Wie Sie die TISAX-Prüfung bestehen und Ihr Prüfergebnis mit Ihrem Partner teilen
Herausgeber
ENX Association
Eine französische Association nach dem Gesetz von 1901,
eingetragen bei der Sous-Préfecture Boulogne-Billancourt, Frankreich unter der Nummer w923004198.
Anschriften
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, Frankreich
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Deutschland
Verfasser
Florian Gleich
Kontakt
Version
Datum: |
08.04.2024 |
Version: |
2.7.2 |
Klassifizierung: |
Öffentlich |
ENX doc ID: |
602-DE |
Urheberschutzvermerk
Alle Rechte vorbehalten.
ENX, TISAX und ihre jeweiligen Logos sind eingetragene Marken der ENX Association.
Erwähnte Marken Dritter sind Eigentum der jeweiligen Inhaber.
1. Überblick
1.1. Zweck
Willkommen bei TISAX, dem „Trusted Information Security Assessment Exchange“.
Einer Ihrer Partner hat Sie aufgefordert nachzuweisen, dass Ihr Informationssicherheitsmanagement den Anforderungen des „Information Security Assessment“ (ISA) entspricht. Und nun wollen Sie wissen, wie Sie dieser Aufforderung nachkommen können.
Der Zweck dieses Handbuchs ist es, Ihnen zu ermöglichen, der Aufforderung Ihres Partners nachzukommen — oder ihm zuvor zu kommen, indem Sie diese Anforderung erfüllen, noch bevor ein Partner danach fragt.
Dieses Handbuch beschreibt die Schritte, die Sie gehen müssen, um die TISAX-Prüfung zu bestehen und Ihr Prüfergebnis mit Ihrem Partner zu teilen.
Ein Informationssicherheitsmanagementsystems (ISMS) aufzubauen und aufrecht zu erhalten ist bereits eine komplexe Aufgabe. Ihrem Partner nachzuweisen, dass Ihr Informationssicherheitsmanagementsystem der Aufgabe gewachsen ist, erhöht die Komplexität weiter. Dieses Handbuch wird Ihnen nicht bei der Verwaltung Ihrer Informationssicherheit helfen. Aber es beabsichtigt, es Ihnen so einfach wie möglich zu machen, Ihre Anstrengungen gegenüber Ihrem Partner nachzuweisen.
1.2. Geltungsbereich
Dieses Handbuch gilt für alle TISAX-Prozesse, an denen Sie beteiligt sind.
Es enthält alles, was Sie wissen müssen, um den TISAX-Prozess zu durchlaufen.
Das Handbuch bietet einige Ratschläge zum Umgang mit den Anforderungen an die Informationssicherheit, die im Mittelpunkt der Prüfung stehen. Aber es beabsichtigt nicht, Sie grundsätzlich darüber aufzuklären, was Sie tun müssen, um die Informationssicherheitsprüfung zu bestehen.
1.3. Zielgruppe
Hauptzielgruppe dieses Handbuchs sind Unternehmen, die ein bestimmtes Niveau Ihres Informationssicherheitsmanagements gemäß den Anforderungen des „Information Security Assessment“ (ISA) nachweisen wollen oder müssen.
Sobald Sie aktiv an den TISAX-Prozessen beteiligt sind, profitieren Sie von den Informationen in diesem Handbuch.
Auch Unternehmen, die ihren Zulieferer auffordern, ein bestimmtes Niveau des Informationssicherheitsmanagement nachzuweisen, werden davon profitieren. Dieses Handbuch ermöglicht es ihnen zu verstehen, was ihre Zulieferer tun müssen, um ihrer Aufforderung nachzukommen.
1.4. Aufbau
Wir beginnen mit einer kurzen Einführung in TISAX. Danach folgen direkt Anweisungen, WIE Dinge getan werden müssen. Sie werden alles finden, was Sie brauchen, um durch den Prozess zu kommen — in der Reihenfolge, in der Sie es wissen müssen.
Die geschätzte Lesezeit für das Dokument beträgt 75-90 Minuten.
1.5. Wie Sie dieses Dokument benutzen
Früher oder später werden Sie wahrscheinlich das meiste von dem, was in diesem Dokument beschrieben wird, verstehen wollen. Für eine gute Vorbereitung empfehlen wir, das gesamte Handbuch zu lesen.
Wir haben das Handbuch jedoch nach den drei Hauptschritten des TISAX-Prozesses strukturiert. So können Sie den Abschnitt wählen, den Sie gerade benötigen, und den Rest später lesen.
Das Handbuch nutzt Illustrationen, um Ihnen zu helfen Ihr Verständnis zu verbessern. Oft haben die Farben in den Abbildungen eine unterstützende Bedeutung. Wir empfehlen daher, das Dokument entweder auf einem Bildschirm oder als Farbausdruck zu lesen.
Wir freuen uns über Ihre Rückmeldung. Wenn Sie der Meinung sind, dass etwas in diesem Handbuch fehlt oder nicht einfach zu verstehen ist, teilen Sie uns das bitte mit. Wir und alle künftigen Leser dieses Handbuchs werden Ihnen für Ihre Rückmeldung dankbar sein.
Wenn Sie bereits eine vorherige Version des TISAX-Teilnehmerhandbuchs benutzt haben, dann finden Sie eventuell hilfreiche Anmerkungen am Ende des Dokuments in Abschnitt 8, “Dokumentenhistorie”.
1.6. Sprechen Sie uns an
Wir sind hier, um Sie durch den TISAX-Prozess zu führen und Ihre Fragen zu beantworten.
Schicken Sie uns eine E-Mail an: |
|
Oder rufen Sie uns an: |
Sie erreichen uns zu den üblichen Geschäftszeiten in Deutschland (UTC+01:00).
Wir sprechen alle Deutsch und Englisch. Ein Kollege spricht Italienisch (Muttersprachler).
Bitte nehmen Sie Abschnitt 7.13, “Anhang: Beschwerdemanagement” zur Kenntnis.
