2021-01-06 von Immo Wehrenberg TISAX
Um die Verbreitung der Coronavirus-Pandemie zu verhindern, sind Unternehmen vielerorts erneut dazu angehalten, nur absolut notwendige Arbeiten aus den Geschäftsräumen zu erbringen und alle anderen Mitarbeiter von zuhause arbeiten zu lassen.
Dies ist auch aus Sicht der Informationssicherheit ein legitimes Vorgehen. Das Verlegen der Arbeiten in das häusliche Umfeld Ihrer Mitarbeiter unter angemessener Berücksichtigung von Informationssicherheit ist im Einklang mit den TISAX-Anforderungen entsprechend möglich und gefährdet in diesem Fall auch Ihre TISAX-Labels nicht.
Weitere Informationen finden Sie in dem oben genannten Dokument Ihr ISMS und das Coronavirus.
Natürlich sollte auch bei der Prüfungsvorbereitung die Sicherheit der Mitarbeiter und das Management der Lage an erster Stelle stehen. Soweit die Situation es zulässt, empfehlen wir die Vorbereitung auf eine TISAX-Prüfung weiterhin wie geplant stattfinden zu lassen.
Prüfungen im Assessment-Level 2 können aus TISAX-Sicht weiterhin uneingeschränkt stattfinden. Sollte eine Prüfung wegen eingeschränkter Verfügbarkeit notwendiger Personen für Vorbereitung und Durchführung (etwa wegen Arbeiten in Krisenstäben, der Krisenbewältigung oder durch Erkrankungen) verschoben werden müssen, gilt die normale Vorgehensweise bei Verschiebungen.
Seitens TISAX gibt es keine Sonderregelung. Die ENX Association macht keine Vorgaben, wann sich ein Unternehmen welcher Prüfung unterzieht. Wenn Geschäftspartner eine TISAX-Prüfung als Voraussetzung für Informationssicherheitsfreigaben fordern, entscheidet der Geschäftspartner, wie er mit Verschiebungen umgeht (ob z.B. eine Ausnahmefreigabe geschaffen werden kann).
Auch Prüfungen im Assessment-Level 3 können grundsätzlich weiterhin stattfinden. Allerdings ist aus verschiedenen Gründen eine Durchführung derzeit oft nicht möglich:
In diesem Fall verweisen wir auf 2.4 Pandemie-Workaround: “Assessment Level 2,5” als mögliche Alternative.
Sie haben die Möglichkeit, dass die Prüfung vorläufig im Assessment-Level 2 durchgeführt wird und später auf den eigentlich geplanten Assessment-Level 3 erweitert wird. Das heißt, dass in dem angedachten Fall eine Prüfung mit sehr hohem Schutzbedarf (Label: „Info Very High“) soweit wie möglich aus der Ferne durchgeführt wird (Prüfung aller ISA Control-Anforderungen ohne Berücksichtigung der physischen Aspekte im sogenannten AL 2,5) und in einer verkürzten Vor-Ort-Prüfung die Anforderungen an die physische Sicherheit nachgeholt werden. Sie erhalten in diesem Fall nach erfolgreicher Durchführung der Remote-Prüfung vorab das Info High-Label und nach erfolgreicher Vor-Ort- Prüfung das Info Very High Label.
Bitte sprechen Sie diesen Workaround mit ihren interessierten bzw. fordernden Geschäftspartnern ab und informieren, dass:
Sollten Sie sich bereits einer Prüfung im Assessment-Level 3 mit mehreren Standorten befinden, empfehlen wir die noch nicht geprüften Standorte in einen Scope auszugliedern und dann nur an diesen Standorten eine Prüfung im Assessment-Level 2 durchzuführen.
Sollte Ihre bereits beauftragte Prüfung auf Grund der Pandemie über den Gültigkeitszeitraum des bestehenden Prüfergebnisses hinaus verschoben werden, informieren Sie bitte frühzeitig Ihren Prüfdienstleister mit dem Anliegen der Verlängerung des bestehenden Labels. Dieser wird sich dann mit uns in Verbindung setzen.
Wir werden prüfen, inwieweit die Gültigkeit des bestehenden Ergebnisses in angemessenen Schritten verlängert werden kann.
Bitte beachten Sie, dass eine Verlängerung bestehender Labels nur möglich ist, wenn nachfolgende Bedingungen erfüllt sind:
Da Follow-up-Prüfungen in der Regel keine persönliche Anwesenheit des Auditors erfordern, können Follow-up-Prüfungen weiterhin durchgeführt werden.
Sollte es auf Grund der Pandemie zu Verzögerungen bei der Umsetzung von Maßnahmen ergeben, sollten Sie den Prüfdienstleister darüber in Form eines aktualisierten Maßnahmenplans informieren.
Sofern die Verzögerung vom Auditor unter Berücksichtigung der aktuellen Lage als angemessen bewertet wird, berichtet dieser eine erneute Maßnahmenplanprüfung mit aktualisiertem „Latest corrective action due date“ an uns. Dadurch verlängert sich die Gültigkeit von temporären Labels entsprechend.
Sollte durch die Pandemie eine Verschiebung über den Maximalzeitraum von neun Monaten hinaus entstehen, besprechen Sie dies frühzeitig mit Ihrem Prüfdienstleister. Dieser wird dies entsprechend bewerten und eine Ausnahmegenehmigung für die Durchführung einer Follow-up-Prüfung auch über die neun Monate hinaus beantragen.
Wir werden in dieser Situation im Einzelfall entscheiden, inwieweit eine Follow-up-Prüfung ausnahmsweise nach der Ablauf der neun-monatigen Frist ermöglicht werden kann.
Wenn Sie TISAX als Werkzeug nutzen, um die Informationssicherheit ihrer Lieferkette zu prüfen, zu bewerten und/oder zu verbessern, werden Sie damit umgehen müssen, dass die Prüfungen insbesondere im Assessment-Level 3 für viele ihrer Lieferanten und Kooperationspartner auf Grund der aktuellen Lage verschoben werden müssen.
Eine nicht durchgeführte Prüfung lässt in der aktuellen Lage keine allgemeinen Schlüsse auf schlechte Vorbereitung oder Umsetzung oder fehlenden Willen des Geschäftspartners zu.
Wir empfehlen dies bei der Risikobetrachtung einzubeziehen und ergebnisoffen zu prüfen, ob eine Prüfung im Assessment-Level 2 vorläufig (z. B. für sechs oder zwölf Monate) akzeptiert werden kann.