Sie oder Ihr Unternehmen möchte mit der Automobilbranche zusammenarbeiten? Dann brauchen Sie eine TISAX Zertifizierung für Ihr Unternehmen. Sie wissen aber nicht, wie Sie vorgehen sollen? Keine Sorge, das erscheint anfangs komplizierter, als es ist. Hier erfahren Sie die wichtigsten Grundlagen.
Brauchen Sie TISAX Beratung oder Unterstützung?
Gap Analyse, Maßnahmenplanung, Auditvorbereitung und -begleitung für TISAX.
Buchen Sie gerne einen kostenlosen und unverbindlichen Termin!
Was ist TISAX?
TISAX steht für “Trusted Information Security Assessment Exchange”.
Die TISAX Zertifizierung ist ein wichtiger Schritt für Ihr Unternehmen, wenn Sie in der Automobilindustrie tätig sind oder mit ihr zusammenarbeiten möchten.
TISAX wurde vom Verband der Automobilindustrie (VDA) und der ENX Association entwickelt, um einheitliche Sicherheitsstandards in der Lieferkette von Automobilherstellern zu schaffen.
Durch die erfolgreiche TISAX Prüfung wird gewährleistet, dass Ihr Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) implementiert hat und den Anforderungen der Automobilindustrie wird.
TISAX schafft einen Prüf- und Austauschmechanismus für Informationssicherheitsstandards zwischen Automobilherstellern, Lieferanten und Dienstleistern und erzeugt damit ein Vertrauensverhältnis.
Die Ergebnisse einer erfolgreichen TISAX Prüfung können über das ENX Portal mit anderen Unternehmen glaubwürdig und zuverlässig geteilt werden. Die Notwendigkeit für eine separate Überprüfung der Echtheit von Zertifikaten entfällt damit.
Auf diese Weise ist sichergestellt, dass Ihr Unternehmen die Anforderungen bezüglich der Informationssicherheit in der Automobilbranche erfüllt.
Warum eine TISAX Zertifizierung?
TISAX ist für Ihr Unternehmen von großer Bedeutung, wenn Sie im Bereich Automobil- und Zulieferindustrie tätig sind.
Wahrscheinlich wird TISAX von einem Automobilhersteller gefordert, den Sie als Kunden für Ihr Unternehmen gewinnen möchten. Oder Sie sind bereits in Vertragsverhandlungen und TISAX wird als Voraussetzung für die Zusammenarbeit genannt.
Durch die TISAX Zertifizierung können Sie nachweisen, dass ihre Informationssicherheit den hohen Anforderungen der Branche entspricht.
Sie beweist, dass Sie sich mit dem Thema Informationssicherheit im Unternehmen auseinandersetzen und dafür sorgen, dass die Daten der Kunden geschützt sind.
Eine erfolgreiche TISAX Zertifizierung kann das Vertrauen in Ihr Unternehmen stärken und helfen, neue Geschäftsfelder und Märkte zu erschließen.
Eine TISAX Zertifizierung bietet daher nicht nur eine erhöhte Sicherheit für Ihr Unternehmen, sondern auch einen Wettbewerbsvorteil in der Automobilbranche.
Gleichzeitig gibt die TISAX Zertifizierung eine klare Orientierungshilfe und dient quasi als Blaupause bei der Implementierung eines Informationssicherheitsmanagementsystems.
Was wird bei TISAX geprüft?
Der Standard, nach dem bei TISAX geprüft wird, ist der VDA ISA Katalog. ISA steht für „Information Security Assessments“.
Der VDA ISA Katalog wird im Excel-Format veröffentlicht und regelmäßig aktualisiert.
Diese Excel Datei dient gleichzeitig als Nachschlagewerk und als Arbeitsmappe. In ihr können alle wichtigen Schritte zur Auditierung (Gap Analyse, Maßnahmenplan, Selbstauskunft, Dokumentation der Auditergebnisse) abgebildet werden.
In diesem Katalog gibt es drei Kategorien: Informationssicherheit, Prototypenschutz und Datenschutz.
