VDA-ISA

Informationssicherheit für die Automobilbranche durch VDA-ISA

Der Verband der Automobilindustrie ( VDA ) hat ein „Information Security Assessment“ ( ISA) und ein akzeptiertes Prüf- und Austauschmodell geschaffen, welches sich unter dem Markennamen TISAX® zum Branchenstandard entwickelt hat. Mit dem VDA ISA bietet die Automobilindustrie die Antwort auf die Frage „Was ist informationssicher? Dies ist auch die Lösung der Automobilindustrie (VDA) auf das wachsende Sicherheitsbedürfnis zwischen OEMs und Lieferanten im Umgang mit vertraulichen Informationen.

Was ist TISAX®?
TISAX® steht für: Trusted Information Security Assessment Exchange“. Es handelt sich hierbei um einen Prüf- und Austauschmechanismus zur unternehmensübergreifenden Anerkennung von Assessments der Informationssicherheit in der Automobilbranche – dabei hilft die eigens eingerichtete TISAX®-Online-Plattform. TISAX® ist eine eingetragene Marke der ENX Association (European Network Exchange Association).

Die ISO/IEC 27001 bildet die international anerkannte, normative Grundlage für die Informationssicherheit. Der VDA (Verband der Automobilindustrie) hat seine Vorgaben in Zusammenarbeit mit den OEMs der Automobilindustrie daran ausgerichtet. Mit TISAX® kommen zusätzliche Themen wie Prototypenschutz und Anbindung Dritter, d.h. ernstzunehmende Markt-Mechanismen in der Automotive-Branche, hinzu.

TISAX® hilft Ihnen, kosten- und zeitintensive Mehrfachprüfungen zu vermeiden, da der Leistungsumfang der Assessments standardisiert ist. Die Qualität und Objektivität der Audits werden von Zulieferern und OEMs gleichermaßen anerkannt, eine Zertifizierung ist drei Jahre gültig.

Der VDA-ISA Beratungsansatz der König Consult GmbH

Zum Erhalt des TISAX® Zertifikates ist es notwendig, ein ISMS aufzubauen. Die Anforderungen an ein ISMS werden in der ISO27001 beschrieben. Vor dem Aufbau eines ISMS werden zuerst Basisdaten gesammelt, wie zum Beispiel die Anzahl der Mitarbeiter und die Standorte im zukünftigen Geltungsbereich des TISAX® Testats.

Der Aufbau eines ISMS erfordert dann zwei Teile:

1. Aufbau der ISMS Basisprozesse aus ISO27001, Kapiteln 4 bis 10 (die Kapitel 0-3 erfordern keine Umsetzung).
2. Maßnahmen aus den VDA-ISA Vorgaben: Dort sind die erforderlichen Maßnahmen beschrieben, die unbedingt betrachtet werden müssen. Alle Maßnahmen des Anhangs müssen umgesetzt werden. Zusätzlich können noch unternehmensspezifische Maßnahmen erforderlich sein.

Anschließend muss ein internes Audit und die Managementbewertung durchgeführt werden, um erfolgreich den TISAX®-Prüfprozess zu starten zu können.

Angebot der König Consult GmbH

Kurse zum Aufbau eines VDA-ISA konformen ISMS

Die Kapitel 4-10 der Norm werden in standardisierter und effektiver Weise gemeinsam mit anderen Informationssicherheitsbeauftragten innerhalb des Kurses umgesetzt. Hierbei wird das ISMS aufgebaut. Die Kursteilnehmer passen dazu die Vorlagen der König Consult GmbH unter Anleitung eines beratenden Leadauditors an die eigene Unternehmenssituation an.

Beratung zur Umsetzung zu VDA ISA

Bei der Umsetzung der von dem Normanhang IS0 27001/TISAX® abgeleiteten Maßnahmen macht ein standardisiertes Verfahren keinen Sinn, da diese sich die von Unternehmen zu Unternehmen zu stark unterscheiden. Der Aufwand lässt sich aber durch die Einbringung von Beispieldokumenten deutlich reduzieren.

Beispieldokumente zu VDA ISA

Diese reduzieren Definitions- und Erstellungsaufwand für die Maßnahmen drastisch. Die Dokumente können auch einzeln bestellt werden.

