Jul 02, 2021

Hauptherausforderungen bei der Einhaltung von TISAX®

Die branchenweite Durchsetzung des TISAX® VDA Information Security Assessments (VDA ISA) gilt für alle Unternehmen der deutschen Automobillieferkette: Automobilhersteller und OEMs, Partner und Zulieferer.

Der Markt für Cybersicherheit in der Automobilindustrie wird im Zeitraum 2021-2025 voraussichtlich um 1,92 Mrd. USD wachsen, die jährliche Wachstumsrate soll laut Prognosen um 17% steigen. Je höher der Sicherheitsbedarf ist, desto strenger werden auch die Gesetzesanforderungen für die Automobilhersteller weltweit.

Unternehmen in der Automobilindustrie benötigen zuverlässige und funktionierende Rahmenbedingungen für die Erkennung von Informationssicherheitsrisiken, regelmäßige Aktualisierungen der Risikobewertungen und Reaktionen auf digitale Herausforderungen sowie Umsetzungen weiterer erforderlicher Prozesse.

Was ist TISAX®

Seit 2017 fungiert TISAX® als einer der am häufigsten verwendeten Standards im Automobilsektor und als Bewertungs- und Austauschmechanismus, über den Unternehmen Audits durchführen und die Einhaltung des vom Verband Deutscher Automobilindustrie (VDA) entwickelten Anforderungskatalogs zur Informationssicherheit sicherstellen können.

Auch wenn Unternehmen nicht in Deutschland ansässig sind und nur eine einzige Komponente produzieren, die zum Schluss in einem deutschen Fahrzeug eingebaut wird, fällt ihr Netzwerk in den Geltungsbereich dieser Anforderungen, sodass sie eine Bewertung der Informationssicherheit mittels TISAX® durchführen müssen.

Herausforderungen auf dem Weg zur TISAX®-Zertifizierung

Dadurch, dass es TISAX® erst seit wenigen Jahren gibt, suchen viele Unternehmen noch nach dem richtigen Ansatz für eine erfolgreiche Umsetzung und einem effektiven Weg, um die damit verbundenen Herausforderungen zu meistern.

Umständlicher Prozess der ISMS-Erstellung und Dokumentation nach VDA® ISA / TISAX®

Bei der Vorbereitung auf die TISAX®-Zertifizierung müssen Sie sich auf eine ISMS-Implementierung von Grund auf einstellen oder Ihr bestehendes ISMS basierend auf ISO 27001 unter Berücksichtigung der TISAX®-Anforderungen überarbeiten.

Für den Fall, dass Sie den gesamten Prozess der ISMS-Einrichtung erneut durchlaufen müssen, finden Sie in der SCM-Lösung vereint die Sicherheits-Compliance-Bewertung, das Risikomanagement, die Leistungskontrolle und die Überwachung sowie einen einzigen Kommunikationskanal vor, alles in einer Lösung nach dem PDCA-Zyklus.

TISAX® vs. ISO 27001: Transformation eines ISMS nach ISO/IEC 27001 für TISAX®

Die Compliance nach ISO 27001 und Trusted Information Security Assessment Exchange (ENX TISAX®) gehen Hand in Hand. ENX TISAX® hat ISO 27001 als Grundlage, also können bestimmte Anforderungen und Maßnahmen übereinstimmen. Der Betrieb von TISAX® auf Basis Ihres bestehenden Informationssicherheits-Managementsystems ist ein Prozess, der in aufwändiger manueller Arbeit endet, da sich einige Anforderungen von TISAX® und ISO 27001 überschneiden und deren Wartung zu mehr Arbeitsaufwand, menschlichen Fehlern und unzureichendem Zeitmanagement führen kann.

Wenn Sie die TISAX®-Compliance auf der Grundlage eines bestehenden ISMS aufbauen, kann es Einiges an Zeit- und Arbeitsaufwand Ihres Compliance-Teams erfordern, die 52 Maßnahmen für die ISMS-Einrichtung zu überprüfen. Eine Compliance-Management-Lösung kann diesen Prozess erheblich beschleunigen und den Arbeitsaufwand massiv reduzieren. Die in der Organisation bereits implementierten Maßnahmen aus ISO 27001 können für TISAX® wiederverwendet werden. Darüber hinaus ermöglicht SCM die Verwaltung Ihres Status bei beiden Standards.

Infopulse Standards Compliance Manager bietet eine einfache Koordination und Optimierung der Vielfalt und Komplexität von Assets im Einklang mit den Geschäftszielen und Prioritäten. Damit können Sie Ihr Compliance-Programm ganzheitlich überblicken, ohne etwas Wichtiges aus den Augen zu verlieren. SCM wurde entwickelt, um Sie beim Aufbau eines effektiven ISMS-Prozessmanagements zu unterstützen und das erforderliche Maß an Informationssicherheitsschutz sicherzustellen.