Jede der drei Kategorien enthält eigene Controls zu den für die Kategorie wichtigen Thematiken. Es gibt beispielsweise in der Kategorie Informationssicherheit ein Control zum Thema Informationssicherheitsrichtlinien.
Zu jedem Control enthält der VDA ISA Katalog unter anderem eine einleitende Frage, das Ziel des Controls und die zu erfüllenden Anforderungen.
Die Anforderungen sind unterteilt in MUSS und SOLL. Bei beidem handelt es sich um Pflichtanforderungen, mit dem Unterschied, dass SOLL Anforderungen bei gutem Grund und sinnvoller Argumentation entfallen können. Das ist aber nicht die Regel.
In der Kategorie Informationssicherheit gibt es Zusatzanforderungen für die Schutzbedarfe hoch und sehr hoch. Beim Prototypenschutz existieren außerdem Anforderungen für Fahrzeuge, die als schutzbedürftig eingestuft sind.
Welche Kategorie und welcher Schutzbedarf erfüllt sein muss, bestimmt das geforderte Prüfziel, welches vom Automobilhersteller für Sie vorgegeben wird.
Prüfziel | VDA ISA Kategorie | Anforderungen |
Info high* | Informationssicherheit | MUSS, SOLL und HOCH |
Info very high* | MUSS, SOLL, HOCH und SEHR HOCH | |
Confidential* | MUSS, SOLL und HOCH (mit "C" für Confidential) | |
Strictly confidential* | MUSS, SOLL, HOCH und SEHR HOCH (mit "C" für Confidential) | |
High availability | MUSS, SOLL und HOCH (mit "A" für Availability) | |
Very high availability | MUSS, SOLL, HOCH und SEHR HOCH (mit "A" für Availability) | |
Proto parts | Prototypenschutz | Controls 8.1, 8.2 und 8.3 MUSS und SOLL |
Proto vehicles | Controls 8.1, 8.2 und 8.3 MUSS, SOLL und Zusatzanforderung schutzbedürftige Fahrzeuge | |
Test vehicles | Controls 8.2, 8.3 und 8.4 MUSS und SOLL | |
Proto events | Controls 8.2, 8.3 und 8.5 MUSS und SOLL | |
Data | Datenschutz | MUSS und in Informationssicherheit HOCH (mit "C" für Confidential) |
Special data | MUSS und in Informationssicherheit HOCH und SEHR HOCH (mit "C" für Confidential) |
*Die neuen Prüfziele „Confidential“ und „Strictly confidential“ gelten ab 1. April 2024 und sind erst dann verfügbar. Die Prüfziele „Info high“ und „Info very high“ stehen ab dem 31. März 2024 nicht mehr zur Verfügung. Dazu später mehr.
TISAX Reifegrade
In TISAX gibt es sechs Reifegrade, um den Grad der Implementierung einer Anforderung zu bewerten. Die Reifegrade, auch maturity level (ML) genannt, werden auf einer ganzzahligen Skala von 0 bis 5 bewertet. Dabei ist 0 die schlechteste und 5 die beste Bewertung.
