, mit der Erstprüfung zu beginnen.

5.4.7.1. Die erste offizielle Eröffnungsbesprechung

Wie alle TISAX-Prüfungen beginnt die Erstprüfung mit einer offiziellen Eröffnungsbesprechung. Die offizielle Eröffnungsbesprechung findet in der Regel als Telefon- oder Webkonferenz statt. Für kleine Firmen, möglicherweise mit etwas Erfahrung aus anderen Audits, dauert es nicht lange.

Der Zweck dieser Besprechung ist:

  • die Überprüfung der Voraussetzungen für die Prüfung

  • die Vorstellung des Prüfungsprojektleiters und des Prüfungsteams

  • die Planung der Prüfung

5.4.7.2. Prüfverfahren

Gemäß dem vorbereiteten Plan führt der Prüfdienstleister die Erstprüfung durch. Wie dies im Detail aussieht, hängt von Ihren Prüfzielen ab. Die Prüfung besteht hauptsächlich aus Telefonkonferenzen, Vor-Ort-Interviews und Vor-Ort-Prüfungen in unterschiedlicher Tiefe[23].

Der Prüfdienstleister stellt alle seine Feststellungen im Rahmen der Erstprüfung vor.

5.4.7.3. Abschlussbesprechung

In der Abschlussbesprechung fasst Ihr Prüfdienstleister alle seine Feststellungen noch einmal zusammen.

5.4.7.4. „TISAX Assessment Bericht“

Nach der Abschlussbesprechung erstellt und schickt Ihnen der Prüfdienstleister den Entwurf des „TISAX Assessment Berichts“. Sie können Einwände erheben, wenn Sie der Meinung sind, dass der Prüfdienstleister etwas falsch verstanden hat.[24] Anschließend erstellt der Prüfdienstleister den abschließenden „TISAX Assessment Bericht“.

In dieser Phase wird das aktuelle Gesamtprüfergebnis entweder:

  • „Konform“, oder

  • „Hauptabweichend“ sein
    Nicht behandelte (Neben-)Abweichungen führen immer zu einem Gesamtprüfergebnis von „Hauptabweichend“. Ihr Gesamtprüfergebnis kann nur dann „Nebenabweichend“ sein, wenn Sie Maßnahmen definiert haben, die zur Beseitigung der Nebenabweichung(en) führen.
    Informationen dazu, wie Sie das erreichen, finden Sie in Abschnitt 5.4.9.4, “Temporäre TISAX-Labels”.

Wenn Ihr Gesamtprüfergebnis bereits bei der Erstprüfung „Konform“ ist, können Sie den restlichen Teil des Prüfungsabschnitts überspringen und mit dem Austausch Ihres Ergebnisses fortfahren.

Wenn Ihr Gesamtprüfergebnis „Hauptabweichend“ ist, ist es Ihre nächste Aufgabe, einen Plan zu erarbeiten, wie die Feststellungen zu behandeln sind und wie etwaige Lücken, die der Prüfdienstleister gefunden hat, geschlossen werden können. Der Plan wird offiziell als „Maßnahmenplan“ (Icon der Flagge des Vereinigten Königreichs „corrective action plan“) benannt.

Icon für Info-Boxen

Bitte beachten Sie:

Wenn Sie sich vor Beginn der Prüfung einer Situation bewusst sind, die zu einer Abweichung führen wird, und die Sie vor der Prüfung nicht beseitigt bekommen, können Sie bereits eine Abhilfemaßnahme (einschließlich eines Umsetzungsdatums) planen und diese dem Prüfdienstleister während der Prüfung vorlegen. Dies könnte theoretisch zu einem Gesamtprüfergebnis „Nebenabweichend“ führen. Dies wäre jedoch eine seltene Situation.

5.4.8. Vorbereitung des Maßnahmenplans

Ihr Maßnahmenplan (Icon der Flagge des Vereinigten Königreichs „corrective action plan“) legt fest, wie Sie mit den Feststellungen der Erstprüfung umgehen wollen. Ihr Prüfdienstleister wird Ihren „Maßnahmenplan“ daraufhin prüfen, ob er angemessen ist (siehe nächster Abschnitt).

Für die Erstellung Ihres „Maßnahmenplan“ sollten Sie die folgenden Anforderungen berücksichtigen:

  • Feststellung

    • Sie müssen angeben, an welche Feststellung sich die Maßnahme richtet.

  • Ursache

    • Sie müssen die Ursache der Feststellung identifizieren und angeben.

  • Abhilfemaßnahmen

    • Für jede Abweichung müssen Sie eine oder mehrere Abhilfemaßnahmen definieren, die Maßnahmen zur Beseitigung der Abweichung umsetzen.

  • Umsetzungsdatum

    • Sie müssen für jede Abhilfemaßnahme ein Umsetzungsdatum festlegen.

    • Die Umsetzungsfrist sollte ausreichend Zeit für eine gründliche Umsetzung der Maßnahmen bieten.

  • Kompensationsmaßnahmen

    • Für alle Abweichungen, die kritische Risiken verursachen, müssen Sie Kompensationsmaßnahmen definieren, die sich mit den Abweichungen befassen, bis die Abhilfemaßnahmen umgesetzt sind.

  • Umsetzungszeitraum

    • Für alle Abhilfemaßnahmen, deren Umsetzung länger als drei Monate dauert, müssen Sie die Umsetzungsfrist begründen.

    • Für alle Abhilfemaßnahmen, die länger als sechs Monate dauern, müssen Sie zusätzlich den Nachweis erbringen, dass eine schnellere Umsetzung nicht möglich ist.

    • Die Umsetzungsfrist für jegliche Abhilfemaßnahmen darf nicht länger als neun Monate sein.

Sobald Ihr Maßnahmenplan vollständig ist, können Sie die „Maßnahmenplanprüfung“ anfordern.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Wir empfehlen, so schnell wie möglich mit der Umsetzung zu beginnen. Das Ergebnis der „Maßnahmenplanprüfung“ muss nicht abgewartet werden.
Die „Maßnahmenplanprüfung“ findet in der Regel statt, sobald Sie Ihren Maßnahmenplan bei Ihrem Prüfdienstleister eingereicht haben.

Icon für Info-Boxen

Bitte beachten Sie:

TISAX stellt nur inhaltliche Anforderungen, nicht aber an die Form der Maßnahmenpläne.
Die meisten unserer Prüfdienstleister bieten Vorlagen für Maßnahmenpläne an.

5.4.9. Maßnahmenplanprüfung

Ziel der „Maßnahmenplanprüfung“ ist es, sicherzustellen, dass Ihr „Maßnahmenplan“ (siehe oben) die TISAX-Anforderungen erfüllt.

Sie reichen Ihren „Maßnahmenplan“ bei Ihrem Prüfdienstleister ein. Ihr Prüfdienstleister prüft den Plan entsprechend den Anforderungen (siehe unten). Erfüllt Ihr Plan die Anforderungen, erstellt Ihr Prüfdienstleister den aktualisierten „TISAX Assessment Bericht“.

Diese Prüfung dauert üblicherweise nicht lange. In den meisten Fällen handelt es sich dabei um eine Telefonkonferenz oder eine Webkonferenz. Manchmal wird es auch nur per E-Mail gemacht.

5.4.9.1. Gründe für die Maßnahmenplanprüfung

Gründe für eine „Maßnahmenplanprüfung“ sind:

  • Verbleibende Abweichungen nach einer

    • Erstprüfung

    • Follow-up-Prüfung

    • Scope-Erweiterungsprüfung

  • Ein „Maßnahmenplan“, der bereits geprüft wurde, aber die Anforderungen nicht erfüllte.

  • Die Einflussfaktoren, auf denen die Berechnung der Umsetzungsfristen eines Maßnahmenplans basieren, haben sich geändert.

5.4.9.2. Kombination mit Erstprüfung

Die „Maßnahmenplanprüfung“ ist nicht unbedingt ein eigenständiges Ereignis. Sie haben die Möglichkeit, Ihren „Maßnahmenplan“ bereits während der Abschlussbesprechung bei der Erstprüfung vorzulegen. Der Prüfdienstleister kann dann direkt die „Maßnahmenplanprüfung“ durchführen.

Wenn Sie die „Maßnahmenplanprüfung“ mit der Erstprüfung kombinieren und Ihr „Maßnahmenplan“ die Anforderungen erfüllt, können Sie mit dem Prüfdienstleister vereinbaren, dass Sie keinen Prüfbericht zur Erstprüfung benötigen. Stattdessen würde Ihr Prüfdienstleister lediglich den Prüfbericht zur „Maßnahmenplanprüfung“ erstellen. Mit diesem Bericht können Sie temporäre TISAX-Labels direkt erhalten.

5.4.9.3. Anforderungen an den Maßnahmenplan

Der Prüfdienstleister bewertet Ihren „Maßnahmenplan“ anhand der folgenden Anforderungen:

  • Maßnahmen sind angemessen

    • Der Prüfdienstleister wird die Angemessenheit einer Maßnahme danach beurteilen, ob sie die Ursache für die Abweichung beseitigt.

  • Kritische Risiken werden durch geeignete Kompensationsmaßnahmen entschärft[25]

  • Umsetzungsfristen sind angemessen

    • Umsetzungsfristen beginnen am Tag des Abschlusses der Erstprüfung.

  • Keine Umsetzungsfrist ist länger als:

    • drei Monate ohne zusätzliche Begründung

    • sechs Monate ohne zusätzliche Begründung und Nachweise

    • neun Monate

5.4.9.4. Temporäre TISAX-Labels

Wenn Ihr Gesamtprüfergebnis „Nebenabweichend“ ist, erhalten Sie temporäre TISAX-Labels.

Der Vorteil von temporären TISAX-Labels ist, dass Ihr Partner sie in der Regel unter der Bedingung akzeptiert, dass Sie später dauerhafte TISAX-Labels erhalten. Dies kann Ihnen helfen, wenn der Nachweis der Wirksamkeit Ihres Informationssicherheitsmanagementsystems gegenüber Ihrem Partner dringend ist.

Die Voraussetzung für temporäre TISAX-Labels ist ein Prüfbericht einer Maßnahmenplanprüfung mit dem Gesamtprüfergebnis „Nebenabweichend“.

Temporäre TISAX-Labels sind gleichwertig mit permanenten TISAX-Labels. Der einzige Unterschied ist die kürzere Gültigkeitsdauer der temporären TISAX-Labels.

Temporäre TISAX-Labels können bis zu neun Monate nach der Abschlussbesprechung der Erstprüfung gültig sein. Die Gültigkeitsdauer der temporären TISAX-Label richtet sich nach der längsten Umsetzungsfrist der Abhilfemaßnahmen.

Beispiele:

  • Sie haben nur eine Abweichung. Sie müssen eine Richtlinienüberprüfung durchführen. Die zugehörige Umsetzungsfrist beträgt zwei Monate.
    Dann sind Ihre temporären TISAX-Labels zwei Monate lang gültig.

  • Sie haben die Abweichung der zuvor genannten Richtlinienüberprüfung. Darüber hinaus müssen Sie als Abhilfemaßnahme eine neue Außenmauer errichten. Aufgrund der Zeit, die es braucht, um die erforderlichen Genehmigungen von der Gemeinde zu erhalten, beträgt die damit verbundene Umsetzungsfrist acht Monate.
    Dann sind Ihre temporären TISAX-Labels acht Monate lang gültig.

Weitere Informationen zu den Anforderungen an die Umsetzungsfristen finden Sie in Abschnitt 5.4.9.3, “Anforderungen an den Maßnahmenplan”.

Icon für Info-Boxen

Bitte beachten Sie:

Die „Maßnahmenplanprüfung“ ist optional.

Sie können direkt zur Follow-up-Prüfung übergehen, sofern Sie:

  • keine temporären TISAX-Labels benötigen und

  • zuversichtlich sind, alle Maßnahmen umzusetzen, ohne dass Ihr Prüfdienstleister Ihrem Plan zustimmt

Nachdem Sie alle Maßnahmen abgeschlossen haben, sollten Sie die Follow-up-Prüfung beantragen.

5.4.10. Follow-up-Prüfung

Ziel der Follow-up-Prüfung ist es, zu bewerten, ob alle zuvor festgestellten Abweichungen beseitigt sind. Normalerweise beantragen Sie die Follow-up-Prüfung in der Regel, sobald Sie sicher sind, dass alle Abweichungen beseitigt sind.