1.7. Das TISAX-Teilnehmerhandbuch in anderen Sprachen und Formaten
Das TISAX-Teilnehmerhandbuch ist in den folgenden Sprachen und Formaten verfügbar:
Sprache | Version | Format | Link |
---|---|---|---|
Englisch |
2.7.2 |
Online |
https://www.enx.com/handbook/tisax-participant-handbook.html |
Offline |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
|||
Deutsch |
2.7.2 |
Online |
|
Offline |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
||
Französisch |
2.7 |
Online |
|
Offline |
|||
Chinesisch |
2.7 |
Online |
|
Offline |
|||
Spanish |
2.7 |
Online |
|
Offline |
|||
Japanisch |
2.7 |
Online |
|
Offline |
|||
Brasilianisches Portugiesisch |
2.7 |
Online |
|
Offline |
|||
Italienisch |
2.7.1 |
Online |
|
Offline |
|||
Koreanisch |
2.7 |
Online |
|
Offline |
|||
Tschechisch |
2.7.1 |
Online |
|
Offline |
|||
Polnisch |
2.7.1 |
Online |
|
Offline |
|||
|
Wichtiger Hinweis: Die englische Version ist die führende Version. |
1.7.1. Zur deutschen Übersetzung
Dieses TISAX-Teilnehmerhandbuch ist eine Übersetzung der englischen Version.
Alle TISAX zugrunde liegenden Dokumente sind auf Englisch entstanden (z. B. sämtliche Verträge und Vorgaben für die TISAX-Prüfdienstleister). Folglich kann es Ihnen passieren, dass Ihr Partner oder Ihr Prüfdienstleister einige der TISAX-spezifischen Begriffe auf Englisch verwendet.
Um Ihnen eine Zuordnung zu ermöglichen, haben wir in der deutschen Übersetzung des TISAX-Teilnehmerhandbuchs den englischen TISAX-Originalbegriff entweder beibehalten (ggf. leicht „eingedeutscht“) oder in Klammern direkt hinter der deutschen Übersetzung angeben.
1.7.2. Zum Online-Format
Jeder Abschnitt hat eine eindeutige ID (Format: ID1234).
Eine ID referenziert einen bestimmten Abschnitt, ungeachtet der Sprache.
Wenn Sie auf einen bestimmten Abschnitt verlinken möchten, können Sie:
-
Entweder auf den Abschnittstitel rechtsklicken und den Link kopieren
-
oder Sie klicken auf den Abschnittstitel und kopieren den Link aus der Adresszeile Ihres Browsers.
Die meisten Abbildungen sind in einem größeren Format verfügbar, als hier standardmäßig angezeigt wird. Klicken Sie auf eine Abbildung, um die größere Version zu öffnen.
1.7.3. Zum Offline-Format
Das Offline-Format behält die meisten Eigenschaften des Online-Formats. Vor allem die Abbildungen sind in die HTML-Datei eingebettet. Sie brauchen nur eine Datei, um das Offline-Format zu nutzen.
Im Vergleich zum Online-Format, fehlen dem Offline-Format:
-
die größeren Abbildungen
-
die Original-Schriftarten des Online-Formats
Die Einstellungen Ihres Browsers bestimmen die Schriftarten.
1.7.4. Zum PDF-Format
Wenn Sie das PDF-Format auf Ihrem Computer benutzen, können Sie weiterhin auf alle Referenzen klicken. Wenn Sie hingegen die PDF-Version ausdrucken, werden Sie keine Seitenzahlen haben und Referenzen selbst nachschauen müssen.
2. Einleitung
In den folgenden Abschnitten stellen wir Ihnen das TISAX-Konzept vor.
Wenn Sie es eilig haben, können Sie diese überspringen und sofort mit Abschnitt 4.3, “Vorbereitung auf die Registrierung” beginnen.
2.1. Warum TISAX?
Oder besser gesagt, warum Sind Sie hier?
Um diese Frage zu beantworten, beginnen wir mit ein paar generellen Überlegungen zum Geschäftsleben im Allgemeinen und zum Schutz von Informationen im Besonderen.
Stellen Sie sich Ihren Partner vor. Er hat vertrauliche Informationen. Er will sie mit seinem Zulieferer teilen — mit Ihnen. Die Zusammenarbeit zwischen Ihnen und Ihrem Partner schafft Werte. Die Informationen, die Ihr Partner mit Ihnen teilt, sind ein wichtiger Teil dieser Wertschöpfung. Deshalb will er sie angemessen schützen. Und er möchte sicher sein, dass Sie seine Informationen mit der gleichen Sorgfalt behandeln.
Aber wie kann er sicher sein, dass seine Informationen in guten Händen sind? Er kann Ihnen nicht einfach „glauben“. Ihr Partner braucht Nachweise.
Jetzt kommen zwei Fragen auf. Wer bestimmt, was „sicherer“ Umgang mit Informationen bedeutet? Und als nächstes: Wie können sie es nachweisen?
2.2. Wer bestimmt, was "sicher" bedeutet?
Weder Ihr Partner noch Sie sind die Einzigen, die sich diesen Fragen zum ersten Mal stellen müssen. Fast jeder muss Antworten darauf finden und die meisten Antworten werden sich in gewisser Weise ähneln.
Jedes Mal, wenn Sie selbstständig eine Lösung für ein alltägliches Problem finden müssten, nimmt Ihnen eine Standardmethode die Arbeit ab, alles von Grund auf neu zu erfinden. Während die Definition eines Standards einen enormen Aufwand bedeutet, wird er aber nur einmal erbracht und die späteren Nutzer profitieren jedes Mal davon.
Es gibt sicherlich unterschiedliche Ansichten darüber, was für den Schutz von Informationen das Richtige ist. Doch aufgrund der oben genannten Vorteile setzen die meisten Unternehmen auf Standards. Ein Standard ist die komprimierte Form aller erprobten und bewährten Best Practices für eine bestimmte Herausforderung.