Reifegrad | Bezeichnung | Beschreibung |
0 | Unvollständig | Es gibt keinen Prozess, es wird kein bestimmter Prozess befolgt oder der angewandte Prozess erweist sich als ungeeignet, um der Anforderung gerecht zu werden. |
1 | Durchgeführt | Es gibt einen informellen Prozess, der nicht oder unzureichend dokumentierten ist. Es gibt Anhaltspunkte dafür, dass dieser Prozess sein Ziel erreicht. |
2 | Gesteuert | Es gibt einen Prozess gefolgt, der erfolgreich seine Ziele erreicht. Es gibt eine Prozessdokumentation und Nachweise, dass der Prozess durchgeführt wird. |
3 | Etabliert | Es gibt einen Standardprozess, der in das Gesamtsystem integriert ist. Die Abhängigkeiten zu anderen Prozessen sind dokumentiert und es gibt geeignete Schnittstellen. Nachweise belegen, dass der Prozess über einen längeren Zeitraum genutzt wurde. |
4 | Vorhersagbar | Es gibt einen etablierten Prozess, dessen Effektivität durch kontinuierliche Überwachung mittels Kennzahlen (KPI) sichergestellt wird. Eine Definition von Grenzwerten erlaubt die Einschätzung, ob der Prozess wirksam ist oder ob Anpassungen vorgenommen werden müssen. |
5 | Optimierend | Es wird einem Prozess gefolgt, der vorhersagbar ist und bei dem die kontinuierliche Verbesserung ein wesentliches Ziel ist. Dedizierte Ressourcen sind aktiv für die Verbesserung zuständig. |
Das Ziel ist es in jedem Control einen TISAX Reifegrad von 3 zu erreichen. Der VDA ISA Katalog errechnet aus den einzelnen Reifegraden einen Gesamtreifegrad. Dieser kann nie über 3 liegen, selbst wenn der Durchschnitt der Reifegrade über 3 liegt. Der VDA ISA Katalog nimmt also eine sogenannte „Kürzung“ von höheren TISAX Reifegraden vor.
Das Bestehen der TISAX Prüfung hängt aber nicht nur von dem rein rechnerischen Wert ab. Es liegt auch im Ermessen des Auditors. Grob kann man sagen, dass ein Reifegrad über 2,7 ausreichend ist, um die TISAX Zertifizierung zu erhalten, sofern keine Abweichungen festgestellt werden.
Es ist möglich, eine TISAX-Prüfung erfolgreich zu bestehen, auch wenn Sie nicht bei allen Fragen den Zielreifegrad erreichen. Die entscheidende Frage in solchen Fällen ist, ob Sie ein relevantes Risiko haben. Wenn Ihr Reifegrad unter dem Zielwert liegt, aber kein Risiko besteht, kann dies dennoch ausreichend sein.
[…]
Für das Gesamtergebnis gibt es formale Grenzen für einen akzeptablen „Abstand“ zwischen Ihrem Ergebnis und dem maximalen Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“).
Wenn Ihr Ergebnis mehr als:
https://portal.enx.com/handbook/tisax-teilnehmerhandbuch.html#ID3438
- 10 % darunter liegt, wird das Gesamtprüfergebnis „Nebenabweichend“ sein.
- 30 % darunter liegt, wird das Gesamtprüfergebnis „Hauptabweichend“ sein.
TISAX Konformität
Ziel der TISAX Prüfung und Aufgabe des Prüfdienstleisters ist es, die Konformität Ihres Informationssicherheitsmanagementsystems (ISMS) festzustellen. Hierzu wird Ihr ISMS mit den Anforderungen aus dem VDA ISA Katalog abgeglichen.
Werden die Anforderungen erfüllt, haben Sie bestanden und erhalten die TISAX Zertifizierung. Ihr ISMS ist somit TISAX konform.
Sollte festgestellt werden, dass Ihr ISMS von den Anforderungen abweicht, wird die in einer sogenannten „Feststellung“ dokumentiert.
TISAX kennt vier Arten von Feststellungen: „Hauptabweichung“, „Nebenabweichung“, „Beobachtung“ und „Identifiziertes Verbesserungspotenzial“. Dabei verhindert die Feststellung von Haupt- und Nebenabweichungen das Bestehen der TISAX Zertifizierung.
Art | Definition |
Hauptabweichung | Eine Hauptabweichung stellt ein erhebliches unmittelbares Risiko für die Informationssicherheit dar oder beeinflusst die Gesamtwirksamkeit des ISMS. |
Nebenabweichung | Eine Nebenabweichung stellt kein erhebliches unmittelbares Risiko für die Informationssicherheit dar und beeinflusst nicht die Gesamtwirksamkeit des ISMS. |
Beobachtung | Eine Beobachtung stellt eine Nichteinhaltung der Anforderungen oder der geprüften Richtlinien dar, die kein unmittelbares Risiko für die Informationssicherheit bedeutet, was aber in der Zukunft der Fall sein könnte. |
Identifiziertes Verbesserungspotenzial | Eine Feststellung, die kein Risiko für die Informationssicherheit darstellt, aber Verbesserungspotenzial bietet. |
Das Gesamtprüfergebnis wird Ihnen im Audit Interview mitgeteilt und besprochen. Es gibt „konform“, „nebenabweichend“ und „hauptabweichend“.