Aber Sie können so viele Follow-up-Prüfungen durchführen, wie Sie benötigen. Wenn Ihr Prüfdienstleister im Rahmen einer Follow-up-Prüfung noch bestehende oder gar neue Abweichungen bescheinigt, aktualisieren Sie einfach Ihren Maßnahmenplan und starten diesen Teil des Prüfprozesses erneut.

Diese Prüfung kann sowohl ein persönliches Treffen als auch eine Telefon- oder Webkonferenz sein.

5.4.10.1. Zeitplanung

Ihr Prüfdienstleister kann jede Follow-up-Prüfung innerhalb von bis zu neun Monaten nach Abschluss der Erstprüfung durchführen[26].

5.4.10.2. Voraussetzungen

Wenn Sie keine temporären TISAX-Labels benötigen, können Sie direkt eine Follow-up-Prüfung beantragen. Sie brauchen keine „Maßnahmenplanprüfung“ vor einer Follow-up-Prüfung.

5.4.10.3. Ablauf von temporären TISAX-Labels

Falls Sie temporäre TISAX-Labels benötigen, sollten Sie sicherstellen, dass keine Lücke bis zum Erhalt der permanenten TISAX-Labels besteht. Wir empfehlen Ihnen daher, Ihre Follow-up-Prüfung rechtzeitig vor dem spätest möglichen Termin[27] zu beantragen. Der Grund dafür ist, dass Sie genügend Pufferzeit haben möchten, um kleinere Feststellungen, die bei einer Follow-up-Prüfung festgestellt wurden, anzugehen.

5.4.11. TISAX-Prüfprozessdiagramm

Die vorherigen Abschnitte sind nun im folgenden Prozessdiagramm zusammengefasst:

TISAX-Prüfprozessdiagramm (Teil 1/2)
Abbildung 30. TISAX-Prüfprozessdiagramm (Teil 1/2)
TISAX-Prüfprozessdiagramm (Teil 2/2)
Abbildung 31. TISAX-Prüfprozessdiagramm (Teil 2/2)

5.4.12. Assessment-ID

Jede TISAX-Prüfung eines Prüf-Scopes wird durch eine „Assessment-ID“ identifiziert. Diese ID bezieht sich auf Ihr Prüfergebnis und den entsprechenden „TISAX Assessment Bericht“.

So sieht die Assessment-ID aus:

Format der Assessment-ID
Abbildung 32. Format der Assessment-ID

Die Assessment-ID wird üblicherweise verwendet, wenn Ihr Prüfdienstleister mit Ihnen kommuniziert.

5.4.13. „TISAX Assessment Bericht“

Der „TISAX Assessment Bericht“ (Icon der Flagge des Vereinigten Königreichs TISAX assessment report):

  • wird nach jeder TISAX-Prüfung aktualisiert und ausgestellt.

  • dokumentiert die Feststellungen Ihres Prüfdienstleisters.

  • enthält das Gesamtprüfergebnis (Konform, Nebenabweichend, Hauptabweichend).

  • enthält alle weiteren Informationen zu Ihrer TISAX-Prüfung (z. B. Prüfziel, Scope, beteiligte Personen und Standorte).

Der „TISAX Assessment Bericht“ kann (je nach Prüfungstyp) folgendermaßen aussehen:

  • „TISAX Assessment Bericht“ Erstprüfung

  • „TISAX Assessment Bericht“ Maßnahmenplanprüfung

  • „TISAX Assessment Bericht“ Follow-up-Prüfung[28]

Der „TISAX Assessment Bericht“ hat immer den gleichen Aufbau[29]. Ihr Prüfdienstleister erweitert ihn einfach nach jedem Prüfungstyp. Das bedeutet, dass Sie sich nur mit der letzten Version des „TISAX Assessment Berichts“ beschäftigen müssen, da er immer den Inhalt seiner älteren Version(en) enthält.

Die ersten Abschnitte des „TISAX Assessment Berichts“ sind das, was Sie schließlich mit Ihrem Partner teilen.

Es ist eines der Hauptmerkmale von TISAX, dass Sie selbst entscheiden können, welche Teile des „TISAX Assessment Berichts“ Sie mit Ihrem Partner oder jedem anderen Teilnehmer teilen möchten. Die Struktur des „TISAX Assessment Berichts“ ist so konzipiert, dass sie diese Art des selektiven Teilens ermöglicht. Jeder Abschnitt erweitert den Detaillierungsgrad.

Der „TISAX Assessment Bericht“ ist folgendermaßen aufgebaut:

  • A. Informationen zum Assessment (Icon der Flagge des Vereinigten Königreichs Assessment Related Information)
    Firmenname, Prüf-Scope, Scope-ID, Assessment-ID, Assessment-Level, Prüfziel(e), Datum der Prüfung(en), Prüfdienstleister
    Dieser Abschnitt enthält kein Prüfergebnis.

  • B. Gesamtübersicht Prüfergebnisse (Icon der Flagge des Vereinigten Königreichs Summarized Results)
    Management-Zusammenfassung des Prüfergebnisses (Konform, Nebenabweichend, Hauptabweichend), Anzahl der Feststellungen, abstrakte Kategorisierung der resultierenden Risiken

  • C. Zusammenfassung der Ergebnisse des Assessments (Icon der Flagge des Vereinigten Königreichs Assessment Result Summary)
    Zusammenfassung des Prüfergebnisses pro Kapitel (z. B. „9 Access Control“) und pro Kriterienkatalog (z. B. „Informationssicherheit“)

  • D. Reifegrade gem. ISA (Ergebnis-Tab des ISA) (Icon der Flagge des Vereinigten Königreichs Maturity Levels of ISA (Result Tab))
    Reifegrad für jede Anforderung

  • E. Detaillierte Ergebnisse zum Assessment (Icon der Flagge des Vereinigten Königreichs Detailed Assessment Results)
    Detaillierte Beschreibung aller Feststellungen, entsprechende Ergebnisse der Risikobewertung, erforderliche Maßnahmen, Umsetzungsfristen

Im Schritt „Austausch“ (siehe unten) entscheiden Sie, bis zu welcher Stufe Ihr Partner Zugriff auf den Inhalt Ihres „TISAX Assessment Berichts“ bekommen wird.

5.4.14. TISAX-Labels

Auf dieses Thema sind wir im Abschnitt der Vorbereitung der Registrierung kurz eingegangen: Was früher ein Prüfziel war, wurde nun zum TISAX-Label.

Prüfziele und TISAX-Labels
Abbildung 33. Prüfziele und TISAX-Labels

Die TISAX-Labels:

  • sind das Ergebnis des TISAX-Prüfprozesses.

  • fassen Ihr Prüfergebnis zusammen.

  • sind die Feststellung, dass Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt.

Die Verwendung von Prüfzielen erleichtert die TISAX-bezogene Kommunikation mit Ihrem Partner und Ihrem TISAX-Prüfdienstleister, da sie sich auf einen definierten Output des TISAX-Prüfprozesses beziehen.

5.4.14.1. Hierarchie der TISAX-Label

Die Zuordnung zwischen Prüfzielen und TISAX-Labels ist recht einfach. Aber es gibt noch einen weiteren wichtigen Aspekt: Einige TISAX-Labels sind hierarchisch verknüpft. Das heißt, wenn Sie ein bestimmtes TISAX-Label erhalten, erhalten Sie damit automatisch auch die TISAX-Labels „unterhalb“ dieses Labels.

Beispiel: War Ihr Prüfziel „Very high availability“, erhalten Sie das entsprechende TISAX-Label „Very high availability“. Da aber das Prüfziel „Very high availability“ eine Obermenge von „Very high availability“ ist, erhalten Sie automatisch auch das TISAX-Label „High availability“.

Diese Hierarchie gibt es derzeit bei folgenden TISAX-Labels:

  • “Info high” ist eine Obermenge von „Confidential“ und “High availability”.

  • “Info very high” ist eine Obermenge von „Strictly confidential“ und “Very high availability”.

  • „Strictly confidential“ ist eine Obermenge von „Confidential“.

  • Very high availability“ ist eine Obermenge von „High availability“.

  • Special data“ ist eine Obermenge von „Data“.

Icon für Info-Boxen

Bitte beachten Sie:

Sie können TISAX-Labels auch rückwirkend erhalten. Wenn wir ein neues Label einführen, das eine Teilmenge eines der TISAX-Labels ist, die Sie bereits erhalten haben, erhalten Sie automatisch das neue Label.

Beispiel: Sie haben das TISAX-Label “Info high” zu einer Zeit erhalten, als es das Label “High availability” noch nicht gab. Als wir das Label High availability eingeführt haben, hat Ihnen unser System dieses Label automatisch zugewiesen.

Sie können diese hierarchischen Beziehungen herleiten, indem Sie die geltenden Anforderungen, wie in Tabelle 8, “Geltung der Anforderungen für die Prüfziele” spezifiziert, vergleichen.

Dies mag nicht für jeden Teilnehmer wichtig erscheinen. Aber stellen Sie sich vor, ein Partner fordert Sie auf, das TISAX-Label „Very high availability“ und ein anderer das TISAX-Label „High availability“ vorzuweisen. Dann beide TISAX-Labels zu haben, macht es für alle einfacher, denn niemand muss verstehen, dass „High availability“ eine Teilmenge von „Very high availability“ ist. Dies gilt insbesondere für Partner, bei denen bestimmte TISAX-Labels Teil eines strikten Einkaufsprozesses sind. Sie werden sicher nicht erklären wollen, dass „Very high availability“ „besser“ als „High availability“ ist. Sie zeigen einfach alle Ihre TISAX-Labels und die Person, die die Auswertung durchführt, kann einfach die Anforderung „erfordert TISAX-Label ’High availability’“ abhaken.

5.4.14.2. Gültigkeitsdauer der TISAX-Labels

TISAX-Labels sind in der Regel drei Jahre lang gültig. Der Gültigkeitszeitraum beginnt am Ende des Prüfprozesses (noch vor der Ausgabe des „TISAX Assessment Berichts“).

Ihre Gültigkeitsdauer kann kürzer sein, wenn sich etwas Wesentliches im Hinblick auf den TISAX-Prüf-Scope ändert.

Beispiele: Umzug Ihres Unternehmens, neue Standorte (Anweisungen, was in solchen Fällen zu tun ist, finden Sie in Abschnitt 7.9.3.2, “Wie Sie die Änderung eines Standorts beantragen” und Abschnitt 7.9.3.4, “Wie Sie einen weiteren Standort hinzufügen”)

Icon für Info-Boxen

Bitte beachten Sie:

Sie können Ihre TISAX-Labels nur im ENX-Portal einsehen. Sie werden im „TISAX Assessment Bericht“ nicht erfasst.

5.4.14.3. Erneuerung der TISAX-Labels

Um Ihre TISAX-Labels langfristig zu erhalten, müssen Sie sie alle drei Jahre erneuern[30].

Dazu müssen Sie im Wesentlichen den TISAX-Prozess erneut durchlaufen (einen Prüf-Scope registrieren, sich wieder nach TISAX prüfen lassen, Prüfergebnis teilen). Die Registrierung ist etwas einfacher, da Sie Ihr Unternehmen nicht neu als TISAX-Teilnehmer anlegen müssen. Und natürlich können Sie alle Ihre Ansprechpartner und Standorte, die bereits in der TISAX-Datenbank gespeichert sind, wiederverwenden.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Bitte registrieren Sie einen NEUEN Prüf-Scope, BEVOR Sie sich an Ihren Prüfdienstleister wenden. Ihr Prüfdienstleister kann nur dann einen neuen Prüfprozess beginnen, wenn Sie eine neue Scope-ID angeben können.

In den meisten Fällen ist die Registrierung eines neuen Prüf-Scopes einfach. Sie müssen lediglich einen neuen Scope-Namen vergeben, Ansprechpartner hinzufügen, das/die Prüfziel(e) auswählen und Standorte hinzufügen. Sie können Ansprechpartner und Standorte, die bereits im System vorhanden sind, aus jedem zuvor registrierten Prüf-Scope wiederverwenden.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Bitte verwenden Sie die vorhandenen Standort-Einträge, die Sie bei der Registrierung Ihres vorherigen Scopes erstellt und verwendet haben. Legen Sie keinen neuen Standort-Eintrag mit derselben Adresse an.
 