Standards wie ISO/IEC 27001 (über Informationssicherheitsmanagementsysteme, ISMS) und deren Implementierung stellen in Ihrem Fall die anerkannteste Art der sicheren Verarbeitung von vertraulichen Informationen dar. Ein solcher Standard erspart Ihnen, das Rad neu zu erfinden. Noch wichtiger ist, dass Standards eine gemeinsame Basis bilden, wenn zwei Unternehmen vertrauliche Daten austauschen müssen.
2.3. Der Weg der Automobilindustrie
Branchenunabhängige Standards sind naturgemäß eher als Universallösung konzipiert als auf die spezifischen Bedürfnisse von Unternehmen aus der Automobilindustrie zugeschnitten.
Die Automobilindustrie hat bereits vor langer Zeit Verbände gegründet, deren Ziel es unter anderem ist, Standards zu verfeinern und zu definieren, die ihre spezifischen Bedürfnisse berücksichtigen. Der Verband der Automobilindustrie (VDA) ist einer davon. Innerhalb der Arbeitsgruppe, die sich mit Informationssicherheit beschäftigt, kamen mehrere Mitglieder der Automobilindustrie zu dem Schluss, dass sie ähnliche Bedürfnisse haben, bestehende Standards für das Informationssicherheitsmanagement anzupassen.
Das Ergebnis der gemeinsamen Anstrengungen ist ein Fragebogen, der die branchenweit akzeptierten Anforderungen der Automobilindustrie an die Informationssicherheit abdeckt. Er wird als „Information Security Assessment“ (ISA) bezeichnet.
Mit dem ISA haben wir nun eine Antwort auf die Frage „Wer bestimmt, was „sicher“ bedeutet?“. Durch den VDA bietet die Automobilindustrie selbst ihren Mitgliedern diese Antwort an.
2.4. Wie können Sie Sicherheit effizient nachweisen?
Während einige Unternehmen den ISA nur für interne Zwecke nutzen, bewerten andere damit die Reife des Informationssicherheitsmanagements ihrer Zulieferer. In einigen dieser Fälle war eine „Selbsteinschätzung“ eine ausreichende Grundlage für die Geschäftsbeziehung. In bestimmten Fällen führten Unternehmen jedoch eine vollständige Prüfung des Informationssicherheitsmanagements ihrer Zulieferer durch (einschließlich Vor-Ort-Prüfungen).
Neben einem allgemein zunehmenden Bewusstsein für die Notwendigkeit des Informationssicherheitsmanagements und der zunehmenden Akzeptanz des ISA als Instrument zur Informationssicherheitsprüfung sahen sich immer mehr Zulieferer mit ähnlichen Anfragen verschiedener Partner konfrontiert.
Diese Partner wendeten noch unterschiedliche Standards an und hatten unterschiedliche Auffassungen davon, wie sie zu interpretieren sind. Aber die Zulieferer mussten im Wesentlichen die gleichen Dinge nachweisen, nur auf verschiedene Weisen.
Und je mehr Zulieferer von ihren Partnern aufgefordert wurden, ihr Niveau des Informationssicherheitsmanagements nachzuweisen, desto lauter wurden die Stimmen, die sich über wiederholte Anstrengungen beklagten. Einem Prüfdienstleister nach dem anderen die gleichen Maßnahmen des Informationssicherheitsmanagements zu zeigen, ist einfach nicht effizient.
Was kann man tun, um dies effizienter zu gestalten? Wäre es nicht hilfreich, wenn der Bericht eines Prüfers für verschiedene Partner wiederverwendet werden könnte?
Die OEMs und Zulieferer in der ENX-Arbeitsgruppe, die für die Pflege des ISA zuständig ist, hörten die Klagen ihrer Zulieferer. Nun bieten sie ihren Zulieferern und allen anderen Unternehmen der Automobilindustrie eine Antwort auf die Frage „Wie weist man Sicherheit nach?“.
Die Antwort ist TISAX, kurz für „Trusted Information Security Assessment Exchange“ (in etwa „Vertrauenswürdiger Austausch von Informationssicherheitsprüfungen“).
3. Der TISAX-Prozess
3.1. Überblick
Der TISAX-Prozess beginnt in der Regel[1] damit, dass einer Ihrer Partner Sie auffordert, ein definiertes Niveau des Informationssicherheitsmanagements gemäß den Anforderungen des „Information Security Assessment“ (ISA) nachzuweisen. Um dieser Aufforderung nachzukommen, müssen Sie den 3-schrittigen TISAX-Prozess durchlaufen. Dieser Abschnitt gibt Ihnen einen Überblick über die notwendigen Schritte.
Der 3-schrittige TISAX-Prozess besteht aus den folgenden Schritten:
-
Registrierung
Wir sammeln Informationen über Ihr Unternehmen und was Bestandteil der Prüfung sein soll. -
Prüfung
Sie durchlaufen die Prüfung(en), die von einem unserer TISAX-Prüfdienstleister durchgeführt wird/werden. -
Austausch
Sie teilen Ihr Prüfergebnis mit Ihrem Partner.
Jeder Schritt besteht aus Teilschritten. Diese werden in den drei folgenden Abschnitten kurz dargestellt und in den jeweiligen Abschnitten weiter unten detailliert beschrieben.
|
Bitte beachten Sie: Wir würden Ihnen gerne einen Anhaltspunkt geben, wie lange es dauern wird, bis Sie Ihr TISAX-Prüfergebnis erhalten. Aber wir bitten um Ihr Verständnis, dass es uns nicht möglich ist, dies zuverlässig vorhersagen zu können. Die Gesamtdauer des TISAX-Prozesses hängt von zu vielen Faktoren ab. Die große Bandbreite an Unternehmensgrößen, Prüfzielen und die jeweiligen Zustände eines Informationssicherheitsmanagementsystems machen dies unmöglich. |
3.2. Registrierung
Ihr erster Schritt ist die TISAX-Registrierung.