Abweichungen müssen zum endgültigen Bestehen der TISAX Prüfung beseitigt werden. Hier muss durch einen Maßnahmenplan oder angemessene Kompensationsmaßnahmen die Konformität wieder hergestellt werden. Logischerweise ist das bei Hauptabweichungen schwieriger als bei Nebenabweichungen.
Sofern die Abweichung aufgrund fehlerhafter oder fehlender Dokumentation festgestellt wurde, kann sie auch durch Argumentation und ad hoc Nachweis im Audit Interview „wegdiskutiert“ werden.
Welche TISAX Label gibt es?
Das TISAX Label ist die offizielle Bestätigung für die Erfüllung des geforderten Prüfziels. Label und Prüfziel sind eng verknüpft. Wenn das vorgegebene Prüfziel „Confidential“ lautet, wird Ihr Label hinterher auch „Confidential“ sein.
Im Allgemeinen wird das Prüfziel durch den für Sie relevanten Automobilhersteller festgelegt.
Mit der VDA ISA Version 6 wurden neue Prüfziele eingeführt und die bestehenden Prüfziele „Info High“ und „Info Very High“ aufgespalten.
In Bezug auf das CIA Schutzziel Verfügbarkeit wurden die Label „High availability“ und „Very high availability“ eingeführt. Dies dient zur Adressierung von Risiken in der Lieferkette. Beispielsweise durch eine bestimmte Bedrohung, die immer mehr an Bedeutung gewinnt: Angriffe durch Ransomware.
Obwohl Ransomware auch eine Bedrohung für die Vertraulichkeit von Informationen darstellt, ist der Schaden durch den Ausfall der Verfügbarkeit und Lieferfähigkeit für die Automobilindustrie in vielen Fällen größer.
Als nächster logische Schritt wurde das Schutzziel Vertraulichkeit ebenfalls aus den bisherigen TISAX Labels ausgeführt in die neuen Labels „Confidential“ und „Strictly confidential“.
bisheriges TISAX Label | wird zu neuen Labels |
Info high | High availability |
Confidential | |
Info very high | Very high availability |
Strictly confidential |
Diese Veränderungen führen zu einer Hierarchie der TISAX Labels. Da sich die Anforderungen einiger Labels nun überschneiden, erhält man mit erfolgreicher Prüfung alle Labels, deren Anforderungen ebenfalls erfüllt sind. Beispielsweise erfüllt das Prüfziel „Very high availability“ die Anforderungen für die Label „High availability“ und „Very high availability“. Deshalb erhalten Sie mit erfolgreicher Prüfung beide TISAX Labels.
Prüfziel | enthaltene TISAX Label |
Info high | Info high |
Confidential | |
High availability | |
Info very high | Info high |
Info very high | |
Confidential | |
Strictly confidential | |
High availability | |
Very high availability | |
Strictly confidential | Confidential |
Strictly confidential | |
Very high availability | High availability |
Very high availability | |
Secial data | Data |
Bei TISAX gibt es zwei Arten von Label: Das temporäre und das permanente Label.
Wenn Ihr ISMS im ersten Audit Anlauf noch Nebenabweichungen vom VDA ISA Katalog aufweist, können Sie in einer Follow-up-Prüfung nachbessern. Hierzu müssen Sie einen plausiblen und angemessenen Maßnahmenplan definieren. Bis dahin erhalten Sie das temporäre TISAX Label.
Das hat den Vorteil, dass Sie dem Automobilhersteller bei dringender Erfüllung des TISAX Prüfziels bereits eine Art Zwischenstand übermitteln können.
Mit erfolgreicher TISAX Prüfung ohne Abweichungen erhält Ihr Unternehmen das permanente TISAX Label.