Der Grund hierfür: Einige TISAX-Teilnehmer verarbeiten die Prüfergebnisse ihrer Partner automatisch. Sie synchronisieren ihr eigenes System mit dem ENX-Portal. Schon kleine Unterschiede können die erfolgreiche Synchronisation verhindern. Außerdem überfrachten Sie Ihre Teilnehmerdaten nicht mit unnötigen Duplikaten.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Falls es während der Beziehung mit Ihrem Partner die Anforderung gibt, jederzeit gültige TISAX-Labels zu haben, empfehlen wir Ihnen dringend, eine Erinnerung in Ihren Kalender aufzunehmen, die den Erneuerungsprozess rechtzeitig anstößt.

Wir empfehlen, die Verlängerung mindestens ein Jahr vor Ablauf Ihrer TISAX-Labels zu beginnen.


Nachdem Sie nun Ihre TISAX-Labels erhalten haben, können Sie zum letzten Schritt übergehen und sie mit Ihrem Partner teilen.

6. Austausch (Schritt 3)

Die geschätzte Lesezeit für den Abschnitt „Austausch“ beträgt 7 Minuten.

Sie haben den TISAX-Prozess bis hierhin durchlaufen, aber Ihr Partner hat bisher immer noch keinen „Nachweis“ dafür gesehen, dass Ihr Informationssicherheitsmanagementsystem in der Lage ist, seine vertraulichen Daten zu schützen. Dieser Abschnitt beschreibt nun, wie Sie Ihr Prüfergebnis mit Ihrem Partner teilen und den geforderten Nachweis erbringen können.

6.1. Prämisse

Es ist eines der Hauptmerkmale von TISAX, dass Sie Ihr Prüfergebnis vollständig unter Ihrer Kontrolle haben. Ohne Ihre ausdrückliche Zustimmung werden alle Informationen, die sich auf Ihre Prüfung beziehen, an niemanden weitergegeben.

6.2. Die Austauschplattform

Das ENX-Portal stellt die Austauschplattform zur Verfügung.

Ihr Prüfdienstleister lädt die ersten beiden Abschnitte (A und B) Ihres „TISAX Assessment Berichts“ hoch. Zu diesem Zeitpunkt sind die Informationen für niemanden außer Ihnen verfügbar.

Mit dem bei der Registrierung angelegten Account können Sie auf das Portal zugreifen und die Austauschplattform nutzen.

Unter dieser Adresse können Sie auf das Portal zugreifen:
Icon der Flagge von Deutschland enx.com/de-de/SignIn

6.3. Allgemeine Voraussetzungen

Sie können Ihr Prüfergebnis nur dann mit Ihrem Partner teilen, wenn diese beiden Voraussetzungen erfüllt sind:

  1. Ihr Prüfdienstleister hat das Prüfergebnis an die Austauschplattform übermittelt.
    Das Prüfergebnis wird in der Regel 5-10 Werktage nach Ausstellung des „TISAX Assessment Berichts“ auf der Austauschplattform verfügbar sein.

  2. Wir haben Ihre Zahlung für das Entgelt erhalten (falls zutreffend).

Der Status Ihres Prüf-Scopes ist „Active“, wenn beide Voraussetzungen erfüllt sind.

Icon für Info-Boxen

Bitte beachten Sie:

Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt muss Ihr Prüf-Scope den Status „Active“ haben.

Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.5, “Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)”.

Um nachzuprüfen, ob Ihr Prüfergebnis zum Teilen bereit ist (Status des Prüf-Scopes = Active), gehen Sie folgendermaßen vor:

  1. Melden Sie sich im ENX-Portal an.

  2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  3. Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.

  4. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.

  5. Überprüfen Sie, dass Ihr Prüf-Scope den Status „Aktiv“ hat (Spalte „Scope Status“).

6.4. Dauerhaftigkeit der ausgetauschten Ergebnisse

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sie können keine Veröffentlichungen oder Sharing-Permissions widerrufen.

Der Grund ist, dass wir wollen, dass sich alle passiven Teilnehmer auf einen dauerhaften Zugriff auf alle erhaltenen Prüfergebnisse verlassen können. Andernfalls müssten sie die Prüfergebnisse selbst verwalten und archivieren.

Die Berechtigung bleibt für den gesamten Gültigkeitszeitraum Ihrer TISAX-Prüfung gültig.

Wenn Sie versehentlich eine Veröffentlichung oder eine Sharing-Permission erstellt haben, sprechen Sie uns bitte sofort an.

6.5. Sharing-Level

Die Sharing-Level sind den Hauptabschnitten A-E des „TISAX Assessment Berichts“ 1:1 zugeordnet.

Tabelle 12. Hauptabschnitte des „TISAX Assessment Berichts“ und die Sharing-Level auf der Austauschplattform
Hauptabschnitte des „TISAX Assessment Berichts“ Sharing-Level auf der Austauschplattform

1

A. Informationen zum Assessment
(Icon der Flagge des Vereinigten Königreichs Assessment Related Information)

2

B. Gesamtübersicht Prüfergebnisse
(Icon der Flagge des Vereinigten Königreichs Summarized Results)

3

C. Zusammenfassung der Ergebnisse des Assessments
(Icon der Flagge des Vereinigten Königreichs Assessment Result Summary)

4

D. Reifegrade gem. ISA (Ergebnis-Tab des ISA)
(Icon der Flagge des Vereinigten Königreichs Maturity Levels of ISA (Result Tab))

5

E. Detaillierte Ergebnisse zum Assessment
(Icon der Flagge des Vereinigten Königreichs Detailed Assessment Results)

Je höher der Sharing-Level, desto mehr Details über Ihre TISAX-Prüfung wird für den/die jeweiligen Teilnehmer zugänglich sein.

Einzelheiten zum Inhalt der einzelnen Abschnitte des „TISAX Assessment Berichts“ finden Sie in Abschnitt 5.4.7.4, “„TISAX Assessment Bericht“”.

6.6. Veröffentlichen Sie Ihr Prüfergebnis auf der Austauschplattform

Sie können Ihr Prüfergebnis mit allen anderen TISAX-Teilnehmern teilen, indem Sie es auf der Austauschplattform veröffentlichen. Damit haben alle anderen TISAX-Teilnehmer Zugriff auf Ihr Prüfergebnis bis zum gewährten Sharing-Level.

Sie können Ihr Prüfergebnis nur veröffentlichen, wenn das Gesamtprüfergebnis „Konform“ ist.

Die Sharing-Level für die Veröffentlichung Ihrer Prüfergebnisse auf der Austauschplattform sind auf diese Optionen beschränkt:

  • Nicht veröffentlichen (Standard)

  • A: Informationen zum Assessment

  • A + Labels

  • A + Labels + B: Gesamtübersicht Prüfergebnisse

Wir empfehlen den Sharing-Level „A + Labels“ für diese allgemeine Publikationsart.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sie können Ihr Prüfergebnis nur veröffentlichen, wenn die in Abschnitt 6.3, “Allgemeine Voraussetzungen” beschriebenen Voraussetzungen erfüllt sind.

Um Ihr Prüfergebnis auf der Austauschplattform zu veröffentlichen, führen Sie diese Schritte aus:

  1. Melden Sie sich im ENX-Portal an.

  2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  3. Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.

  4. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.

  5. Überprüfen Sie, dass Ihr Prüf-Scope den Status „Active“ hat (Spalte „Scope Status“).

  6. Gehen Sie an das Ende der Tabellenzeile Ihres Prüf-Scopes und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  7. Wählen Sie „Scope Information“.

  8. Im neuen Fenster (“Scope Information”), wählen Sie den Reiter „EXCHANGE“.
    figure screenshot portal exchange de

  9. Gehen Sie zum Abschnitt „VERÖFFENTLICHEN“, öffnen Sie das Dropdown-Menü und wählen Sie den gewünschten Sharing-Level (siehe Empfehlung oben).

Icon für Info-Boxen

Bitte beachten Sie:

Die Prüfergebnisse werden nur auf der Austauschplattform veröffentlicht. Sie können nur von anderen TISAX-Teilnehmern eingesehen werden. Es gibt keine öffentliche Liste aller TISAX-Teilnehmer. Lediglich die bloße Anzahl der TISAX-Teilnehmer könnte auf der öffentlichen TISAX-Website erwähnt werden.

6.7. Teilen Sie Ihr Prüfergebnis mit einem bestimmten Teilnehmer

Neben der oben genannten Möglichkeit, Ihr TISAX-Prüfergebnis auf der Austauschplattform zu veröffentlichen, können Sie es gezielt mit bestimmten TISAX-Teilnehmern mit einem höheren Sharing-Level teilen.

Im Gegensatz zu der oben genannten Veröffentlichung können Sie Ihr Prüfergebnis auch dann weitergeben, wenn das Gesamtergebnis der Bewertung „Nebenabweichend“ oder „Hauptabweichend“ ist.

Der Austausch von Prüfergebnissen ist ein integraler Bestandteil von TISAX. Sie haben Ihr Informationssicherheitsmanagementsystem nur einmal prüfen lassen, aber jetzt können Sie Ihr Prüfergebnis mit so vielen Partner teilen wie sich möchten.

Die Optionen für das Teilen Ihres Prüfergebnisses auf der Austauschplattform sind:

  1. A: Informationen zum Assessment

  2. A + Labels

  3. A + Labels + B: Gesamtübersicht Prüfergebnisse

  4. A + Labels + B + C: Zusammenfassung der Ergebnisse des Assessments

  5. A + Labels + B + C + D: Detaillierte Ergebnisse zum Assessment

  6. A + Labels + B + C + D + E: Reifegrade gem. ISA

Wir empfehlen für das Teilen Sharing-Level "A + Labels". Dies ist für die Mehrheit der Partner ausreichend. Sie können später jederzeit einen höheren Sharing-Level wählen.

Icon für Info-Boxen

Bitte beachten Sie:

Einige TISAX-Teilnehmer verarbeiten die Prüfergebnisse ihrer Partner automatisch. Sie synchronisieren ihr eigenes System mit dem ENX-Portal. Nur die speziell mit diesem Teilnehmer geteilten Prüfergebnisse werden synchronisiert. Eine reine Veröffentlichung, wie in Abschnitt 6.6, “Veröffentlichen Sie Ihr Prüfergebnis auf der Austauschplattform” beschrieben, wird nicht anerkannt.

Unter den OEMs, die TISAX verwenden, ist BMW ein Beispiel dafür. Wenn Sie ein Partner von BMW sind, stellen Sie bitte sicher, dass Sie Ihr Prüfergebnis mit BMW teilen (und nicht nur veröffentlichen).

6.7.1. Voraussetzungen

Dies sind die Voraussetzungen, um Ihr Prüfergebnis mit Ihrem Partner (oder jedem anderen TISAX-Teilnehmer) zu teilen:

  • Sie können Ihr TISAX-Prüfergebnis nur mit anderen TISAX-Teilnehmern teilen.

  • Ihr Partner muss ein TISAX-Teilnehmer sein.

  • Sie benötigen die Participant-ID Ihres Partners.[31]

  • Sie müssen das Entgelt bezahlen (falls zutreffend).

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sie können Ihr Prüfergebnis nur teilen, wenn die in Abschnitt 6.3, “Allgemeine Voraussetzungen” beschriebenen Voraussetzungen erfüllt sind.

6.7.2. Wie Sie eine Sharing-Permission erstellen

Um Ihr Prüfergebnis mit einem anderen TISAX-Teilnehmer zu teilen, folgen Sie diesen Schritten:

  1. Melden Sie sich im ENX-Portal an.

  2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  3. Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.

  4. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.

  5. Überprüfen Sie, dass Ihr Prüf-Scope den Status „Aktiv“ hat (Spalte „Scope Status“).

  6. Gehen Sie an das Ende der Tabellenzeile Ihres Prüf-Scopes und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  7. Wählen Sie „Scope Information“.

  8. Im neuen Fenster (“Scope Information”), wählen Sie den Reiter „EXCHANGE“.
    figure screenshot portal exchange share de

  9. Gehen Sie zum Abschnitt „TEILEN“ und klicken Sie auf die Schaltfläche „Teilen“.

  10. Geben Sie die Participant-ID Ihres Partners ein.

  11. Wählen Sie den gewünschten Sharing-Level.

  12. Klicken Sie auf die Schaltfläche „Weiter“.

  13. Lesen und verstehen Sie die Hinweise zur Dauerhaftigkeit der Sharing-Permission.

  14. Machen Sie Haken in den beiden „Ich bestätige“-Kästchen.

  15. Klicken Sie auf die Schaltfläche „Übermitteln“.

Alles andere erledigt die Austauschplattform. Für die Sharing-Level A und B stehen die Informationen auf der Austauschplattform zur Verfügung. Ihr Partner kann sich nun im ENX-Portal anmelden und Ihr geteiltes Prüfergebnis einsehen.[32]

Bei höheren Sharing-Leveln (C-E) benachrichtigt die Austauschplattform Ihren Prüfdienstleister. Anschließend sendet Ihr Prüfdienstleister die Informationen (entsprechend dem ausgewählten Sharing-Level) an den Teilnehmer-Hauptansprechpartner Ihres Partners.