Der Hauptzweck der TISAX-Registrierung besteht darin, Informationen über Ihr Unternehmen zu sammeln. Wir verwenden einen Online-Registrierungsprozess, um Ihnen zu helfen, uns diese Informationen zur Verfügung zu stellen.
Die Registrierung ist die Voraussetzung für alle weiteren Schritte und sie ist kostenpflichtig.
Während des Online-Registrierungsprozesses:
-
bitten wir Sie um Kontaktdaten und Abrechnungsinformationen.
-
müssen Sie unsere Allgemeinen Geschäftsbedingungen akzeptieren.
-
können Sie den Scope der Informationssicherheitsprüfung festlegen.
Um direkt mit diesem Schritt zu starten, lesen Sie bitte weiter in Abschnitt 4, “Registrierung (Schritt 1)”.
Der Online-Registrierungsprozess ist in Abschnitt 4.5, “Online-Registrierungsprozess” ausführlich beschrieben. Aber wenn Sie gleich anfangen wollen, gehen Sie bitte zu enx.com/de-de/TISAX/.
3.3. Prüfung
Im zweiten Schritt durchlaufen Sie die Informationssicherheitsprüfung.
Es gibt vier Teilschritte:
-
Prüfungsvorbereitung
Sie müssen die Prüfung vorbereiten. Das Maß hängt vom derzeitigen Reifegrad Ihres Informationssicherheits-managementsystems ab. Aber Ihre Vorbereitung muss auf dem ISA-Katalog basieren. -
Prüfdienstleisterauswahl
Sie müssen einen unserer TISAX-Prüfdienstleister auswählen. -
Informationssicherheitsprüfung(en)
Ihr Prüfdienstleister führt die Prüfung auf der Grundlage eines Prüf-Scopes durch, der zu den Anforderungen Ihres Partners passt. Der Prüfprozess besteht mindestens aus der Erstprüfung.
Wenn Ihr Unternehmen die Prüfung nicht im ersten Anlauf besteht, kann der Prüfprozess weitere Schritte erforderlich machen. -
Prüfergebnis
Sobald Ihr Unternehmen die Prüfung bestanden hat, erhalten Sie von Ihrem Prüfdienstleister den offiziellen „TISAX Assessment Bericht“. Ihr Prüfergebnis erhält auch TISAX-Labels[2].
Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 5, “Prüfung (Schritt 2)”.
3.4. Austausch
Ihr dritter und letzter Schritt besteht darin, Ihr Prüfergebnis mit Ihrem Partner zu teilen. Der Inhalt des „TISAX Assessment Berichts“ ist in Ebenen gegliedert. Sie können entscheiden, bis zu welcher Ebene Ihr Partner Zugang erhält.
Ihr Prüfergebnis ist drei Jahre gültig. Sofern Sie dann noch Zulieferer Ihres Partners sind, müssen Sie Ihr Prüfergebnis erneuern, indem Sie den 3-schrittigen Prozess erneut durchlaufen[3].
Weitere Informationen zu diesem Schritt finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.
Nachdem Sie nun eine grundlegende Vorstellung davon haben, wie der TISAX-Prozess aussieht, finden Sie in den nächsten Abschnitten Anweisungen, wie Sie die einzelnen Schritte absolvieren können.
4. Registrierung (Schritt 1)
Die geschätzte Lesezeit für den Registrierungsabschnitt beträgt 30-40 Minuten.
4.1. Überblick
Die TISAX-Registrierung ist Ihr erster Schritt. Sie ist die Voraussetzung für alle weiteren Schritte.
Die folgenden Abschnitte führen Sie durch die Registrierung:
-
Wir beginnen mit der Erläuterung eines wesentlichen neuen Begriffs.
-
Dann beraten wir Sie, was Sie tun sollten, um auf die Online-Registrierung vorbereitet zu sein.
-
Anschließend führen wir Sie durch den Online-Registrierungsprozess.
4.2. Sie sind ein TISAX-Teilnehmer
Lassen Sie uns zuerst einen neuen Begriff einführen, den Sie verstehen müssen. Bisher waren Sie der „Zulieferer“. Sie sind hier, um eine Anforderung Ihres „Kunden“ zu erfüllen. TISAX selbst unterscheidet jedoch nicht wirklich zwischen diesen beiden Rollen. Für TISAX ist jeder, der sich registriert hat, ein „Teilnehmer“. Sie — wie auch Ihr Partner — „beteiligen“ sich am Austausch von Ergebnissen von Informationssicherheitsprüfungen.
Um die beiden Rollen von Anfang an abzubilden, bezeichnen wir Sie, den Zulieferer, als „aktiven Teilnehmer“. Wir bezeichnen Ihren Partner als „passiven Teilnehmer“. Als „aktiver Teilnehmer“ werden Sie TISAX-geprüft und teilen Ihr Prüfergebnis mit anderen Teilnehmern. Der „passive Teilnehmer“ ist derjenige, der eine TISAX-Prüfung verlangt. Der „passive Teilnehmer“ erhält Ihr Prüfergebnis.
Jedes Unternehmen kann in beiden Rollen agieren. Sie können ein Prüfergebnis mit Ihrem Partner teilen und gleichzeitig Ihre eigenen Zulieferer auffordern, sich nach TISAX prüfen zu lassen.
Sofern Ihre eigenen Zulieferer auch mit den schutzbedürftigen Informationen Ihres Partners umgehen, kann es sogar besonders sinnvoll sein, wenn Sie Ihre eigenen Zulieferer auffordern, sich einer TISAX-Prüfung zu unterziehen.
4.3. Vorbereitung auf die Registrierung
In diesem Abschnitt geben wir Ihnen Empfehlungen, wie Sie sich auf die Registrierung vorbereiten. Wir beschreiben den Registrierungsprozess selbst im Detail in Abschnitt 4.5, “Online-Registrierungsprozess”.
Bevor Sie mit der Online-Registrierung beginnen, empfehlen wir Ihnen dringend:
-
einige Informationen im Voraus zusammen zu tragen
-
und bereits einige Entscheidungen zu treffen.