TISAX Assessment-Level
Bei der TISAX Zertifizierung gibt es drei Assessment-Level: AL 1, AL 2 und AL 3.
Das Assessment-Level gibt vor, welche Art der Prüfung der Prüfdienstleister anwenden muss. Ein höheres Assessment-Level führt zu einem erhöhten Aufwand bei der Prüfung.
Es kann sein, dass ein Automobilhersteller Sie auffordert, die Prüfung mit einem bestimmten Assessment-Level durchzuführen. Gleichzeitig ist bei bestimmten Prüfzielen das Assessment-Level vorgegeben.
Assessment Level | Ziel | Erstellen der Selbstauskunft | Abgabe der Dokumentation | Audit Interview | Art der Prüfung | Voraussetzung für Prüfziel |
AL 1 | internes Audit | ja | nein | nein | Prüfung des Vorhandenseins der Selbstauskunft | keines |
AL 2 | normales Audit | ja | ja | ja, remote | Prüfung der Plausibilität der Selbstauskunft und Dokumentation, Audit Interview zur Besprechung der Findings und Ergebnisse | Informationen mit hohem Schutzbedarf (Info high) |
Datenschutz | ||||||
AL 3 | umfassendes Audit | ja | ja | ja, vor Ort | Detailierte Prüfung der Selbstauskunft und Dokumentation, Audit Interview zur Prüfung der Angaben aus der Selbstauskunft und zur Besprechung der Findings und Ergebnisse | Informationen mit sehr hohem Schutzbedarf (Info very high) |
Prototypenschutz | ||||||
Datenschutz von personenbezogenen Daten besonderer Kategorie |
Assessment-Level 1 (AL 1)
AL 1 ist streng genommen kein richtiges Audit. Hier wird lediglich das Vorhandensein und die Vollständigkeit der Selbstauskunft geprüft. Auf die Inhalte wird dabei nicht eingegangen.
Diese Form der Prüfung dient lediglich internen Zwecken, hat eine geringe Bedeutung und wird kaum genutzt.
Assessment-Level 2 (AL 2)
Bei AL 2 prüft der Prüfdienstleister nicht nur das Vorhandensein und die Vollständigkeit der Selbstauskunft, sondern geht auch auf die Inhalte und die mitgelieferte Dokumentation ein. Er führt einen sogenannten Plausibilitätscheck durch. Sprich: Passen die Dokumentation und die Nachweise zu den Angaben in der Selbstauskunft?
Sofern Sie es nicht anders wünschen, kann das auch aus der Ferne, also remote geschehen.
Assessment-Level 3 (AL 3)
AL 3 ist die intensivste Form der Prüfung bei TISAX. Hier nimmt der Prüfdienstleister eine detaillierte Prüfung der Dokumentation und Selbstauskunft vor und prüft die Richtigkeit der Angaben in Interviews vor Ort.
Wie lange ist eine TISAX Zertifizierung gültig?
Ein TISAX Label ist drei Jahre lang gültig. Der Zeitraum der Gültigkeit beginnt mit dem Ende der Prüfung.
Das genaue Gültigkeitsdatum können Sie dem entsprechenden Scope im ENX Portal entnehmen.
Sollte sich etwas in Bezug auf den Scope ändern, etwa die Rechtsform Ihres Unternehmens, kann die Gültigkeitsdauer davon beeinflusst werden, sprich sich verkürzen.
Bei TISAX gibt es keine jährliche Prüfung. Ihr Unternehmen muss alle drei Jahre den kompletten Prüfprozess wiederholen, um das TISAX Label zu halten. Lediglich die initiale Registrierung im ENX Portal fällt weg.
Die ENX empfiehlt die Einrichtung einer Erinnerung im Kalender und den Beginn der neuen TISAX Zertifizierung mindestens ein Jahr vor Ablauf der aktuellen Gültigkeit.
Schritt für Schritt zur TISAX Zertifizierung
Der Weg zur TISAX Zertifizierung ist sehr strukturiert und gut planbar.