6.8. Teilen Ihres Prüfergebnisses außerhalb TISAX

Es gilt die allgemeine Regel[33], dass Sie nur die TISAX-Austauschplattform nutzen dürfen, um andere über Ihr Prüfergebnis zu informieren.

6.8.1. Die Gründe für die strenge Regelung des Austauschmechanismus

TISAX bietet einen standardisierten Austauschmechanismus für Prüfergebnisse. Dies stellt einen Mehrwert im Vergleich zum Austausch der Ergebnisse anderer Zertifizierungen (z. B. ISO) dar, wo dies auf verschiedene Weise geschieht und nicht immer alle für ein vollständiges Bild erforderlichen Informationen enthält.

Besonders OEMs schätzen diese Standardisierung. Aber auch andere Unternehmen profitieren von klar definierten Verfahren.

6.8.2. Ein Leitfaden zum Schreiben über TISAX in der Öffentlichkeit

Sie können zwar nicht öffentlich über das Prüfergebnis sprechen, aber Sie können Ihre TISAX-Bemühungen erwähnen. Auf dem ENX-Portal geben wir Ihnen Ratschläge, wie Sie an öffentliche Stellungnahmen herangehen können. Wir stellen Ihnen dort auch TISAX-Logos zur Verfügung.

Nachdem Sie sich in das ENX-Portal eingeloggt haben, können Sie hier auf die Informationen zugreifen:
Icon der Flagge des Vereinigten Königreichs enx.com/de-de/myenxportal/marketing/
Direkter Download des ZIP-Archivs (Dokument und Logos):
Icon der Flagge des Vereinigten Königreichs enx.com/de-de/myenxportal/marketing/TISAX-Trademark-and-Logos-Terms-and-Conditions.zip

Falls Sie sich fragen, ob es ein Zertifikat gibt, dass Sie sich an die Wand hängen können: Aufgrund des oben erwähnten standardisierten Austauschprozesses stellen wir ein solches Zertifikat nicht bereit.

6.8.3. Teilen mit einem Partner, der noch kein TISAX-Teilnehmer ist

Wenn Sie Ihr TISAX-Prüfergebnis mit einem bestimmten Partner teilen möchten, der a) noch kein TISAX-Teilnehmer ist und b) noch kein TISAX-Label erhalten hat (indem er den Prüfprozess durchläuft), können Sie die folgenden Schritte befolgen:

  1. Weisen Sie Ihren Partner an, sich als TISAX-Teilnehmer zu registrieren.
    Er muss sich lediglich als TISAX-Teilnehmer registrieren lassen. Er muss nicht mit der Registrierung eines Prüf-Scopes fortfahren.

  2. Weisen Sie Ihren Partner an, uns anzusprechen.
    In der Regel bearbeiten wir eine Neuregistrierung nur dann, wenn das Unternehmen auch einen Prüf-Scope registriert. Auf Anfrage Ihres Partners bearbeiten wir seine Registrierung. Auf diese Weise wird er ein TISAX-Teilnehmer. Er kann nun über den regulären Austauschprozess Ihr TISAX-Prüfergebnis erhalten.

Auf diesem Weg wird sichergestellt, dass Ihr Partner sich bereit erklärt, die „TISAX Allgemeine Geschäftsbedingungen“ einzuhalten, die den Austausch von TISAX-Prüfergebnissen regeln.

Nur die Registrierung eines Prüf-Scopes verursacht Kosten. Da die Registrierung als TISAX-Teilnehmer kostenlos ist, kann Ihr Partner Ihr Prüfergebnis kostenlos erhalten. Ohne ein eigenes Prüfergebnis kann Ihr Partner jedoch nur bis zu fünf Prüfergebnisse erhalten und er kann keine der Veröffentlichungen sehen.

6.8.4. Teilen mit Mitarbeitern Ihres Partners, die keinen direkten Zugang zum ENX-Portal haben

Nur die Mitarbeiter Ihres Partners, die einen Account für unser ENX-Portal haben, können Ihr Ergebnis direkt einsehen. Wenn Sie Ihre TISAX-Labels einem Mitarbeiter Ihres Partners ohne Portalzugang nachweisen müssen, können Sie ein spezielles Dokument verwenden. Um das Dokument zu erhalten, folgen Sie bitte diesen Schritten:

  1. Teilen Sie Ihr Prüfergebnis mit Ihrem Partner, wie in Abschnitt 6.7, “Teilen Sie Ihr Prüfergebnis mit einem bestimmten Teilnehmer” beschrieben.

  2. Melden Sie sich im ENX-Portal an.

  3. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  4. Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.

  5. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.

  6. Überprüfen Sie, dass Ihr Prüf-Scope den Status „Aktiv“ hat (Spalte „Scope Status“).

  7. Gehen Sie an das Ende der Tabellenzeile Ihres Prüf-Scopes und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  8. Wählen Sie „Scope Information“.

  9. Im neuen Fenster (“Scope Information”), wählen Sie den Reiter „EXCHANGE“.
    figure screenshot portal exchange de

  10. Gehen Sie zum Abschnitt „TEILEN“ und finden Sie die Tabellenzeile mit der Sharing-Permission (wie in Schritt 1 erstellt).

  11. Gehen Sie an das Ende der Tabellenzeile Ihrer Sharing-Permission und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  12. Wählen Sie „Anpassen“.

  13. Im neuen Fenster („SCOPE TEILEN“), scrollen Sie ans Ende und wählen Sie “Request Shared Information as PDF”.

  14. Warten Sie einen Moment, bis das Dokument erstellt wurde.

  15. Laden Sie das Dokument herunter (“Copy of information shared with ACME.pdf (66.84 KB)”)

7. Anhänge

7.1. Anhang: Beispielrechnung für das Entgelt

Dies ist ein Beispiel für die Rechnung über das Entgelt, die wir Ihnen schicken.

Weitere Informationen finden Sie in Abschnitt 4.3.4, “Entgelt”.

Beispielrechnung

7.2. Annex: Beispiel einer Bestätigungs-E-Mail

Wir schicken Ihnen die Bestätigungs-E-Mail, sobald Sie alle verbindlichen Schritte während des Online-Registrierungsprozesses abgeschlossen haben.

Weitere Informationen dazu, wann wir diese Bestätigungs-E-Mail verschicken, finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.

Betreff: TISAX Registrierung

Hallo John Doe

vielen Dank für Ihre TISAX Scope Registrierung. Ich habe Ihre Scope Registrierung durchgeführt. Als Anlage übersende ich Ihnen den TISAX Scope Excerpt mit den relevanten Scope Informationen und die aktuelle TISAX-Prüfdienstleisterliste.

Wie geht es weiter?

Mit dem beigefügten TISAX Scope Excerpt können Sie nun Angebote bei allen TISAX-Prüfdienstleister für Ihre Prüfung anfragen.

Benötigen Sie Unterstützung?

Bei weiteren Fragen bezüglich TISAX verweisen wir Sie gerne auf unser TISAX-Teilnehmerhandbuch sowie auf unsere TISAX FAQs. Sollten Sie weitere Hilfe bezüglich TISAX brauchen, können Sie gerne unsere TISAX Hotline per E-Mail (tisax@enx.com) oder Telefon (+49 69 986692-777) kontaktieren.

Mit freundlichen Grüßen

ENX Association

7.3. Anhang: Beispiel eines TISAX Scope Excerpt

Sie erhalten den „TISAX Scope Excerpt“ im Anhang der Bestätigungs-E-Mail.

Weitere Informationen finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.

Beispiel einesTISAX Scope Excerpt

7.4. Anhang: „Participant status“ (Participant-Status)

7.4.1. Übersicht: „Participant status“

Der „Participant status“ beschreibt, wo Sie (als Unternehmen) sich im TISAX-Prozess befinden.

Ihr „Participant status“ kann sein:

  1. Incomplete (Icon der Flagge von Deutschland Unvollständig)

  2. Awaiting approval (Icon der Flagge von Deutschland Warten auf Genehmigung)

  3. Preliminary (Icon der Flagge von Deutschland Vorläufig)

  4. Registered (Icon der Flagge von Deutschland Registriert)

  5. Expired (Icon der Flagge von Deutschland Abgelaufen)

Die Tabellen im Abschnitt jedes Status beschreiben:

  • Ihre Situation
    (was gerade zutrifft, wenn Sie diesen Status haben)

  • Ihren nächsten Schritt
    (was Sie tun müssen, um zum nächsten Status zu gelangen; sofern zutreffend)

  • unseren nächsten Schritt
    (was wir tun müssen, um Ihren Status zu erhöhen; sofern zutreffend)

  • den nächsten Status
    (sofern zutreffend)

Die folgende Darstellung zeigt die Schritte, die von einem zum nächsten Status führen:

figure-participant-status-overview
Abbildung 34. Übersicht „Participant status“

7.4.2. Participant status „Incomplete“ (Unvollständig)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Incomplete

Sie haben die TISAX-Registrierung nicht abgeschlossen.
Entweder haben Sie die AGBs nicht akzeptiert.
Oder Sie haben den Teilnehmer-Hauptstandort nicht angegeben.
Oder Sie den Teilnehmer-Hauptansprechpartner nicht angegeben.
Oder andere Angaben, die wir brauchen, fehlen.

Fahren Sie fort auf Icon der Flagge von Deutschland enx.com/de-de/SignIn

Wir werden Ihnen eine Erinnerung per E-Mail schicken (üblicherweise innerhalb weniger Tage).

Awaiting approval

7.4.3. Participant status „Awaiting approval“ (Warten auf Genehmigung)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Awaiting approval

Ihre TISAX-Registrierung ist abgeschlossen.
Sie haben möglicherweise bereits einen Prüf-Scope registriert.

Warten Sie auf unseren nächsten Schritt.

Wir werden Ihren Antrag überprüfen und typischerweise genehmigen.
Allerdings lösen Sie unsere Überprüfung üblicherweise dadurch aus, dass Sie auch einen Prüf-Scope registrieren.
Wir weisen ihnen eine Participant-ID und die Scope-ID(s) zu.
Wir werden Ihnen eine Bestätigungs-E-Mail schicken. Der angehängte „TISAX Scope Excerpt“ fasst die Informationen zusammen, die wir in unserer Datenbank haben.

Preliminary

7.4.4. Participant status „Preliminary“ (Vorläufig)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Preliminary

Sie haben den TISAX-Registrierungsprozess erfolgreich abgeschlossen.

Bezahlen Sie das Entgelt.
Durchlaufen Sie den TISAX-Prüfprozess.
Veröffentlichen und Teilen Sie Ihr Prüfergebnis.

Keiner

Registered

7.4.5. Participant status „Registered“ (Registriert)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Registered

Sie haben den TISAX-Prüfprozess erfolgreich abgeschlossen und TISAX-Labels erhalten.
Sie haben Ihr Prüfergebnis veröffentlich und geteilt.
Sie erhalten nur TISAX-Labels, wenn Sie den TISAX-Prüfprozess erfolgreich durchlaufen haben. Im ENX-Portal spiegelt sich darin wider, dass Sie einen Prüf-Scope mit dem Prüf-Scope-Status „Active“ haben.

Keiner

Keiner

(Expired)

Icon für Info-Boxen

Hinweis:

Wenn Sie Zugriff auf die Prüfergebnisse Ihres/Ihrer Partner/s möchten:

Die konzeptionelle Voraussetzung, um Prüfergebnisse von anderen Teilnehmern zu erhalten, ist entweder:

  • Sie teilen Ihr eigenes Prüfergebnis (damit „beweisen“ Sie, dass ein ernsthafter TISAX-Teilnehmer und Mitglied der Automobilbranche sind).

  • Wir erkennen Sie basierend auf Ihrem Ruf in der Automobilindustrie an (z. B. Automobil-Hersteller, Tier-1-Zulieferer).

  • Sie weisen nach, dass Sie ein legitimes Interesse daran haben, Prüfergebnisse anderer Teilnehmer zu erhalten. Wir müssen das in einem aufwendigen Prozess überprüfen. Dafür können erhebliche Kosten anfallen. Für weitere Details sprechen Sie uns bitte an.