4.3.1. Die rechtliche Grundlage
Normalerweise müssen Sie zwei Verträge unterschreiben. Den ersten Vertrag gehen Sie zwischen Ihnen und der ENX Association ein: Die „TISAX Allgemeine Teilnahmebedingungen“ (TISAX-Teilnehmer-AGBs). Der zweite Vertrag besteht zwischen Ihnen und einem unserer TISAX-Prüfdienstleister. Für die Registrierung betrachten wir nur den ersten Vertrag.
Die TISAX-Teilnehmer-AGBs regeln unsere gegenseitige Beziehung und Ihre Beziehung zu anderen TISAX-Teilnehmern. Sie definieren die Rechte und Pflichten für uns alle. Neben den üblichen Klauseln, die Sie in den meisten Verträgen finden, definieren sie den Umgang mit den während des TISAX-Prozesses erhaltenen und ausgetauschten Informationen im Detail. Hauptziel dieser Regeln ist dabei der vertrauliche Umgang mit den TISAX-Prüfergebnissen. Da alle TISAX-Teilnehmer den gleichen Regeln unterliegen, können Sie von Ihrem Partner (in seiner Rolle als passiver Teilnehmer) einen angemessenen Schutz Ihres TISAX-Prüfergebnisses erwarten.
Bei der Online-Registrierung werden wir Sie relativ früh bitten, die TISAX-Teilnehmer-AGBs zu akzeptieren. Da es sich um einen richtigen Vertrag handelt, empfehlen wir Ihnen, die TISAX-Teilnehmer-AGBs zu lesen, bevor Sie mit der Online-Registrierung beginnen. Ein Grund dafür ist, dass Sie je nach Ihrer Rolle in Ihrem Unternehmen gegebenenfalls eine Genehmigung von einem internen oder externen Anwalt einholen müssen.
Sie können die „TISAX Allgemeine Teilnahmebedingungen“[4] auf unserer Website herunterladen unter:
enx.com/de-de/TISAX/downloads/
Direkter PDF-Download:
enx.com/tisaxgtcde.pdf
|
Wichtiger Hinweis: Die TISAX-Teilnehmer-AGBs sind in einer deutschen Übersetzung verfügbar. Bei der Online-Registrierung müssen Sie allerdings die englische Version akzeptieren (diese ist ebenfalls im oben verlinkten Dokument enthalten). |
Während des Online-Registrierungsprozesses werden Sie gebeten, zwei Pflichtkästchen anzukreuzen:
-
❏ We accept the TISAX Participation General Terms and Conditions
Wir akzeptieren die TISAX Allgemeine Teilnahmebedingungen -
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
Wir bestätigen die Kenntnis des Antragstellers von der Befreiung der beruflichen Schweigepflicht des Prüfdienstleisters gemäß Abschnitt IX.5. und X.3 der TISAX Allgemeine Teilnahmebedingungen;
Das zweite Kästchen gibt es, da einige unserer TISAX-Prüfdienstleister Wirtschaftsprüfer sind. Sie haben besondere Anforderungen hinsichtlich des Berufsgeheimnisses.
In der Regel verbieten es die besonderen Anforderungen hinsichtlich des Berufsgeheimnisses den Wirtschaftsprüfern unter unseren Prüfdienstleistern, Informationen mit uns zu teilen. Dies würde insbesondere die Kontrollmöglichkeiten aushebeln, die wir für unsere Führungsrolle benötigen. Deshalb brauchen wir diese Freigabe. Sie sollten in Erwägung ziehen, diesen Klauseln besondere Aufmerksamkeit zu schenken, bevor Sie das Kästchen ankreuzen.
Wenn Sie üblicherweise eine Geheimhaltungsvereinbarung („NDA“) zwischen Ihnen und jedem benötigen, der mit vertraulichen Informationen umgeht, bitten wir Sie, die entsprechenden Abschnitte in unseren AGBs zu lesen. Diese sollten alle Ihre Bedenken zerstreuen. Außerdem müssen Sie uns in der Regel überhaupt keine vertraulichen Informationen geben.
Zum Abschluss des rechtlichen Teils bitten wir um Verständnis, dass das System davon abhängt, dass jeder die gleichen Regeln akzeptiert. Wir können daher keine zusätzlichen Allgemeinen Geschäftsbedingungen akzeptieren[5].
4.3.2. Der TISAX-Prüf-Scope
Im zweiten Schritt des TISAX-Prozesses führt einer unserer TISAX-Prüfdienstleister die Informationssicherheitsprüfung durch. Er muss wissen, wo er anfangen und wo er aufhören soll. Deshalb müssen Sie einen „Prüf-Scope“ (Scope = Umfang; Assessment scope) definieren.
Der „Prüf-Scope“ beschreibt den Umfang der Informationssicherheitsprüfung. Einfach ausgedrückt ist jeder Teil Ihres Unternehmens, der mit vertraulichen Informationen Ihres Partners umgeht, Teil des Prüf-Scopes. Sie können ihn als ein wesentliches Element der Aufgabenbeschreibung des Prüfdienstleisters betrachten. Er gibt vor, was der Prüfdienstleister zu prüfen hat.
Der Prüf-Scope ist aus zwei Gründen wichtig:
-
Ein Prüfergebnis erfüllt nur dann die Anforderungen Ihres Partners, wenn der jeweilige Prüf-Scope alle Teile Ihres Unternehmens umfasst, die mit Informationen Ihres Partners umgehen.
