Wählen Sie ein anderes Land, um sich über die Services vor Ort zu informieren

//Land auswählen

TISAX

Informationssicherheit in der Automobilindustrie

Worum geht es in der TISAX?

 

Viele Lieferanten und Serviceanbieter der Automobilindustrie verarbeiten hochsensible Kundendaten. Deshalb fordern die Kunden regelmässig einen Nachweis über die Einhaltung der strengen Anforderungen an die Informationssicherheit.

 

In den meisten Fällen werden solche Nachweise mithilfe der vom deutschen Verband der Automobilindustrie (VDA) entwickelten Kriterienkataloge zur Bewertung der Informationssicherheit (ISA – Information Security Assessment) – kurz VDA-ISA genannt – erbracht. Da einzelne Hersteller die besagte Bewertung nach VDA-ISA bisher voneinander unabhängig für ihre Lieferanten durchgeführt haben, mussten viele Lieferanten mehrmals dieselbe Bewertung durchlaufen.

 

Um diese unnötigen Bemühungen und Kosten einzudämmen, hat der VDA Anfang 2017 die Plattform TISAX (Trusted Information Security Assessment Exchange) als neuen Bewertungs- und Austauschmechanismus eingerichtet. Die spezialisierte Online-Plattform TISAX soll einer unternehmensübergreifenden Anerkennung der Informationssicherheits- Bewertung in der Automobilindustrie dienen. Durch die Veröffentlichung ihrer ISA-Ergebnisse online per TISAX ermöglichen die Unternehmen den Erstausrüstern (OEM), eigenständig zu prüfen, ob ein Serviceanbieter oder Lieferant bereits positiv bewertet wurde. Darüber hinaus kann TISAX auch von Prüfdienstleistern wie TÜV SÜD zur Durchführung einer Bewertung genutzt werden. Die Ergebnisse einer solchen Bewertung sind drei Jahre lang gültig.

 

Nach der Registrierung können Unternehmen und Prüfdienstleister auf die Plattform zugreifen und Informationen miteinander austauschen. Der VDA hat sich für ENX Association als TISAX-Betreiber und Drittanbieter entschieden.

 

Die Teilnehmer der TISAX-Plattform können folgende Vorteile nutzen:

  • Beauftragung von Bewertungen bei zugelassenen Serviceanbietern
  • Austausch der Ergebnisse abgeschlossener Bewertungen mit anderen Teilnehmern
  • Anzeigen der Ergebnisse anderer Teilnehmer

 

Ihre Vorteile im Überblick

  • Vermeidung von doppelter oder mehrfacher Bewertung
  • Erhebliche Zeit- und Kosteneinsparungen dank unternehmensübergreifender Anerkennung von Bewertungen und Daten 
  • Vertrauen in die bewerteten Unternehmen

Die Bewertungen dürfen nur von speziell für TISAX zugelassenen Prüfdienstleistern vorgenommen werden.

 

TÜV SÜD durchläuft derzeit das Zulassungsverfahren und ist berechtigt, TISAX-Bewertungen vorzunehmen.

 

Wichtig für Sie: Sie behalten jederzeit die Kontrolle über Ihre Ergebnisse. Diese Daten dürfen nur nach vorheriger Genehmigung ausgetauscht und weitergegeben werden.

 

 

Was sind die unterschiedlichen Assessment-Level?

 

Es gibt drei Assessment-Level:

 

Level 1: Standardlieferanten müssen nur den ISA-Fragebogen ausfüllen und die Eigenbewertung auf der TISAX-Plattform veröffentlichen.

 

Level 2: Bei komplexeren Lieferanten folgen auf die Selbstbewertung nach Zufallsprinzip durchgeführte telefonische Plausibilitätsprüfungen durch einen zugelassenen Prüfdienstleister.

 

Level 3: Lieferanten, die hochsensible externe Daten verarbeiten, werden vor Ort von einem zugelassenen Prüfdienstleister auf Grundlage ihrer Eigenbewertung überprüft.

 

 

Die Bewertung in 6 Schritten

 

Schritt 1: Klassifizierung

Im 1. Schritt werden Lieferanten von einem Erstausstatter/Kunden je nach Sensibilität der betroffenen Daten klassifiziert.

 

Schritt 2: Registrierung

Im nächsten Schritt erfolgt die Registrierung bei ENX, einschliesslich der Scope-Nummer.

 

Schritt 3: Bewertung

TÜV SÜD führt die Bewertung gemäß dem geforderten Level durch.

 

Schritt 4: Prüfgutachten

Das bewertete Unternehmen erhält ein Gutachten von den TÜV-SÜD-Prüfern.

 

Schritt 5: Beseitigung von Schwachstellen

Das bewertete Unternehmen beseitigt erkannten Schwachstellen.

 

Schritt 6: Hochladen des Gutachtens

Das ausgefüllte Gutachten wird auf die Austauschplattform hochgeladen. Der Austausch dieser Zusammenfassungen ist nur zwischen registrierten Teilnehmern und erst dann möglich, nachdem das bewertete Unternehmen die Ergebnisse ausdrücklich für das Antragstellerunternehmen freigegeben hat.

 

 

IHR ANSPRECHPARTNER IN DER SCHWEIZ

Oliver Pascal Streng

Head of Management Services

[email protected]

Wie können wir Ihnen weiterhelfen?

Weltweit

Global

Americas

Asia

Europe

Middle East and Africa