7.4.6. Participant status „Expired“ (Abgelaufen)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Expired

Sie haben das Entgelt nicht bezahlt.
Oder Sie oder wir haben unseren gemeinsamen Vertrag (die AGBs) gekündigt.

Keiner

Keiner

n/a

7.5. Anhang: „Prüf-Scope-Status“ (Assessment scope status)

7.5.1. Übersicht: „Prüf-Scope-Status“

Der „Prüf-Scope-Status“ beschreibt, wo in seinem Lebenszyklus sich Ihr Prüf-Scope befindet.

Bitte beachten Sie, dass der „Prüf-Scope-Status“ sich vom „Assessment status“ unterscheidet. Weitere Informationen zum „Assessment status“ finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.

Ihr „Prüf-Scope-Status“ kann sein:

  1. Unvollständig (Icon der Flagge des Vereinigten Königreichs Incomplete)

  2. Warten auf Ihren Antrag (Icon der Flagge des Vereinigten Königreichs Awaiting your order)

  3. Warten auf ENX Genehmigung (Icon der Flagge des Vereinigten Königreichs Awaiting ENX approval)

  4. Warten auf Ihre Zahlung (Icon der Flagge des Vereinigten Königreichs Awaiting your payment)

  5. Registriert (Icon der Flagge des Vereinigten Königreichs Registered)

  6. Aktiv (Icon der Flagge des Vereinigten Königreichs Active)

  7. Abgelaufen (Icon der Flagge des Vereinigten Königreichs Expired)

Die Tabellen im Abschnitt jedes Status beschreiben:

  • Ihre Situation
    (was gerade zutrifft, wenn Sie diesen Status haben)

  • Ihren nächsten Schritt
    (was Sie tun müssen, um zum nächsten Status zu gelangen; sofern zutreffend)

  • unseren nächsten Schritt
    (was wir tun müssen, um Ihren Status zu erhöhen; sofern zutreffend)

  • den nächsten Status
    (sofern zutreffend)

Die folgende Darstellung zeigt die Schritte, die von einem zum nächsten Status führen:

Übersicht „Prüf-Scope-Status“
Abbildung 35. Übersicht „Prüf-Scope-Status“

Der Verweis „A“ auf außerhalb der Darstellung in der obigen Abbildung verknüpft den Prüf-Scope-Status „Active“ mit dem „assessment status“. Weitere Informationen zum „assessment status“ finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.

7.5.2. Prüf-Scope-Status „Unvollständig“ (Incomplete)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Unvollständig
(Incomplete)

Sie haben nicht alle erforderlichen Informationen angegeben.

Fahren Sie fort auf Icon der Flagge von Deutschland enx.com/de-de/SignIn

Wir werden Ihnen eine Erinnerung per E-Mail schicken (üblicherweise innerhalb weniger Tage).

Warten auf Ihren Antrag

Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.7, “Registrierung des Prüf-Scopes”.

7.5.3. Prüf-Scope-Status „Warten auf Ihren Antrag“ (Awaiting your order)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Warten auf Ihren Antrag
(Awaiting your order)

Sie haben die Prüf-Scope-Registrierung nicht abgeschlossen.

Fahren Sie fort auf Icon der Flagge von Deutschland enx.com/de-de/SignIn

Wir werden Ihnen eine Erinnerung per E-Mail schicken (üblicherweise innerhalb weniger Tage).

Warten auf ENX Genehmigung

Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.7, “Registrierung des Prüf-Scopes”.

7.5.4. Prüf-Scope-Status „Warten auf ENX Genehmigung“ (Awaiting ENX approval)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Warten auf ENX Genehmigung
(Awaiting ENX approval)

Ihre Prüf-Scope-Registrierung ist abgeschlossen.

Warten Sie auf unseren nächsten Schritt.

Wir werden Ihren Antrag überprüfen und typischerweise genehmigen.
Wir weisen (eine) Scope-ID(s) zu.
Wir werden Ihnen eine Bestätigungs-E-Mail schicken. Der angehängte „TISAX Scope Excerpt“ (PDF) fasst die Informationen zusammen, die wir in unserer Datenbank haben.

Warten auf Ihre Zahlung

Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.7, “Registrierung des Prüf-Scopes”.

7.5.5. Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Warten auf Ihre Zahlung
(Awaiting your payment)

Ihre Prüf-Scope-Registrierung ist abgeschlossen und genehmigt.
Sie haben unsere Bestätigungs-E-Mail und den „TISAX Scope Excerpt“ erhalten.

Bezahlen Sie das Entgelt (sofern zutreffend).
Fordern Sie Angebote von unseren TISAX-Prüfdienstleistern an.
Ab dem Status „Warten auf Ihre Zahlung“ können Sie:

  • anfangen, einige Informationen über die Prüfung mit Ihrem Partner zu teilen.[34]

  • die Veröffentlichung Ihres Prüfergebnisses voreinstellen (dies wird jedoch erst wirksam, sobald Ihr „Prüf-Scope-Status“ zu „Aktiv“ wechselt.


34. Im Prüf-Scope-Status „Approved“ oder „Registered“ beinhalten die „A. Informationen zum Assessment“ die Prüf-Scope-Standorte, den Assessment-Status und die Prüfziele.

Wir warten auf Ihre Zahlung.

Registriert

Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.

7.5.6. Prüf-Scope-Status „Registriert“ (Registered)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Registriert
(Registered)

Ihr Prüf-Scope ist registriert.
Wir haben Ihre Zahlung vollständig erhalten oder Ihre wirtschaftliche Stellung ist aufgrund anderer Umstände „Grün“.

Durchlaufen Sie den TISAX-Prüfprozess.

Keiner

Aktiv

7.5.7. Prüf-Scope-Status „Aktiv“ (Active)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Aktiv
(Active)

Sie haben den TISAX-Prüfprozess erfolgreich abgeschlossen und TISAX-Labels erhalten.

Veröffentlichen und teilen Sie Ihr Prüfergebnis.
Alle in einem niedrigeren Status voreingestellten Veröffentlichungen und Sharing-Permissions werden nun wirksam.

Keiner

Abgelaufen

Weitere Informationen zum Veröffentlichen und Teilen finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.

7.5.8. Prüf-Scope-Status „Abgelaufen“ (Expired)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Abgelaufen
(Expired)

Entweder:

  • Sie haben Ihre Prüf-Scope-Registrierung nicht innerhalb von 90 Tagen abgeschlossen,

Beginnen Sie eine neue Prüf-Scope-Registrierung.

Keiner

Unvollständig
oder
Warten auf Ihren Antrag
oder
Warten auf ENX Genehmigung

  • oder es gab eine unzulässige Verzögerung bei Ihrer Zahlung des Entgelts,

  • oder Sie haben den TISAX-Prozess beendet,

  • oder die Gültigkeit Ihres Prüfergebnisses (drei Jahre) ist abgelaufen,

  • oder es gab bei Ihnen entscheidende Änderungen am Prüf-Scope (Beispiel: Alle Standorte in einem Prüf-Scope gehören nicht mehr zu Ihrem Unternehmen).

7.6. Anhang: „Assessment status“ (Prüfungs-Status)

7.6.1. Übersicht: „Assessment status“

Der „Assessment status“ beschreibt, wo im Prüfprozess Sie sich befinden. Der Status ändert sich mit Ihrem Fortschreiten von einem Prüf-Typ zum Nächsten. (z. B. von der „Erstprüfung“ zur „Maßnahmenplanprüfung“).

Bitte beachten Sie, dass der „Assessment status“ sich vom „Prüf-Scope-Status“ unterscheidet. Weitere Informationen zum „assessment scope status“ finden Sie in Abschnitt 7.5, “Anhang: „Prüf-Scope-Status“ (Assessment scope status)”.

Ihr „Assessment status“ kann sein:

  1. Initial assessment ordered (Icon der Flagge von Deutschland Erstprüfung beauftragt)

  2. Initial assessment ongoing (Icon der Flagge von Deutschland Erstprüfung läuft)

  3. Waiting for corrective action plan assessment (Icon der Flagge von Deutschland Warten auf die Maßnahmenplanprüfung)

  4. Waiting for follow-up (Icon der Flagge von Deutschland Warten auf die Follow-up-Prüfung)

  5. Finished (Icon der Flagge von Deutschland Abgeschlossen)

Die Tabellen im Abschnitt jedes Status beschreiben:

  • Ihre Situation
    (was gerade zutrifft, wenn Sie diesen Status haben)

  • Ihren nächsten Schritt
    (was Sie tun müssen, um zum nächsten Status zu gelangen; sofern zutreffend)

  • unseren nächsten Schritt
    (was wir tun müssen, um Ihren Status zu erhöhen; sofern zutreffend)

  • den nächsten Status
    (sofern zutreffend)

Die folgende Darstellung zeigt die Schritte, die von einem zum nächsten Status führen:

Übersicht „Assessment status“
Abbildung 36. Übersicht „Assessment status“

Der Verweis „A“ auf außerhalb der Darstellung in der obigen Abbildung verknüpft den Prüf-Scope-Status „Active“ mit dem Assessment status „Waiting for corrective action plan assessment“. Weitere Informationen zum „Prüf-Scope-Status“ finden Sie in Abschnitt 7.5, “Anhang: „Prüf-Scope-Status“ (Assessment scope status)”.

7.6.2. Assessment status „Initial assessment ordered“ (Erstprüfung beauftragt)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Initial assessment ordered

Sie haben einen unserer TISAX-Prüfdienstleister ausgewählt und eine Erstprüfung beauftragt.

Fahren Sie mit dem TISAX-Prüfprozess fort.

Keiner

Initial assessment ongoing

7.6.3. Assessment status „Initial assessment ongoing (Erstprüfung läuft)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Initial assessment ongoing

Ihre Erstprüfung hat entweder:

  • Begonnen

  • oder ist abgeschlossen, aber Ihr Prüfdienstleister hat uns noch nicht den „TISAX Assessment Bericht“ übermittelt.

Keiner

Keiner

Waiting for corrective action plan assessment (sofern zutreffend)

7.6.4. Assessment status „Waiting for corrective action plan assessment“ (Warten auf die Maßnahmenplanprüfung)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Waiting for corrective action plan assessment

Ihr Prüfdienstleister hat eine Erstprüfung durchgeführt.
Ihr Prüfdienstleister hat den „TISAX Assessment Bericht“ an uns übermittelt.
Das Prüfergebnis ist Neben-/Hauptabweichend.

Erstellen Sie einen Maßnahmenplan.
Starten Sie die Umsetzung der Maßnahmen.
Beantragen Sie eine Maßnahmenplanprüfung.

Keiner

Waiting for follow-up (sofern zutreffend)

Der “Assessment status” “Waiting for corrective action plan assessment” ist auf neun Monate begrenzt. Weitere Informationen finden Sie in Abschnitt 5.4.9.3, “Anforderungen an den Maßnahmenplan”.

7.6.5. Assessment status „Waiting for follow-up“ (Warten auf die Follow-up-Prüfung)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Waiting for follow-up

Ihr Prüfdienstleister hat Ihren Maßnahmenplan genehmigt.
Sie haben die Maßnahmen umgesetzt.

Beantragen Sie eine Follow-up-Prüfung.

Keiner

Finished

Der “Assessment status” “Waiting for corrective action plan assessment” ist auf neun Monate begrenzt. Weitere Informationen finden Sie in Abschnitt 5.4.9.3, “Anforderungen an den Maßnahmenplan”.

7.6.6. Assessment status „Finished“ (Abgeschlossen)

Status Situation Ihr nächster Schritt Unser nächster Schritt Nächster Status

 Finished

Ihr Prüfdienstleister hat eine Follow-up-Prüfung durchgeführt.
Das Prüfergebnis hat keine Abweichungen mehr.
Ihr Prüfdienstleister ht uns den „TISAX Assessment Bericht“ übermittelt.

Veröffentlichen und Teilen Sie Ihr Prüfergebnis.

Keiner

n/a

7.7. Anhang: Die Argumentation gegen „Pre-Assessments“ und „Gap-Analysen“

Wir raten generell davon ab, einen Prüfdienstleister um ein „Pre-Assessment“ oder eine „Gap-Analyse“ zu bitten. In fast allen Fällen ist es sinnvoller, sofort mit dem TISAX-Prüfprozess zu beginnen.

In diesem Abschnitt gehen wir auf die häufigsten Bedenken ein.