-
Ein genau definierter Prüf-Scope ist eine wesentliche Voraussetzung für aussagekräftige Kostenkalkulationen durch unsere TISAX-Prüfdienstleister.
|
Wichtiger Hinweis: ISO/IEC 27001 vs. TISAX Zunächst müssen wir zwischen zwei Arten von Scopes unterscheiden: Für die ISO/IEC 27001-Zertifizierung definieren Sie den Scope Ihres ISMS (im „Scope-Statement“). Bei der Definition des Scopes Ihres ISMS sind Sie völlig frei. Der Scope der Prüfung (auch „Audit-Scope“ genannt) muss jedoch mit dem Scope Ihres ISMS identisch sein. Für TISAX müssen Sie ebenfalls Ihr ISMS definieren. Der Scope der Prüfung kann jedoch unterschiedlich sein. Bei der ISO/IEC 27001-Zertifizierung können Sie den Scope der Prüfung durch die Art und Weise, wie Sie den Scope Ihres ISMS definieren, frei gestalten. Im Gegensatz dazu ist bei TISAX der Scope der Prüfung vordefiniert. Der Scope der Prüfung kann kleiner sein als der Scope Ihres ISMS. Er muss aber innerhalb des Scopes Ihres ISMS liegen. |
4.3.2.1. Beschreibung des Prüf-Scopes
Die Beschreibung des Prüf-Scopes definiert den Umfang der Prüfung. Für die Beschreibung des Prüf-Scopes müssen Sie einen von zwei Prüf-Scope-Typen wählen:
-
Standard scope ( Standard-Scope)
-
Custom scope ( Angepasster Scope)
-
Custom extended scope ( Angepasster erweiterter Scope)
-
Full custom scope ( Vollständig angepasster Scope)
-
4.3.2.2. Standard-Scope
Die Beschreibung des Standard-Scope ist die Grundlage für eine TISAX-Prüfung. Andere TISAX-Teilnehmer akzeptieren nur Prüfergebnisse, die auf der Beschreibung des Standard-Scope basieren.
Die Beschreibung des Standard-Scope ist vordefiniert und kann nicht von Ihnen geändert werden.
Einen Standard-Scope zu haben hat für Sie den bedeutenden Vorteil, dass Sie sich keine eigene Definition überlegen müssen.
Dies ist die Beschreibung des „Standard scope“ (Version 2.0):
|
|
The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations. The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment. |
Der TISAX Scope definiert den Umfang der Prüfung. Die Prüfung umfasst alle Prozesse, Verfahren und beteiligte Ressourcen, die unter der Verantwortung der zu prüfenden Organisation stehen und die für die Sicherheit der in den genannten Prüfzielen definierten Schutzobjekte und deren Schutzziele an den aufgeführten Standorten relevant sind. Die Prüfung wird mindestens im höchsten Assessment-Level durchgeführt, das in einem der aufgeführten Prüfziele gefordert ist. Alle in den aufgelisteten Prüfzielen geforderten Kriterien sind Gegenstand der Prüfung. |
Wir empfehlen dringend, den Standard-Scope zu wählen. Alle TISAX-Teilnehmer akzeptieren die Ergebnisse der Informationssicherheitsprüfung auf Basis des Standard-Scopes.
4.3.2.3. Festlegung des Scopes
Ihre nächste Aufgabe nach der Definition des Scope-Typs ist die Entscheidung, welche Standorte zum Prüf-Scope gehören.
Ist Ihr Unternehmen klein (also nur ein Standort), so ist dies eine einfache Aufgabe. Sie fügen einfach Ihren Standort zum Prüf-Scope hinzu.
Ist Ihr Unternehmen groß, können Sie die Registrierung mehrerer Prüf-Scopes in Betracht ziehen.
Ein einziger Scope, der alle Ihre Standorte enthält, bietet Vorteile:
-
Sie haben einen Prüfbericht, ein Prüfergebnis, ein Ablaufdatum.
-
Sie profitieren möglicherweise von reduzierten Kosten für die Prüfung, da ein TISAX-Prüfdienstleister Ihre zentralen Prozesse, Verfahren und Ressourcen nur einmal bewerten muss.
Aber ein einzelner Scope kann Nachteile haben wie:
-
Alle Standorte müssen die selben Prüfziele haben.
-
Die Prüfergebnisse stehen erst dann zur Verfügung, sobald der TISAX-Prüfdienstleister alle Standorte geprüft hat. Diese Tatsache kann relevant sein, wenn Sie dringend ein Prüfergebnis benötigen.
-
Das Prüfergebnis hängt davon ab, dass alle Standorte die Prüfung bestehen. Wenn nur ein Standort die Prüfung nicht besteht, haben Sie kein positives Prüfergebnis. Um das zu umgehen können Sie: a) den Standort aus dem Scope nehmen, b) die Probleme lösen, c) den Standort nachträglich mit einer Scope-Erweiterungsprüfung wieder hinzufügen.
4.3.2.4. Maßschneidern des Scopes
Die Frage, ob Sie nur einen oder mehrere Scopes brauchen, können nur Sie beantworten. Aber die Beantwortung der Fragen im folgenden Diagramm kann Ihnen bei der Entscheidung möglicherweise helfen.
|
Bitte beachten Sie: Lassen Sie sich von dieser Entscheidung nicht einschüchtern. Sie können jeden Scope ändern, solange der Prüfdienstleister die Prüfung nicht abgeschlossen hat. Wenn Sie beispielsweise während der Vorbereitung auf Ihre Prüfung feststellen, dass der Scope nicht passt, dann können Sie ihn entsprechend ändern. Oder Ihr Prüfdienstleister empfiehlt Ihnen möglicherweise in den ersten Phasen der Prüfung, den Scope zu ändern. Weitere Hinweise:
|
4.3.2.5. Scope-Standorte
Nachdem Sie nun entschieden haben, welche Standorte Teil Ihres Prüf-Scopes sind, können Sie damit weitermachen, einige standortspezifische Informationen zusammen zu tragen.
Für jeden Standort fragen wir nach Informationen wie Firmenname und Adresse. Wir bitten auch um einige zusätzliche Informationen, die es unseren TISAX-Prüfdienstleistern ermöglichen, sich ein besseres Bild von Ihrer Unternehmensstruktur zu machen. Ihre Antworten sind die Grundlage für deren Aufwandsabschätzung.