Durchführung internes Audit gemäß VDA ISA Vorgaben

Dessen Umfang ist im Anhang der ISO27006 beschrieben und die Prozessdauer ist sowohl von den bereits umgesetzten Normen, der Anzahl der Mitarbeiter im Geltungsbereich als auch von der Komplexität der zu auditierenden Dienstleistungen und Prozessen abhängig.

Der schnelle Weg zum Testat

Die Leistungen der König Consult GmbH ermöglichen Ihnen:

  • Eine schnellere Zertifizierung durch effektive Vorbereitung
  • Geringere Kosten durch die Nutzung von Vorlagen
  • Erhöhte Sicherheit durch die Einbringung branchenspezifischer Praxiserfahrung
  • Das gemeinsame Modell

    TISAX® ist der gemeinsame Prüf- und Austauschmechanismus in der immer enger vernetzten Automobilindustrie. Der VDA (Verband der Automobilindustrie e.V.) hat TISAX® als verbindlichen Prüfungsstandard für alle TISAX® registrierten Unternehmen definiert. Dieses ergänzt die bewährten Sicherheitsstandards des InformationsSicherheitsManagementSystems (ISMS) gemäß ISO 27001 durch branchenspezifische Module, wie z.B. für Prototypenschutz. Damit erreicht man zügig ein hohes IT-Sicherheitsniveaus.
    Es gibt eine unternehmensübergreifende Anerkennung von Assessments der Informationssicherheit in der Automobilindustrie durch den TISAX® Prozess durch einen gemeinsamer Prüf- und Austauschmechanismus.
    Die ENX Association (European Network Exchange Association) - Governance Organisation des TISAX® - agiert als Kontrollfunktion und akkreditiert im Rahmen des Modells die Prüfdienstleister. Darüber hinaus überwacht sie die Qualität der Durchführung sowie der Ergebnisse des Information Security Assessments (ISA).
    TISAX® Teilnehmer sind alle Firmen, die im TISAX® Informationen untereinander austauschen: OEMs, die das TISAX® Testat anfordern sowie Zulieferer und Dienstleister, die sich nach dem Standard VDA-ISA zertifizieren lassen.

    VDA-ISA - ISMS als zentraler Baustein

    Die Einführung eines auch vom BSI empfohlen Informationssicherheitsmanagementsystems (ISMS), welches IT-Prozesse optimal erfasst und dokumentiert, ist ein zentraler Baustein im Rahmen einer TISAX®-Zertifizierung. Neben der Abbildung der IT-Infrastruktur, sind auch technisches-Security-Management (TSM) sowie die Dokumentation von Verarbeitungsverzeichnissen, die laut EU-DSGVO geführt werden müssen, enthalten. Die Konformität mit dem jeweiligen Standard wird letztendlich durch ein Testat/Zertifikat (TISAX® Label) bzw. Zertifikat bestätigt.

    Label mit 3 Prüfstufen

    Im Rahmen der umgangssprachlich benannten TISAX® Zertifizierung - besser: TISAX® Label - wird zwischen drei Prüfstufen unterschieden:

  • TISAX® Assessment Level 1 (normal) - besteht in der Regel aus einer Selbstauskunft
  • TISAX® Assessment Level 2 (hoch) - schließt einen Plausibilitätscheck sowie ein Telefoninterview durch das prüfende Unternehmen ein
  • TISAX® Assessment Level 3 (sehr hoch) - bedeutet eine Prüfung direkt im Unternehmen durch die Experten des Prüfunternehmens
  • VDA-ISA - Vorteile für Zulieferer, Dienstleister, OEM‘s

  • Erfüllung von Nachweispflichten ohne Mehrfachprüfung - Weisen Sie die Einhaltung der TISAX® Anforderungen gegenüber Ihren Auftraggebern nach
  • Absicherung von Geschäftsbeziehungen durch geprüfte Sicherheit - Sichern Sie mit VDA/TISAX® Geschäftsbeziehungen ab und vermeiden rechtliche Folgen wegen Nichteinhaltung von Vorschriften
  • Risikominimierung wirtschaftlicher Schäden - Vermeiden Sie wirtschaftliche Schäden durch Sicherheitsvorfälle bzw. strafrechtliche Folgen wegen Nichteinhaltung rechtlicher Vorschriften