Ziehen Sie ein „Pre-Assessment“ in Betracht, weil:

  1. Sie besorgt sind, dass Ihr Kunde ein potenziell ungünstiges Prüfergebnis sehen könnte?

    Sie haben volle Kontrolle darüber, wer Ihre Prüfergebnisse sieht. Es ist Ihre Entscheidung, ob der Prüfdienstleister etwas in das ENX-Portal hochlädt. Wenn es niemand sehen soll, sieht es auch niemand (außer dem Prüfer natürlich).

    Außerdem lädt der Prüfdienstleister sowieso immer nur die ersten beiden Abschnitte des „TISAX Assessment Berichts“ hoch und nie die detaillierten Prüfergebnisse.

  2. Sie denken, dass ein „Pre-Assessment“ Geld sparen könnte?

    • Mit einem „Pre-Assessment“:

      • bezahlen Sie für das „Pre-Assessment“

      • haben Sie möglicherweise die internen Kosten für die Behebung von Abweichungen

      • bezahlen Sie für die volle TISAX-Prüfung („Erstprüfung“)

      Auch wenn es keine Feststellungen gibt, bezahlen Sie immer für zwei vollständige Prüfungen.

    • Wenn Sie mit einer TISAX-Prüfung starten:

      • bezahlen Sie für die „Erstprüfung“

      • haben Sie möglicherweise die internen Kosten für die Behebung von Abweichungen

      • bezahlen Sie möglicherweise sehr viel weniger (im Vergleich zur Erstprüfung) für die sogenannte „Follow-up-Prüfung“, bei der der Prüfer den Schwerpunkt nur darauf legt, ob Sie die Abweichungen aus der Erstprüfung behoben haben

      Selbst mit Abweichungen zahlen Sie nur für eine vollständige Prüfung plus die kurze Follow-up-Prüfung.

  3. Sie denken, dass Sie bei der Prüfung mit dauerhaften Folgen durchfallen könnten?

    Sie können nicht dauerhaft scheitern, denn Sie können so viele Prüfungen durchführen, wie Sie wollen. Wenn das Prüfergebnis nicht Ihren Erwartungen entspricht oder wenn Sie es nicht schaffen, die Abweichungen innerhalb der vorgeschriebenen neun Monate durch Abhilfemaßnahmen zu beheben, betrachten Sie den fehlgeschlagenen Versuch einfach als Ihr „Pre-Assessment“ und beginnen von neuem. Und niemand muss die Ergebnisse Ihres ersten Versuchs sehen. Sie teilen lediglich das Ergebnis der erfolgreichen Prüfung.

Weitere Überlegungen:

  • Wenn das Prüfergebnis besser ist als erwartet, erhalten Sie möglicherweise temporäre TISAX-Labels. Diese können Sie direkt mit Ihrem Partner teilen. Dies ist bei einem „Pre-Assessment“ nicht möglich.

  • Wenn der Prüfdienstleister, der das „Pre-Assessment“ durchführt, auch die TISAX-Prüfung durchführen soll, kann er Sie nicht beraten. Andernfalls müssen Sie einen anderen Prüfdienstleister für die TISAX-Prüfung auswählen.

Auch wenn die meisten Prüflinge nicht von einem „Pre-Assessment“ profitieren, möchten wir doch auf die folgenden Vorteile hinweisen.

Der Prüfer:

  • kann sich auf kritische Aspekte konzentrieren, bei denen Sie kein Vertrauen in Ihr ISMS haben

  • kann mehr Zeit als üblich aufwenden und den Erkenntnisgewinn erhöhen

  • kann Erkenntnisse anders dokumentieren

Nachdem Sie die Abschnitte über den TISAX-Prüfprozess gelesen haben, werden Sie unsere Argumentation noch besser verstehen.

7.8. Angepasster Prüf-Scope

Fast alle TISAX-Teilnehmer wählen den Standard-Scope. Unter bestimmten und seltenen Umständen kann es jedoch erforderlich sein, einen angepassten Prüf-Scope zu wählen.

Es gibt zwei Arten von angepassten Scopes:

7.8.1. Benutzerdefiniert erweiterter Scope

Sie können den Scope erweitern. Ein benutzerdefiniert erweiterter Scope umfasst MEHR als der Standard-Scope. Der Prüfdienstleister führt weitergehende Prüfungen durch.

Zweck: Ein benutzerdefiniert erweiterter Scope kann relevant sein, wenn Sie Ihre TISAX-Prüfung für interne Zwecke oder außerhalb der Automobilindustrie einsetzen wollen.

TISAX-Labels und Ergebnisse teilen: Ein benutzerdefiniert erweiterter Scope umfasst immer den Standard-Scope. Deshalb erhält ein benutzerdefiniert erweiterter Scope TISAX-Labels[35]. Andere TISAX-Teilnehmer werden das Prüfergebnis weiterhin akzeptieren.

Beschreibung: Während der Standard-Scope eine vordefinierte Beschreibung hat, müssen Sie Ihre eigene Scope-Beschreibung schreiben, wenn Sie einen benutzerdefiniert erweiterter Scope benötigen.

7.8.2. Vollständig benutzerdefinierter Scope

Sie können Ihren eigenen vollständig benutzerdefinierter Scope definieren.

Zweck: Wenn Sie Standorte haben, die zu unterschiedlichen Prüf-Scopes gehören und die Leistungen an einem bestimmten Standort (z. B. Rechenzentrum) nutzen, können Sie für diese Leistungen einen vollständig benutzerdefinierten Scope verwenden. So kann ein TISAX-Prüfdienstleister das Prüfergebnis des vollständig benutzerdefinierten Scopes problemlos wiederverwenden.

Beispiel: Sie haben viele Standorte (möglicherweise Bestandteil verschiedener Prüf-Scopes) und Sie haben eine zentrale IT-Abteilung an einem dieser Standorte. Die Festlegung eines vollständig benutzerdefinierten Scopes nur für die IT-Abteilung kann die Wiederverwendung des jeweiligen Prüfergebnisses in den anderen Scopes erleichtern.

TISAX-Labels und Teilen von Ergebnissen: Vollständig benutzerdefinierte Scopes erhalten keine TISAX-Labels. Technisch gesehen wird Ihr Prüfergebnis im ENX-Portal mit Datum, Gültigkeitsdauer und der Angabe, ob das Gesamtprüfergebnis konform oder nicht konform ist, gespeichert. Sie könnten ein solches Prüfergebnis teilen. Aber das Teilen eines Prüfergebnisses ohne TISAX-Label wird für die meisten Empfänger wie eine nicht bestandene Prüfung aussehen. Andere TISAX-Teilnehmer akzeptieren im Allgemeinen keine Prüfergebnisse mit vollständig benutzerdefiniertem Scope.

Beschreibung: Wie schon für den benutzerdefiniert erweiterten Scope, müssen Sie Ihre eigene Scope-Beschreibung festlegen, wenn Sie einen vollständig benutzerdefinierten Scope benötigen.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Um zu verdeutlichen, wie selten die Verwendung vollständig benutzerdefinierter Scopes ist: Es besteht eine 98%ige Chance, dass Ihr Prüfdienstleister Ihren vollständig benutzerdefinierten Scope in einen Standard-Scope umwandeln wird. Kein Teilnehmer hat jemals erfolgreich einen vollständig benutzerdefinierten Scope ohne den Rat seines Prüfdienstleisters gewählt.

Eine Prüfung mit vollständig benutzerdefiniertem Scope erhält keine TISAX-Labels. Wir raten daher generell davon ab, einen vollständig benutzerdefinierten Scope zu wählen — vor allem, weil andere Teilnehmer generell keine Prüfergebnisse mit vollständig benutzerdefiniertem Scope akzeptieren.
Entscheiden Sie sich nicht für einen vollständig benutzerdefinierten Umfang, wenn Sie nicht die ausdrückliche Bestätigung haben, dass Ihr Partner das Ergebnis akzeptiert und mit Ihrer speziellen Scope-Beschreibung einverstanden ist.

7.9. Anhang: Lebenszyklusmanagement der Teilnehmerdaten

Die folgenden Abschnitte beschreiben, was Sie tun müssen, wenn sich etwas bezüglich Ihrer Teilnehmerdaten ändert.

7.9.1. Verlorener Zugriff auf Teilnehmerdaten (ENX-Portal)

Wenn in Ihrem Unternehmen niemand mehr Zugang zum ENX-Portal und damit zu Ihren Teilnehmerdaten hat, sprechen Sie uns bitte an. Wir werden versuchen, Ihnen zu helfen, wieder Zugang zu den Teilnehmerdaten Ihres Unternehmens zu erhalten.

7.9.2. Verwaltung von Ansprechpartnern

Die Teilnehmer-Ansprechpartner Ihres Unternehmens und alle anderen „administrativen Ansprechpartner“ mit Portal-Accounts können jederzeit auf das ENX-Portal zugreifen und:

  • neue Anprechpartner hinzufügen

  • bestehende Anprechpartner löschen

  • Kontaktdaten bestehender Ansprechpartner ändern

7.9.2.1. Wie Sie einen neuen Ansprechpartner hinzufügen

Um einen neuen Ansprechpartner hinzuzufügen, folgen Sie diesen Schritten:

  1. Melden Sie sich im ENX-Portal an.

  2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  3. Im Dropdown-Menü wählen Sie „ADMINISTRATOREN“.

  4. Klicken Sie auf die Schaltfläche „Neuen TISAX-Administrator erstellen“

  5. Geben Sie die Daten des Ansprechpartner ein.

  6. Klicken Sie auf die Schaltfläche „Kontakt speichern“

  7. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit dem Ansprechpartner.

  8. Gehen Sie an das Ende der Tabellenzeile des Ansprechpartners und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  9. Wählen Sie „TISAX-Administrator bearbeiten“.

  10. Im neuen Fenster (“TISAX KONTAKT BEARBEITEN”), blättern Sie nach unten bis zum Abschnitt „ENX PORTAL ZUGANG“.

  11. Wählen Sie „Ja“.

  12. In dem erscheinenden Abschnitt „WEB ROLES“ klicken Sie auf die Schaltfläche „Add Role“.

  13. Wählen Sie die Rolle, die Sie zuweisen möchten (beispielsweise „TISAX Administrator“).

  14. Klicken Sie auf die Schaltfläche „Hinzufügen“.

  15. Klicken Sie auf die Schaltfläche „Kontakt speichern“.

7.9.2.2. Wie Sie einen vorhandenen Ansprechpartner löschen

Um einen neuen Ansprechpartner zu löschen, folgen Sie diesen Schritten:

  1. Melden Sie sich im ENX-Portal an.

  2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  3. Im Dropdown-Menü wählen Sie „ADMINISTRATOREN“.

  4. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit dem Ansprechpartner.

  5. Gehen Sie an das Ende der Tabellenzeile des Ansprechpartners und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  6. Wählen Sie „TISAX-Administrator löschen“.

  7. In der Bestätigungsabfrage klicken Sie auf die Schaltfläche „Löschen“.

7.9.2.3. Wie Sie einen vorhandenen Ansprechpartner aktualisieren

Um einen vorhandenen Ansprechpartner zu aktualisieren, folgen Sie diesen Schritten:

Um einen neuen Ansprechpartner hinzuzufügen, folgen Sie diesen Schritten:

  1. Melden Sie sich im ENX-Portal an.

  2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  3. Im Dropdown-Menü wählen Sie „ADMINISTRATOREN“.

  4. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit dem Ansprechpartner.

  5. Gehen Sie an das Ende der Tabellenzeile des Ansprechpartners und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  6. Wählen Sie „TISAX-Administrator bearbeiten“.

  7. Aktualisieren Sie die Daten.

  8. Klicken Sie auf die Schaltfläche „Kontakt speichern“.

7.9.3. Verwaltung von Standorten

Der Hauptansprechpartner Ihrer Firma und alle „administrativen Ansprechpartner“ mit persönlichen ENX-Portal-Konten können jederzeit im ENX-Portal folgendes beantragen:

Wir beschreiben die erforderlichen Schritte in den folgenden Abschnitten.

Icon für Info-Boxen

Bitte beachten Sie:

  • Bei TISAX definiert die Kombination von Firmenname und Anschrift einen „Standort“.

  • Jeder Standort hat eine „Location-ID“ (Location-IDs beginnen immer mit einem „L“ und sind sechs Zeichen lang; Beispiel: L1L3XY).

  • Wenn Ihre Firma von ihrer derzeitigen Adresse zu einer neuen Adresse umzieht, ist der alte Standort nicht länger ein gültiger Standort.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Sobald Sie im ENX-Portal die Schaltfläche „Standort speichern“ geklickt haben, können Sie ihn selbst nicht mehr ändern. Für die unten beschriebenen Situationen können Sie eine Änderung beantragen.