Wenn Sie sich für eine TISAX Zertifizierung entschieden haben, lassen Sie idealerweise eine Gap Analyse durchführen. Diese zeigt Ihnen auf, welche Lücken Sie bis zum Audit schließen müssen und liefert Ihnen einen konkreten Maßnahmenplan.
Für den ersten offiziellen Schritt im TISAX Universum müssen Sie sich zunächst im ENX Portal registrieren und werden dadurch zum TISAX Teilnehmer.
Anschließend erstellen Sie im Portal einen TISAX Assessment Scope nach den Vorgaben des Prüfziels vom Automobilhersteller. Sollten Sie keine Vorgaben erhalten haben, müssen Sie diese unbedingt abklären. Nur so ist sichergestellt, dass Sie die Anforderungen des Automobilherstellers erfüllen und zusätzliche Aufwände vermeiden.
Durch das Erstellen eines TISAX Assessment Scope erhalten Sie eine Scope ID. Mit dieser ID können Sie bei einem anerkannten Prüfdienstleister eine Prüfung beauftragen.
Das ENX Portal liefert eine Übersicht aller anerkannten Prüfdienstleister.
Sobald Sie einen Prüfdienstleister beauftragt haben, wird dieser Sie über die Details der Prüfung aufklären. Meist bekommen Sie in einem Kick-off Termin alles Wichtige vermittelt. Sie können auch das TISAX Handbuch als Informationsquelle nutzen.
Der Prüfdienstleister darf Sie nicht beraten. Bei TISAX herrscht eine strikte Trennung zwischen Beratungs- und Prüfungsdienstleister, um Interessenkonflikte zu vermeiden.
Nun sollten Sie mit dem Ausfüllen des VDA ISA Katalogs beginnen. Der ausgefüllte Katalog ist Ihre Selbstauskunft und dient dem Prüfdienstleister als Prüfungsgrundlage.
Darin beschreiben Sie Ihr Informationssicherheitsmanagementsystem (ISMS) und referenzieren alle wichtigen Dokumente und Nachweise. Eine ausführliche Beschreibung und optimale Gestaltung der Dokumentationsstruktur erspart zusätzliche Aufwände und erhöht die Wahrscheinlichkeit, die Prüfung zu bestehen, immens!
Hier die Schritte zur TISAX Zertifizierung als übersichtliche Liste:
- Entscheidung für TISAX
- Gap Analyse & Maßnahmenplan
- Maßnahmenumsetzung
- Registrierung ENX Portal
- TISAX Scope erstellen
- Mit Scope ID Prüfdienstleister beauftragen
- Erstellen der Selbstauskunft / VDA ISA Katalog ausfüllen
- Abgabe der Selbstauskunft und Dokumentation
- Audit und Prüfergebnis
- evtl. Follow-up-Prüfung
TISAX Zertifizierung Kosten
Die Kosten für die TISAX Zertifizierung variieren je nach individuellen Gegebenheiten eines Unternehmens. Mehrere Faktoren beeinflussen die Gesamtkosten, darunter:
- Größe Ihres Unternehmens: Die Unternehmensgröße spielt eine entscheidende Rolle bei der Bestimmung der Kosten für die TISAX Zertifizierung.
- Umfang der Geschäftsprozesse: Die Komplexität und der Umfang Ihrer Geschäftsprozesse beeinflussen die Kosten, da sie direkt mit dem Vorbereitungsaufwand verbunden sind.
- Gefordertes TISAX Prüfziel: Das geforderte TISAX Prüfziel beeinflusst die Kosten ebenfalls, da die unterschiedlichen Anforderungen unterschiedliche Vorbereitungs- und Prüfaufwände bedeuten.
- Verfügbare Zeit für die TISAX Zertifizierung: Die zur Verfügung stehende Zeit für die Umsetzung des VDA ISA Katalogs kann die Kosten beeinflussen, insbesondere wenn beschleunigte Maßnahmen erforderlich sind.