Bitte bereiten Sie sich darauf vor, die folgenden Angaben für jeden Ihrer Standorte anzugeben (das rote Sternchen * markiert Pflichtfelder im Online-Prozess):
Feld | Optionen |
---|---|
Standortname * |
n/a |
n/a |
|
Standortart * |
Campus im Besitz und ausschließlich vom Unternehmen genutzt |
Passiver Standortschutz * |
Ja |
Branche |
Informationstechnologie
|
Management
|
|
Medien
|
|
Forschung Und Entwicklung
|
|
Produktion
|
|
Verkauf und Kundendienst
|
|
Andere Branche |
|
Mitarbeiter am Standort: Insgesamt * |
0 |
Mitarbeiter am Standort: IT * |
0 |
Mitarbeiter am Standort: Informationssicherheit * |
0 |
Mitarbeiter am Standort: Standortsicherheit * |
0 |
Zertifikate für diesen Standort |
ISO 27001 |
|
Bitte beachten Sie: Bezügliche der „Branche“: Wählen Sie nach bestem Wissen. Es gibt kein Richtig oder Falsch bei der Auswahl aus den obigen Optionen. Wenn Sie keine Option finden, die zu Ihrer Art von Geschäft passt, geben Sie einfach die passende Option unter „Sonstiges“ ein. |
Für jeden Standort müssen Sie einen „Location name“ ( Standort-Name) angeben. Der Zweck des Standort-Namens ist es, das Referenzieren des Standorts bei seiner Zuordnung zu einem Prüf-Scope zu vereinfachen.
Wir empfehlen, den Standort-Namen nach folgendem Muster zu vergeben:
Muster: |
[Geografische Referenz] |
Beispiel: |
für die fiktive Firma „ACME“
|
4.3.2.6. Scope-Name
Für jeden Scope müssen Sie einen „Scope name“ ( Scope-Name) angeben. Der Hauptzweck des Scope-Namens besteht darin, dass Sie einen Scope in der Übersichtsliste der Scopes im ENX-Portal leicht identifizieren können. Sie sollten einen Namen vergeben, der für den Leser und Ihre Kollegen hilfreich ist. Für die externe Kommunikation sollten Sie die Scope ID verwenden.
Sie können jeden beliebigen Namen angeben. Aber Sie sollten denselben Scope-Namen nicht mehr als einem Scope zuweisen.
Wenn Sie später Ihre TISAX-Prüfung erneuern möchten, müssen Sie einen neuen Scope erstellen (möglicherweise identisch mit dem jetzigen Scope). Wir empfehlen daher, das Jahr der Prüfung in den Scope-Namen aufzunehmen.
Wir empfehlen, Scope-Namen nach folgendem Muster zu vergeben:
Muster: |
[Geografische oder funktionale Referenz] [Jahr der Prüfung] |
Beispiel: |
für die fiktive Firma „ACME“
|
4.3.2.7. Ansprechpartner
Für unsere Kommunikation mit Ihnen sammeln wir Informationen über Ansprechpartner in Ihrem Unternehmen.
Wir bitten um mindestens einen Ansprechpartner für Ihr Unternehmen als TISAX-Teilnehmer im Allgemeinen und einen für jeden Prüf-Scope. Sie haben die Möglichkeit, weitere Ansprechpartner anzugeben.
Bei der Vorbereitung auf Ihre Registrierung sollten Sie entscheiden, wer in Ihrem Unternehmen Ansprechpartner sein wird.
Wir bitten um die folgenden Kontaktdaten:
Angabe | Pflichtfeld? | Beispiel | |
---|---|---|---|
1. |
Anrede |
Ja |
Frau, Herr |
2. |
Akademischer Grad |
Dr., Prof., andere |
|
3. |
Vorname |
Ja |
John |
4. |
Nachname |
Ja |
Doe |
5. |
Jobtitel |
Ja |
Leiter IT |
6. |
Abteilung |
Ja |
Informationstechnologie |
7. |
Telefonnummer |
Ja |
+49 69 986692777 |
8. |
Weitere Telefonnummer |
||
9. |
E-Mail-Adresse |
Ja |
john.doe@acme.com |
10. |
Bevorzugte Sprache |
Ja |
Englisch (Standard) |
11. |
Andere Sprachen |
Deutsch, Französisch |
|
12. |
Weitere Empfängerbezeichnung |
HPC 1234 |
|
13. |
Adresse |
Ja |
Bockenheimer Landstraße 97-99 |
14. |
Postleitzahl |
Ja |
60325 |
15. |
Stadt |
Ja |
Frankfurt |
16. |
Bundesland/Kanton |
||
17. |
Land |
Ja |
Deutschland |
|
Wichtiger Hinweis: |
4.3.2.8. Veröffentlichen und Teilen
Der Hauptzweck von TISAX ist es, Ihr Prüfergebnis für andere TISAX-Teilnehmer zu veröffentlichen und es mit Ihrem Partner / Ihren Partnern zu teilen.
Über die Veröffentlichung und das Teilen Ihres Prüfergebnisses können Sie entweder während des Registrierungsprozesses oder zu einem späteren Zeitpunkt entscheiden.
Wenn Sie den TISAX-Prozess als Präventivschritt durchlaufen, können Sie sich bereits jetzt dafür entscheiden, Ihr Prüfergebnis in der Community der TISAX-Teilnehmer zu veröffentlichen. Ansonsten gibt es zum jetzigen Zeitpunkt nichts vorzubereiten.
Hat Ihr Partner Sie aufgefordert, den TISAX-Prozess zu durchlaufen, müssen Sie Ihr Prüfergebnis früher oder später mit Ihm teilen. Sie können mit Ihrem Partner bereits während der Registrierung Status-Informationen teilen. Sobald Ihr Prüfergebnis vorliegt, hat Ihr Partner automatisch die Berechtigung, darauf zuzugreifen[6].
Es gibt zwei Dinge, die Sie zum Teilen von Status-Informationen benötigen:
-
Die TISAX-Participant-ID Ihres Partners
In der Regel sollte Ihnen Ihr Partner seine TISAX-Participant-ID mitteilen.