7.9.3.1. Wie Sie eine Änderung Ihres Firmennamens beantragen

Ihre Situation:

Ihre Firma hat ihren Firmennamen geändert.

Beispiel:

Der alte Firmenname lautet “ACME Reifen GmbH”.
Der neue Firmenname lautet “ACME  GmbH”.

Wenn Sie die Änderung Ihres Firmennamens beantragen wollen, folgen Sie bitte diesen Schritten:

  1. Melden Sie sich im ENX-Portal an.

  2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  3. Im Dropdown-Menü wählen Sie „STANDORTE“.

  4. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Standort.

  5. Gehen Sie an das Ende der Tabellenzeile Ihres Standorts und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  6. Wählen Sie „Antrag auf Änderung“.

  7. Im neuen Fenster (“ANTRAG AUF ÄNDERUNG”) gehen Sie zum Formularfeld „Gegenstand der Änderung“, öffnen das Dropdown-Menü und wählen „Firmenname“.

  8. Füllen Sie den Rest des Formulars aus.

  9. Übermitteln Sie das Formular.

Wir werden Ihren Antrag prüfen, den Antrag auf Namensänderung typischerweise akzeptieren und Sie informieren, sobald die Änderung erfolgt ist.

7.9.3.2. Wie Sie die Änderung eines Standorts beantragen

Ihre Situation:

Ihre Firma ist an einen neuen Standort umgezogen.

Beispiel:

Der alte Standort ist “ACME Corporation, Bockenheimer Landstraße 97-99, 60325 Frankfurt, Deutschland”.
Der neue Standort ist “ACME Corporation, Behrenstraße 35, 10117 Berlin, Deutschland”.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Wenn eine offizielle Behörde die Straße Ihres Standorts umbenannt hat, finden Sie weitere Informationen in Abschnitt 7.9.3.3, “Wie Sie die Änderung eines Straßennamens beantragen”.

Wenn einer Ihrer Standorte an eine neue Adresse umgezogen ist, folgen Sie bitte diesen Schritten:

  1. Erstellen Sie einen neuen Standort:

    1. Melden Sie sich im ENX-Portal an.

    2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

    3. Im Dropdown-Menü wählen Sie „STANDORTE“.

    4. Klicken Sie auf die Schaltfläche „TISAX Standort erstellen“.

    5. Im neuen Fenster („TISAX STANDORT ERSTELLEN“) füllen Sie das Formular mit den Details Ihres neuen Standorts aus.

    6. Klicken Sie auf die Schaltfläche „Standort speichern“.

  2. Merken Sie sich die „Standort-ID“ des neu erstellten Standorts. Sie finden die „Standort-ID“ in der ersten Spalte der Tabelle „MEINE STANDORTE“. Ihr Prüfdienstleister benötigt die „Standort-ID“, um Ihren Prüf-Scope im ENX-Portal zu aktualisieren.

  3. Informieren Sie Ihren Prüfdienstleister über den Umzug (Geben Sie ihm die „Standort-ID“ des alten und des neuen Standorts.).
    Haben Sie die Prüfung schon abgeschlossen?

    1. Wenn die Antwort NEIN ist, dann gibt es bezüglich der Änderung eines Standorts für Sie nichts mehr zu tun.

    2. Wenn die Antwort JA ist, dann müssen Sie eine „Scope-Erweiterungsprüfung“ bei Ihrem Prüfdienstleister beauftragen. Weitere Informationen finden Sie in Abschnitt 7.10, “Anhang: Scope-Erweiterungsprüfung”.

Der Prüfdienstleister wird Ihren Antrag prüfen und Ihren Prüf-Scope im ENX-Portal aktualisieren.

Icon für Info-Boxen

Bitte beachten Sie:

Ein Prüfdienstleister kann Ihren Prüf-Scope nur aktualisieren, wenn Sie bereits eine Prüfung bei diesem Prüfdienstleister beauftragt haben.

7.9.3.3. Wie Sie die Änderung eines Straßennamens beantragen

Ihre Situation:

Der Straßenname Ihres Standorts hat sich geändert. Ihre Firma befindet sich noch am selben Ort.

Beispiel:

Der alte Standort ist “ACME Corporation, Bockenheimer Landstraße 97-99, 60325 Frankfurt, Deutschland”.
Der neue Standort ist “ACME Corporation, Behrenstraße 97-99, 60325 Frankfurt, Deutschland”.

Wenn eine offizielle Behörde den Namen der Straße Ihres Standorts umbenannt hat, folgen Sie bitten diesen Schritten:

  1. Melden Sie sich im ENX-Portal an.

  2. Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.

  3. Im Dropdown-Menü wählen Sie „STANDORTE“.

  4. Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Standort.

  5. Gehen Sie an das Ende der Tabellenzeile Ihres Standorts und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten ENX portal icon down image.

  6. Wählen Sie „Antrag auf Änderung“.

  7. Im neuen Fenster (“ANTRAG AUF ÄNDERUNG”) gehen Sie zum Formularfeld „Gegenstand der Änderung“, öffnen das Dropdown-Menü und wählen „Adresse“.

  8. Füllen Sie den Rest des Formulars aus.

  9. Übermitteln Sie das Formular.

Wir werden Ihren Antrag prüfen, den Antrag auf Änderung des Straßennamens typischerweise akzeptieren und Sie informieren, sobald die Änderung erfolgt ist.

Icon für Wichtig-Boxen

Wichtiger Hinweis:

Diese Schritten gelten nur, wenn sich Ihre Firma noch am selben Ort befinden, aber eine offizielle Behörde den Namen der Straße geändert hat.
Wenn Sie an einen neuen Standort umgezogen sind, finden Sie weitere Informationen in Abschnitt 7.9.3.2, “Wie Sie die Änderung eines Standorts beantragen”.

7.9.3.4. Wie Sie einen weiteren Standort hinzufügen

Wenn Sie während der Gültigkeitsdauer Ihrer bestehenden TISAX-Labels einen zusätzlichen Standort eröffnen, können Sie eine „Scope-Erweiterungsprüfung“ (Icon der Flagge des Vereinigten Königreichs scope extension assessment) bei Ihrem Prüfdienstleister beantragen.

Weitere Informationen finden Sie in Abschnitt 7.10, “Anhang: Scope-Erweiterungsprüfung”.

7.10. Anhang: Scope-Erweiterungsprüfung

Neben den in Abschnitt 5.4.3, “TISAX-Prüfungstypen” beschriebenen Standard-Prüfungstypen gibt es einen weiteren speziellen Prüfungstyp: die Scope-Erweiterungsprüfung (Icon der Flagge des Vereinigten Königreichs scope extension assessment).

Sie können einen bestehenden TISAX-Prüf-Scope erweitern, wenn Sie einen oder mehrere:

  • Prüfziele oder

  • Standorte hinzufügen wollen.

Sie können keinen anderen Prüfdienstleister für die Durchführung einer „Scope-Erweiterungsprüfung“ auswählen. Die Prüfung ähnelt den anderen Prüfungstypen. Ihr Prüfdienstleister wird jedoch höchstwahrscheinlich die Wiederverwendung von Ergebnissen aus früheren Prüfungen in Betracht ziehen.

Sobald die Scope-Erweiterungsprüfung ohne Abweichungen abgeschlossen ist, wird Ihr Prüfdienstleister:

  • Ihren Prüf-Scope im ENX-Portal aktualisieren.

  • den „TISAX Assessment Bericht“ der Scope-Erweiterungsprüfung ausstellen.

Eine Scope-Erweiterungsprüfung verlängert nicht den ursprünglichen Gültigkeitszeitraum Ihrer bestehenden TISAX-Labels.

Icon für Info-Boxen

Bitte beachten Sie:

Wenn der Grund für die Scope-Erweiterungsprüfung entweder ein Umzug oder ein zusätzlicher Standort ist, müssen Sie den neuen Standort im ENX-Portal anlegen. Bitte geben Sie Ihrem Prüfdienstleister das „Location Excerpt“ oder zumindest die „Standort-ID“.
Jeder Standort hat eine „Location-ID“ (Location-IDs beginnen immer mit einem „L“ und sind sechs Zeichen lang; Beispiel: L1L3XY). Ihr Prüfdienstleister benötigt die Location-ID, um Ihr Prüfergebnis im ENX-Portal zu aktualisieren.

7.11. Anhang: ISA-Lebenszyklus-Management

Eine ENX-Arbeitsgruppe pflegt den ISA.

Diese Fakten sind möglicherweise interessant für Sie:

  • Der VDA veröffentlicht offiziell neue Versionen.

  • Der Prüfdienstleister verwendet die ISA-Version, die zum Zeitpunkt der Bestellung Ihrer Erstprüfung gültig ist.

  • In gegenseitigem Einvernehmen können Sie eine neuere ISA-Version verwenden, wenn diese zwischen Ihrer Bestellung und dem Beginn der Erstprüfung veröffentlicht wird.

  • Das Veröffentlichungsdatum einer bestimmten ISA-Version finden Sie in der Excel-Tabellenblatt "Deckblatt".

    • Beispiel:
      Version: 5.0 | Revision 4 | 2021-04-16

7.12. Anhang: Hilfreiche Dokumente

Dieser Abschnitt listet Dokumente auf, die wir als hilfreich erachten.

7.13. Anhang: Beschwerdemanagement

7.13.1. Beschwerdegründe

Unser Beschwerdemanagement unterscheidet diese zwei Bereiche:

  1. ENX Association — die Organisation, die TISAX steuert

  2. Prüfdienstleister — die Organisationen, die die TISAX-Prüfungen durchführen

7.13.1.1. Beschwerden über die ENX Association

Wenn Sie eine Beschwerde über die ENX Association haben, wenden Sie sich bitte an unseren "diensthabenden TISAX-Manager" (siehe Kontaktdaten unten).

7.13.1.2. Beschwerden über Prüfdienstleister

Zunächst sollten Sie versuchen, das Problem direkt mit dem Prüfer zu lösen.

Der nächste Schritt sollte die für TISAX zuständige Person beim Prüfdienstleister sein.

Danach wäre Ihr nächster Ansprechpartner der Verantwortliche für das Qualitätsmanagement beim Prüfdienstleister.

Wenn das Problem immer noch nicht gelöst ist, sollten Sie sich an unseren „diensthabenden TISAX-Manager“ wenden (siehe Kontaktdaten unten).

Es gibt noch weitere Möglichkeiten als den „diensthabenden TISAX-Manager“. In solchen Fällen sollten Sie mit dem Geschäftsführer der ENX Association sprechen.

Der VDA spielt beim Beschwerdemanagement keine Rolle.

Icon für Info-Boxen

Bitte beachten Sie:

Der Prüfdienstleister muss Sie im Kick-off-Meeting über Ihr Beschwerderecht informieren. Tut er das nicht, wäre dies bereits ein Grund für eine Beschwerde.

7.13.1.3. Anforderungen an Beschwerden

Wenn Sie uns einbeziehen möchten, benötigen wir die folgenden Informationen:

  • Wer beschwert sich?

    • Name des Unternehmens

    • TISAX-Teilnehmer-ID

    • Ansprechpartner (Name, E-Mail-Adresse, Telefonnummer)

  • Um welche Prüfung handelt es sich?

    • Assessment-ID

    • Wenn die Prüfung noch nicht im ENX-Portal erfasst ist: Scope-ID

  • Wer ist der Prüfdienstleister?

    • Firmenname des Prüfdienstleister

    • Name des/der Auditor(en)

  • Worüber beschweren Sie sich?

    1. Allgemeine Beschwerde über die Leistung des Prüfdienstleisters

    2. Beschwerde über die Vorgehensweise des Prüfers

    3. Beanstandung der inhaltlichen Bewertung

  • Bei Beschwerden über die inhaltliche Bewertung: Welche Feststellung beanstanden Sie?

    • Kontrollfrage (z. B. 1.6.1 "Inwieweit werden Informationssicherheitsereignisse verarbeitet?")

    • Feststellung (Volltext)

    • Einwand gegen:

      • Interpretation der Kontrollfrage

      • Inhaltliche Feststellungen (verfügbare Nachweise werden nicht korrekt bewertet)

      • Risikobewertung (Angemessenheit nicht berücksichtigt)

    • Begründung, warum Sie die Dinge anders bewerten

7.13.2. Ansprechpartner für Beschwerden

Bitte sprechen Sie den „diensthabenden TISAX-Manager“ an:

Schicken Sie ihm eine E-Mail an:

tisax-complaints@enx.com

Oder rufen Sie ihn an:

+49 69 9866927-79

Sie erreichen ihn zu den üblichen Geschäftszeiten in Deutschland (UTC+01:00).