- Klare Verantwortlichkeiten für Informationssicherheit im Unternehmen: Die bereits bestehende Zuweisung von Verantwortlichkeiten für die Informationssicherheit kann sich positiv auf die Vorbereitung und damit die Kosten auswirken.
- Existenz eines etablierten Informationssicherheitsmanagementsystems (ISMS): Ein bereits bestehendes ISMS kann die Implementierung der erforderlichen Maßnahmen überflüssig machen und somit die Kosten reduzieren.
- Verfügbarkeit ausreichender Mitarbeiter für die Umsetzung der Anforderungen: Das Vorhandensein ausreichender qualifizierter Mitarbeiter, die sich mit der Umsetzung der Anforderungen befassen können, ist entscheidend für den Erfolg und wird die Kosten beeinflussen.
- Zeitliche Verfügbarkeit der Mitarbeiter für die Umsetzung der Anforderungen: Die verfügbare Zeit der Mitarbeiter zur Umsetzung der Anforderungen ist ein weiterer wichtiger Faktor, der die Kosten beeinflussen wird.
Nimmt man alle Aufwände, Umsetzungs-, Prüfungskosten und Beratungsleistungen zusammen, kann eine initiale Einführung von TISAX durchaus Kosten im mittleren 5-stelligen bis zum niedrigen 6-stelligen Bereich verursachen.
Ich rate Ihnen dringend dazu, im Falle einer obligatorischen TISAX Zertifizierung mit dem Automobilhersteller die Verrechnung der Kosten im Angebot festzuhalten. Ja, damit meine ich die Umlage der Kosten auf den Automobilhersteller, zumindest teilweise.
TISAX wurde von der Automobilindustrie initiiert, um sicherzustellen, dass Lieferanten und Dienstleister ein durchgehend hohes Niveau in Bezug auf Informationssicherheit gewährleisten können. Es ist auch im Interesse des Automobilherstellers, dass Ihr Unternehmen (als Zulieferer oder Dienstleister der Automobilindustrie) diese erhöhten Anforderungen erfüllt.
Entsprechende Erfahrungen sind unter TISAX Beratern durchaus verbreitet und ich selbst habe das in meinen TISAX Projekten ebenfalls erlebt. Außerdem: Fragen kostet nichts!
Wie lange dauert eine TISAX Zertifizierung?
Ähnlich wie die Kosten einer TISAX Zertifizierung ist die Dauer unter anderem von der Größe und Komplexität Ihres Unternehmens, sowie dem geforderten TISAX Prüfziel abhängig.
In der Regel sollten Sie jedoch mit einem Zeitrahmen von mindestens 6 Monaten rechnen, bis alle notwendigen Schritte zur Zertifizierung abgeschlossen sind. Mit steigender Komplexität kann der Zeitraum durchaus 12 Monate und mehr betragen.
Diese Betrachtung der benötigten Zeit beinhaltet die TISAX Gap Analyse, Umsetzung der identifizierten Maßnahmen, Vorbereitung auf das Audit und die Durchführung des Audits selbst. Die Qualität der Mitwirkung in Ihrem Unternehmen beeinflusst den Zeitraum maßgeblich.
Die Notwendigkeit einer eventuellen Follow-up-Prüfung und die Umsetzung von Nachbesserungsmaßnahmen nicht mitbetrachtet.
Wenn Ihr Unternehmen bereits im Vorfeld über ein ausreichendes ISMS verfügt und entsprechende Maßnahmen umgesetzt hat, wird der Prozess beschleunigt.
TISAX Beratung
Mit meiner TISAX Beratung kann ich Sie an allen Punkten im Prüfungsprozess unterstützen:
- kostenloses Orientierungsgespräch
- Durchführung einer Gap Analyse zur Identifizierung von Lücken
- Koordination der Maßnahmenumsetzung
- Registrierung und Anmeldung der Prüfung
- Organisation des Prüfdienstleisters
- Audit Vorbereitung (auch Follow-up-Prüfung)
- Audit Begleitung
Wünschen Sie TISAX Beratung und Unterstützung?
Buchen Sie gerne einen kostenlosen und unverbindlichen Termin!