Schutz sensibler Daten

Der Schutz personenbezogener Daten (personally identifiable information, PII) wird auch bei TISAX® verlangt. Sie müssen die Sensibilität von Dateien, die PII enthalten, definieren, klassifizieren und schützen (Abschnitt 18.2). Im SCM finden Sie außerdem zusätzliche Anforderungen an ein ISMS zur Verwaltung der PII-Verarbeitung vor. Dort können Sie auch Frameworks für PII-Controller und PII-Prozessoren verwenden, um den Datenschutz abzudecken.

Strenge Zugriffskontrolle

Im Abschnitt 9 der VDA-ISA-Sicherheitsbewertung werden die Anforderungen an die Zugriffskontrolle definiert: Standards für Richtlinien und Verfahren bezüglich Benutzeranmeldung, Berechtigungsmanagement, Zugriff auf sensible Daten und andere Aspekte des Zugriffsmanagements. Ein standardisierter, toolgetriebener Ansatz ermöglicht Ihnen, Zeit und Aufwand für sich wiederholende Arbeiten einzusparen, weil diese Anforderungen aus einem bestehenden ISMS importiert werden können.

Aufbau des Prototypenschutzes

Bei TISAX® wird besonderer Wert auf den richtigen Prototypenschutz gelegt. Wenn ein Lieferant mit den Prototypen arbeitet, müssen die dazugehörigen sensiblen Informationen vor Lecks und Verstößen geschützt werden. TISAX® beinhaltet 22 zusätzliche Maßnahmen dazu, die Unternehmen einhalten müssen. Infopulse SCM bietet alle Maßnahmen für den Prototypenschutz an, sie sind im System gut strukturiert und organisiert.

Bewertungen der Drittanbieter

Ist ein Lieferant an ein IT-Netzwerk oder ein ähnliches Austauschsystem mit der Übertragung sensibler Daten angeschlossen, wird laut TISAX® die Durchführung und die Dokumentation von Drittanbieterevaluationen verlangt. Im SCM haben Sie die Maßnahmen für die Bewertung anderer Parteien direkt im System.

Auditvorbereitung

Sich zum ersten Mal auf ein TISAX®-Audit vorzubereiten, kann ganz schön mühsam sein. Welchen Reifegrad wählen? Was ist die richtige Antwort auf eine Frage? Wie ist der Status aller Anforderungen? Wer ist für diese Aufgabe verantwortlich? All diese Aspekte auf einmal ohne ein spezielles Werkzeug zu behandeln, ist schwierig. Für das Auditberichtsverfahren im ENX TISAX® brauchen Sie die Automatisierung mittels moderner GRC-Systeme (Governance, Risikomanagement und Compliance).

Ein toolgetriebener Ansatz bei der TISAX®-Zertifizierung

Infopulse SCM ist eine Lösung, die die neue Version 5.0 des VDA-ISA-Katalogs komplett unterstützt. Darin sind die Anforderungen an „Informationssicherheit“, „Datenschutz“ und „Prototypenschutz“ enthalten, die in entsprechenden Modulen zusammengefasst sind.

Im System können Sie jede Frage zu einer Anforderung/Maßnahme durch die Zuordnung von Reifegraden bewerten. SCM vereinfacht die Bewertungs- und Entscheidungsprozesse durch die granulare Darstellung und die Möglichkeit, separate Bewertungen durchzuführen. Sie können sich auch die Kritikalität (Muss, Soll, Hoch) und Details jeder Anforderung (zugehörige Dokumente, verantwortliche Person, zugewiesene Aufgaben, andere Informationen) und deren Umsetzungsstatus anzeigen lassen. Im SCM ist es auch für Sie möglich, Aufgaben zu erstellen oder einzelne Maßnahmen hinzuzufügen. Die Ergebnisse der Eigenbewertung werden auf einem Dashboard angezeigt, sodass Sie immer wissen, woran Sie sind.

TISAX® ist eine eingetragene Marke der ENX Associ-ation. Die Infopulse GmbH steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nen-nung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.

Kostenfreies Konto

Kontaktieren Sie uns, um einen unverbindlichen Testzugang zu erhalten

    Welche Standards interessieren Sie?

    Mit dem Setzen des Hakens akzeptiere ich die Datenschutzrichtlinien und stimme zu, weitere Informationen zu meiner Anfrage und zum Produkt "Compliance Aspekte" zu erhalten. Ich verstehe, dass ich die Compliance Aspekte Updates jederzeit abbestellen kann.