Er spricht Icon der Flagge von Deutschland Deutsch und Icon der Flagge des Vereinigten Königreichs Englisch.

8. Dokumentenhistorie

Version 2.7.3


Version 2.7.2

  • Kaputten Link repariert


Version 2.7.1


Verion 2.7


Version 2.6

  • Allgemeiner Hinweis bezüglich der Prüfziele und Labels, die wir in dieser Version hinzugefügt haben: In früheren Versionen hatten die Prüfziele und Labels einen langen „offiziellen Namen“ und eine (englische) „Kurzform“ (Beispiel: „Umgang mit Informationen mit hohem Schutzbedarf“ und „Info high“). Da die meisten Leute fast nur die Kurzform verwendet haben, ist die Kurzform jetzt der „offizielle Name“. Der alte lange Name wird nun als „Beschreibung“ bezeichnet. Außerdem verwenden wir nur den englischen „offiziellen Namen“ im ENX-Portal und allen Übersetzungen des TISAX-Teilnehmerhandbuchs.

  • Abschnitt „Liste der Prüfziele“ aktualisiert mit den zwei Prüfzielen „High availability“ und „Very high availability“ und „Abbildung 6. TISAX-Prüfziele (tabellarische Darstellung, Langformen und Abkürzungen)“ entfernt

  • Abschnitt „Prüfziele und ISA“ aktualisiert, um der Tatsache zu entsprechen, dass nur eine Teilmenge des Kriterienkatalogs Informationssicherheit für die zwei Prüfziele „High availability“ und „Very high availability“ gilt

  • Abschnitt „Prüfziele und Ihre Abhängigkeiten“ entfernt

  • Abschnitt „Auswahl des Prüfziels“ aktualisiert mit den beiden Prüfzielen „High availability“ und „Very high availability“

  • Abschnitt „Schutzbedarfe und Assessment-Level“ aktualisiert mit den beiden Prüfzielen „High availability“ und „Very high availability“ und „Tabelle 5. Zuordnung der ISA-Kriterienkataloge und Schutzbedarfe zu den TISAX-Prüfzielen“ entfernt

  • Abschnitt „Kriterienkataloge“ aktualisiert mit den beiden Prüfzielen „High availability“ und „Very high availability“

  • Abschnitt „Anforderungen“ aktualisiert, um der Tatsache zu entsprechen, dass nur eine Teilmenge des Kriterienkatalogs Informationssicherheit für die zwei Prüfziele „High availability“ und „Very high availability“ gilt

  • Abschnitt „Hierarchie der TISAX-Label“ aktualisiert, um der Tatsache zu entsprechen, dass ab jetzt eine Hierarchie nur noch in wenigen Fällen besteht und „Abbildung 36. TISAX-Prüfziele und TISAX-Labels (Abhängigkeiten und Hierarchien)“ entfernt

  • Abschnitt „Anhang: Hilfreiche Dokumente“ aktualisiert, um Änderungen der Links zu entsprechen

  • Verschiedene kleinere Klarstellungen und Korrekturen

  • Tippfehler korrigiert


Version 2.5.1

  • Kaputte Links repariert


Version 2.5


Version 2.4


Version 2.3

  • Wechsel von Word/PDF zu HTML als primäres Format für das Handbuch

  • Weitere Übersetzungen verfügbar (Chinesisch und Französisch, siehe nächster Punkt)

  • Abschnitt “Das TISAX-Teilnehmerhandbuch in anderen Sprachen und Formaten” hinzugefügt

  • Alle Links auf die ENX-Homepage von "https://portal.enx.com" auf "https://enx.com" geändert (die alten Links funktionieren noch)

  • „VDA ISA“ wird zu „ISA“

  • Abschnitt Abschnitt 5.2, “Selbsteinschätzung auf Basis des ISA” aktualisiert, um Änderungen zu berücksichtigen, die durch den ISA in Version 5 eingeführt wurden

  • Zeilen aller Tabellen, die Prüfziele auflisten, neu sortiert, um der geänderten Reihenfolge der Kriterienkataloge im ISA 5 zu entsprechen

  • Abbildungen mit Prüfziel-Auflistungen aktualisiert, um der geänderten Reihenfolge der Kritierienkataloge im ISA 5 zu entsprechen

  • Abschnitt „Maßschneidern des Scopes“ aktualisiert (Abbildung 6, Tippfehler korrigiert, Prüfziele aktualisiert)

  • Abschnitt „Entgelt“ mit Informationen über Kreditkartenzahlungen aktualisiert

  • Abschnitt „TISAX-Prüfprozessdiagramm“ aktualisiert (Abbildung 34, Verweis auf Managed-Service-Provider entfernt)

  • Abschnitt „Anhang: Hilfreiche Dokumente“ aktualisiert (Whitepaper „Risikomanagement in der Informationssicherheit“ hinzugefügt)


Version 2.2.1

  • Tippfehler korrigiert


Version 2.2


Version 2.1.2

  • Formale Grenze für „Abstand“ zwischen „Ihrem Ergebnis“ und „maximalem Ergebnis“ korrigiert von 25 % auf 30 %


Version 2.1.1

  • Tippfehler korrigiert


Version 2.1





1. Vielleicht möchten Sie den TISAX-Prozess als Präventivmaßnahme durchlaufen. Einige Unternehmen tun dies, um besser vorbereitet zu sein. Bereits TISAX-geprüft zu sein kann eine wesentlich kürzere Anlaufphase bedeuten und Ihnen damit einen Vorteil gegenüber noch nicht TISAX-geprüften Wettbewerbern verschaffen.
2. „TISAX-Labels“ sind ein Konzept zur Zusammenfassung Ihres Prüfergebnisses und sind der Output des TISAX-Prozesses. Weitere Informationen finden Sie in Abschnitt 5.4.14, “TISAX-Labels”.
3. Die meisten Registrierungsschritte müssen Sie nur einmalig durchführen, wenn Sie als TISAX-Teilnehmer starten. Für die Erneuerung Ihres Prüfergebnisses müssen Sie Ihre Daten nur aktualisieren und bestätigen.
4. Wir werden Änderungen unserer AGBs im ENX-Portal veröffentlichen und dort registrierte Ansprechpartner benachrichtigen.
5. Dies gilt auch für alle anderen zusätzlichen Vereinbarungen (z. B. Verhaltenskodizes).
6. Bitte beachten Sie, dass Ihr Partner nicht automatisch über neue Berechtigungen informiert wird. Möglicherweise möchten Sie Ihren Partner benachrichtigen, sobald Ihr Prüfergebnis für Ihn verfügbar ist.
7. Wenn Sie auf diese Liste möchten, sprechen Sie uns bitte an.
8. Nachweise sind alles, was Ihre Aussagen unterstützt, dass Sie eine bestimmte Anforderung erfüllen. Nachweise sind hauptsächlich Dokumente. Sie werden mit Sicherheit interne Dokumentationen als Nachweise verwenden.
9. Interviews für Prüfungen mit Assessment-Level 2 werden in der Regel als Webkonferenz durchgeführt. Auf Wunsch können die Interviews vor Ort durchgeführt werden.
10. Das theoretische Minimum für vereinfachte Gruppenprüfungen sind drei Standorte.
11. Wenn Sie bereits wissen, dass Sie Ihr Informationssicherheitsmanagementsystem verbessern müssen, ist das empfohlene Minimum zwölf Standorte.
12. Um mögliche Verwechslungen zwischen Zahlen und Buchstaben (z. B. 8 und B) zu vermeiden, sind bestimmte Buchstaben in Participant-IDs nicht erlaubt. Allerdings können einige ältere Participant-IDs den Buchstaben „G“ enthalten.
13. Der ISA bezeichnet die Kriterienkataloge auch als „Module“.
14. Die zugrundeliegende Excel-Funktion finden Sie im Menüband „Daten“, Abschnitt „Gliederung“.
15. Haben Sie Prüfdienstleister für Ihr Unternehmen für ähnliche Prüfungen (wie ISO/IEC 27001), die ebenfalls an der Durchführung von TISAX-Prüfungen interessiert sind? Dann geben Sie Ihnen dieses Handbuch und sagen Sie ihnen, sie sollen uns ansprechen, um herauszufinden, welche Anforderungen ein TISAX-Prüfdienstleister erfüllen muss.
16. Prüfdienstleister, die nicht in unserer Auflistung enthalten sind, dürfen keine TISAX-Prüfungen durchführen.
17. Bei Verlassen des TISAX-Prozesses erhalten Sie keine TISAX-Labels.
18. Genau genommen gibt es einen vierten Typ: Die „Scope-Extension-Prüfung“. Da es sich hierbei um einen Sonderfall handelt, wird er im Anhang in Abschnitt 7.10, “Anhang: Scope-Erweiterungsprüfung” detailliert beschrieben.
19. Die „offizielle Eröffnungsbesprechung“ wird nur für die Erstprüfung detailliert beschrieben. Für die anderen TISAX-Prüfungen plant und gestaltet Ihr Prüfdienstleister diese Termine.
20. Einige Prüfdienstleister könnten den Begriff „Kick-off-Meeting“ synonym für die „offizielle Eröffnungsbesprechung“ verwenden.
21. Die „offizielle Abschlussbesprechung“ wird nur für die Erstprüfung detailliert beschrieben. Für die anderen TISAX-Prüfungen plant und gestaltet Ihr Prüfdienstleister diese Termine.
22. Wenn ein Streit nicht gelöst werden kann, haben Sie die Möglichkeit, das Problem zu eskalieren. Weitere Informationen finden Sie in Abschnitt 7.13, “Anhang: Beschwerdemanagement”.
23. Weitere Informationen zu Prüfmethoden und -intensitäten finden Sie in Abschnitt 4.3.3.5, “Schutzbedarfe und Assessment-Level”.
24. Wenn ein Streit nicht gelöst werden kann, haben Sie die Möglichkeit, das Problem zu eskalieren. Bitte sprechen Sie uns für weitere Details an.
25. Bitte beachten Sie, dass Ihr Gesamtprüfergebnis immer noch „Hauptabweichend“ sein kann, auch wenn Sie entsprechende Abhilfemaßnahmen definiert haben. Dies ist der Fall, wenn Ihre Maßnahmen nicht sofort wirksam werden (können).
26. Dies gilt natürlich nur für eine Erstprüfung, bei der keine Abweichungen festgestellt wurden. Sie brauchen keine Follow-up-Prüfung für eine Erstprüfung mit dem Prüfergebnis „Konform“.
27. Theoretisch kann dies neun Monate nach dem Abschluss der Erstprüfung sein.
28. Genau genommen gibt es einen vierten Typ: Die „Scope-Extension-Prüfung“. Da es sich hierbei um einen Sonderfall handelt, wird er im Anhang in Abschnitt 7.10, “Anhang: Scope-Erweiterungsprüfung” detailliert beschrieben.
29. Der „TISAX Assessment Bericht“ basiert auf einer Vorlage, zu deren Verwendung alle TISAX-Prüfdienstleister verpflichtet sind.
30. Das Wort "Erneuerung" kann irreführend sein. Um ein TISAX-Label für mehr als drei Jahre zu behalten, müssen Sie den TISAX-Prozess erneut durchlaufen. Dies beginnt mit der Registrierung eines neuen Prüf-Scopes.
31. Wir führen keine „TISAX-öffentliche“ Liste der Participant-IDs. Der Grund dafür ist, dass wir einem versehentlichen Teilen aufgrund von ähnlich klingenden Firmennamen oder anderen „menschlichen Fehlern“ vorbeugen möchten. Daher müssen Sie immer die Participant-ID Ihres Partners direkt bei ihm erfragen.
32. Ihr Partner muss sich im ENX-Portal anmelden und aktiv Ihr Prüfergebnis nachschlagen. Ihr Partner erhält keine automatisierte Benachrichtigung über neue geteilte Prüfergebnisse.
33. Die Regel ist in den „TISAX Allgemeine Teilnahmebedingungen“ (TISAX-Teilnehmer-AGBs) definiert (https://enx.com/tisaxgtcde.pdf).
35. „TISAX-Labels“ sind ein Konzept zur Zusammenfassung Ihres Prüfergebnisses und sind der Output des TISAX-Prozesses. Weitere Informationen finden Sie in Abschnitt 5.4.14, “TISAX-Labels”.