Informationssicherheit in der Automobilindustrie
Informationssicherheit in der Automobilindustrie
Viele Lieferanten und Serviceanbieter der Automobilindustrie verarbeiten hochsensible Kundendaten. Deshalb fordern die Kunden regelmässig einen Nachweis über die Einhaltung der strengen Anforderungen an die Informationssicherheit.
In den meisten Fällen werden solche Nachweise mithilfe der vom deutschen Verband der Automobilindustrie (VDA) entwickelten Kriterienkataloge zur Bewertung der Informationssicherheit (ISA – Information Security Assessment) – kurz VDA-ISA genannt – erbracht. Da einzelne Hersteller die besagte Bewertung nach VDA-ISA bisher voneinander unabhängig für ihre Lieferanten durchgeführt haben, mussten viele Lieferanten mehrmals dieselbe Bewertung durchlaufen.
Um diese unnötigen Bemühungen und Kosten einzudämmen, hat der VDA Anfang 2017 die Plattform TISAX (Trusted Information Security Assessment Exchange) als neuen Bewertungs- und Austauschmechanismus eingerichtet. Die spezialisierte Online-Plattform TISAX soll einer unternehmensübergreifenden Anerkennung der Informationssicherheits- Bewertung in der Automobilindustrie dienen. Durch die Veröffentlichung ihrer ISA-Ergebnisse online per TISAX ermöglichen die Unternehmen den Erstausrüstern (OEM), eigenständig zu prüfen, ob ein Serviceanbieter oder Lieferant bereits positiv bewertet wurde. Darüber hinaus kann TISAX auch von Prüfdienstleistern wie TÜV SÜD zur Durchführung einer Bewertung genutzt werden. Die Ergebnisse einer solchen Bewertung sind drei Jahre lang gültig.
Nach der Registrierung können Unternehmen und Prüfdienstleister auf die Plattform zugreifen und Informationen miteinander austauschen. Der VDA hat sich für ENX Association als TISAX-Betreiber und Drittanbieter entschieden.
Die Teilnehmer der TISAX-Plattform können folgende Vorteile nutzen:
Die Bewertungen dürfen nur von speziell für TISAX zugelassenen Prüfdienstleistern vorgenommen werden.
TÜV SÜD durchläuft derzeit das Zulassungsverfahren und ist berechtigt, TISAX-Bewertungen vorzunehmen.
Wichtig für Sie: Sie behalten jederzeit die Kontrolle über Ihre Ergebnisse. Diese Daten dürfen nur nach vorheriger Genehmigung ausgetauscht und weitergegeben werden.
Es gibt drei Assessment-Level:
Level 1: Standardlieferanten müssen nur den ISA-Fragebogen ausfüllen und die Eigenbewertung auf der TISAX-Plattform veröffentlichen.
Level 2: Bei komplexeren Lieferanten folgen auf die Selbstbewertung nach Zufallsprinzip durchgeführte telefonische Plausibilitätsprüfungen durch einen zugelassenen Prüfdienstleister.
Level 3: Lieferanten, die hochsensible externe Daten verarbeiten, werden vor Ort von einem zugelassenen Prüfdienstleister auf Grundlage ihrer Eigenbewertung überprüft.
Im 1. Schritt werden Lieferanten von einem Erstausstatter/Kunden je nach Sensibilität der betroffenen Daten klassifiziert.
Im nächsten Schritt erfolgt die Registrierung bei ENX, einschliesslich der Scope-Nummer.
TÜV SÜD führt die Bewertung gemäß dem geforderten Level durch.
Das bewertete Unternehmen erhält ein Gutachten von den TÜV-SÜD-Prüfern.
Das bewertete Unternehmen beseitigt erkannten Schwachstellen.
Das ausgefüllte Gutachten wird auf die Austauschplattform hochgeladen. Der Austausch dieser Zusammenfassungen ist nur zwischen registrierten Teilnehmern und erst dann möglich, nachdem das bewertete Unternehmen die Ergebnisse ausdrücklich für das Antragstellerunternehmen freigegeben hat.
Schreiben Sie uns direkt eine E-Mail an [email protected]
Weltweit
Global
Americas
Asia
Europe
Middle East and Africa
