Beratung zu VDA ISA und TISAX®

Umsetzung der Anforderungen des VDA-ISA in der Automobilindustrie

 

TISAX® (Trusted Information Security Assessment Exchange) ist ein von der Automobilindustrie definierter Standard für Informationssicherheit. Eine große Zahl von Automobilherstellern und Zulieferern der deutschen Automobilindustrie verlangt von vielen Geschäftspartnern seit 2017 eine bestehende TISAX®-Zertifizierung. TISAX dient der unternehmensübergreifenden Anerkennung von Assessments der Informationssicherheit und schafft dabei einen gemeinsamen Prüf- und Austauschmechanismus in der immer enger vernetzten Automobilindustrie.

VDA ISA TISAX

Der Verband der Automobilindustrie e. V. (VDA)
hat einen Katalog (VDA-ISA) erstellt, der von der internationalen
Industrie-Norm ISO/IEC 27001 abgeleitet und an die Anforderungen der
Automobil-Welt angepasst wurde.

Der Katalog besteht aus mehreren Modulen (Informationssicherheit, Prototypenschutz, Anbindung Dritter, Datenschutz)

Das besondere daran ist das hinterlegte
Reifegradmodell. Die Einführung eines Informationssicherheitsmanagementsystems
(ISMS) sagt an sich noch nichts über den Reifegrad der Informationssicherheit und
derer unterstützenden Prozesse aus.

Mit dem VDA-ISA Katalog wird ein messbares
Reifegradmodell hinterlegt.

Die Prüfung kann durch eine akkreditierte Stelle vorgenommen werden. Ist die Prüfung erfolgreich abgeschlossen, gibt es jedoch kein Zertifikat wie man es aus normativen Zertifizierungen her kennt. Das „Bestanden“ wird lediglich anhand der D-U-N-S Nummer im ENX-Portal zum Austausch mit den OEM hinterlegt.

TISAX ® Vorteile

  • Risikominimierung
  • Erfüllung von Nachweispflichten
  • Imageförderung und Wettbewersvorteile
  • Absicherung von Geschäftsbeziehungen
  • Vermeidung von Mehrfachprüfungen

Grundlagen eines erfolgreichen TISAX® Assessments:

  • eingeführtes Informationssicherheitsmanagementsystem (ISMS)
  • Technische, bauliche und organisatorische Sicherheitsmaßnahmen
  • Bewusstsein (Awareness) bei Mitarbeitern

Mit unserem Quick-Check (GAP-Analyse) bestimmen wir den Status Quo Ihres Managementsystems und dessen Umsetzung. So wissen Sie genau wo Sie stehen und wie wir Sie maßgeschneidert unterstützen und welche Maßnahmen erforderlich sind. Wichtig dabei ist der vorgegebene Zeitrahmen eines angemeldeten Assessments. Einmal angemeldet haben Sie neun Monate Zeit das Assessment zu bestehen.

VDA Reifegraddefinition

Ein Prozess ist nicht implementiert oder der Prozesszweck wird nicht erreicht. Es gibt nur geringe oder keine Anzeichen dafür, dass der Prozesszweck systematisch erreicht wird.

Der realisierte Prozess erfüllt seinen (Prozess-) Zweck.
Nachweise, dass das Prozessergebnis erreicht wird, sind in der Form einer Leistungserbringung an sich vorhanden.
Grundlegende Tätigkeiten (Basispraktiken) sind vorhanden, werden durchgeführt und liefern geeignete Arbeitsergebnisse.

Steuerung der Prozessdurchführung
  • Die Leistungsziele des Prozesses sind definiert und bekannt gemacht.
  • Die Ausführung des Prozesses wird geplant, überwacht und bei Bedarf angepasst.
  • Die Verantwortlichkeiten und Befugnisse sind definiert, zugewiesen und kommuniziert.
  • Notwendige Ressourcen werden ermittelt und bereitgestellt.
  • Die Schnittstellen zwischen den Beteiligten werden gesteuert.
Management der Arbeitsprodukte
  • Die Anforderungen an die Arbeitsergebnisse und deren Dokumentation und Überwachung sind definiert.
  • Die Arbeitsergebnisse werden ermittelt, dokumentiert und kontrolliert.
  • Die Arbeitsergebnisse werden überprüft und angepasst.
Prozessdefinition
  • Ein Standardprozesses ist definiert.
  • Der Prozess ist über Schnittstellen mit weiteren Prozessen des Unternehmens verbunden.
  • Die Rollen und Kompetenzen für den Prozess sind festgelegt.
  • Die erforderliche Infrastruktur und Arbeitsumgebung sind ermittelt.
  • Geeignete Methoden zur Überwachung des Prozesses sind ermittelt.
Prozessanwendungen bzw. Prozessumsetzung
  • Ein definierter Prozess ist bereitgestellt.
  • Die Rollen, Verantwortlichkeiten und Befugnisse zur Prozessausführung sind zugeordnet.
  • Die Ressourcen sind mit den notwendigen Kompetenzen und Fähigkeiten ausgestattet.
  • Die Arbeitsumgebungen und Infrastrukturen zur Prozessausführung werden bereitgestellt, gesteuert und gepflegt.
  • Geeignete Daten werden zur Analyse der Wirksamkeit erfasst.
Prozessmessung
  • Die für die Messung des Prozesses notwendigen Informationen sind identifiziert.
  • Die Ziele für die Prozessmessung sind abgeleitet.
  • Für die Verbesserung des Prozesses sind Kennzahlen definiert.
  • Die Produkt- und Prozessmesswerte werden ermittelt und ausgewertet.
Prozesskontrolle
  • Analyse und Steuerungstechniken sind definiert.
  • Die Parameter zur Steuerung der Prozessausführung sind definiert.
  • Die Messergebnisse zu Produkten und Prozessen werden analysiert.
  • Korrekturmaßnahmen werden bestimmt und umgesetzt.
  • Die Prozesskontrollgrenzen werden bei Bedarf angepasst.
Prozessinnovation
  • Ziele zur Prozessverbesserung sind definiert.
  • Die Messdaten des Prozesses werden analysiert.
  • Es werden Prozessverbesserungsmöglichkeiten aus Innovationen und Best Practices identifiziert.
  • Aus neuen Technologien und Prozesskonzepten werden Prozessverbesserungsmöglichkeiten abgeleitet.
  • Eine Umsetzungsstrategie ist definiert.
Kontinuierliche Optimierung
  • Die Auswirkungen von vorgeschlagenen Änderungen werden bewertet.
  • Die Umsetzung von vereinbarten Änderungen wird gesteuert.
  • Die Wirksamkeit von Prozessveränderungen wird beurteilt.

Konzentrieren Sie sich auf Ihr Kerngeschäft und überlassen Sie uns die Umsetzung der TISAX® Anforderungen. Mit Expertise und Kompetenz unterstützen wir Sie bei der Implementierung des Anforderungskatalogs und der Durchführung des Vor-Audits. Wir übernehmen die fachliche Leitung, so dass Sie sich trotz Zertifizierungsdrucks um Ihr Business kümmern können.

Rechtlicher Hinweis: TISAX® ist eine eingetragene Marke der ENX Association.