Der Einfachheit halber bietet unser Registrierungsformular eine Auswahlliste von Participant-IDs von einigen Firmen, die häufig Prüfergebnisse bekommen.[7]
-
Den erforderlichen Sharing-Level
Der Sharing-Level definiert die Tiefe, bis zu der Ihr Partner auf Ihr Prüfergebnis zugreifen kann.
Entweder verlangt Ihr Partner einen bestimmten Sharing-Level. Oder Sie müssen sich entscheiden, bis zu welcher Stufe Sie Ihrem Partner Zugang zu Ihrem Prüfergebnis gewähren wollen.
Weitere Informationen zum Sharing-Level finden Sie in Abschnitt 6.5, “Sharing-Level”.
Sie wollen sicherlich dafür sorgen, dass Sie diese Informationen haben.
|
Bitte beachten Sie:
|
|
Wichtiger Hinweis: Wenn Sie Ihr Prüfergebnis nicht veröffentlichen oder nicht teilen, kann niemand Ihr Prüfergebnis sehen. |
|
Wichtiger Hinweis: Sie können keine Veröffentlichungen und kein Sharing widerrufen. Weitere Informationen finden Sie in Abschnitt 6.4, “Dauerhaftigkeit der ausgetauschten Ergebnisse”. |
|
Bitte beachten Sie: Es mag seltsam klingen, aber Sie können Ihr „Prüfergebnis“ auch dann teilen, wenn Sie noch nicht mit dem Prüfprozess begonnen haben. In diesem frühen Stadium teilen Sie lediglich den „Prüfungs-Status“. Der Teilnehmer, mit dem Sie Ihr „Prüfergebnis“ teilen, sieht, wo Sie sich im Prüfprozess befinden. Einige TISAX-Teilnehmer müssen eine Sonderfreigabe erteilen, wenn Sie TISAX-Labels vorlegen müssen, aber den Prüfprozess noch nicht abgeschlossen haben. In einem solchen Fall muss Ihr Partner möglicherweise Ihren „Prüfungs-Status“ in seinem Konto für das ENX-Portal sehen. Weitere Informationen über den Prüfungs-Status finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”. |
Weitere Informationen zum Veröffentlichen und Teilen Ihres Prüfergebnisses finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.
4.3.3. Prüfziele
Sie müssen Ihr(e) Prüfziel(e) während des Registrierungsprozesses definieren. Das Prüfziel ( Assessment objective) bestimmt die maßgeblichen Anforderungen, die Ihr Informationssicherheitsmanagementsystem (ISMS) zu erfüllen hat. Das Prüfziel richtet sich ausschließlich nach der Art der Daten, die Sie im Auftrag Ihres Partners verarbeiten.
In den folgenden Abschnitten beschreiben wir die Prüfziele und beraten Sie bei der Auswahl der richtigen Prüfziele.
Die Verwendung von Prüfzielen erleichtert die TISAX-bezogene Kommunikation mit Ihrem Partner und unseren TISAX-Prüfdienstleistern, da sie sich auf einen definierten Input für den TISAX-Prüfprozess beziehen.
|
Bitte beachten Sie: Einige Partner könnten Sie auffordern, sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen zu lassen, anstatt ein Prüfziel vorzugeben. Weitere Informationen zu den Assessment-Leveln finden Sie in Abschnitt 4.3.3.5, “Schutzbedarfe und Assessment-Level” (Unterabschnitt „Weitere Informationen“). |
4.3.3.1. Liste der Prüfziele
Derzeit gibt es zwölf TISAX-Prüfziele. Sie müssen mindestens ein Prüfziel auswählen. Sie können aber auch mehrere auswählen.
Sie können Ihr Prüfziel als Maßstab für Ihr Informationssicherheitsmanagementsystem betrachten. Das Prüfziel ist ein entscheidender Input für den TISAX-Prozess. Alle TISAX-Prüfdienstleister orientieren sich bei ihrer Prüfstrategie vor allem am Prüfziel.
Die derzeitigen TISAX-Prüfziele sind:
Nr. | Name | Beschreibung |
---|---|---|
1. |
Info high |
Handling of information with high protection needs |
2. |
Info very high |
Handling of information with very high protection needs |
3. |
Confidential |
Handling of information with high protection needs in the context of confidentiality (access to confidential information) |
4. |
Strictly confidential |
Handling of information with very high protection needs in the context of confidentiality (access to strictly confidential information) |
5. |
High availability |
Handling of information with high protection needs in the context of availability (high availability of information) |
6. |
Very high availability |
Handling of information with very high protection needs in the context of availability (very high availability of information) |
7. |
Proto parts |
Protection of Prototype Parts and Components |
8. |
Proto vehicles |
Protection of Prototype Vehicles |
9. |
Test vehicles |
Handling of Test Vehicles |
10. |
Proto events |
Protection of Prototypes during Events and Film or Photo Shoots |
11. |
Data |
Data protection according to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR) |
12. |
Special data |
Data protection according to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR) with special categories of personal data as specified in Article 9 of the GDPR |
Beispiel: Wenn Sie Erprobungsfahrten auf öffentlichen Straßen durchführen, dann ist das Prüfziel „Test vehicles“ eines Ihrer Prüfziele.
|
Bitte beachten Sie: Sie können die Prüfziele „Info high“ und „Info very high“ nur bis 31. März 2024 auswählen. Sie können die Prüfziele „Confidential“ und „Strictly confidential“ ab 1. April 2024 auswählen. Weitere Informationen zu diesem Übergang finden Sie in folgendem News-Artikel auf unserer Webseite: |
|
Wichtiger Hinweis: Bei TISAX ist in der Regel das „Prüfziel“ der Prozess-Input. Einige Partner könnten Sie hingegen auffordern, sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen zu lassen. Weitere Informationen zum Zusammenhang zwischen Schutzbedarfen und „Assessment-Leveln“ finden Sie in Abschnitt 4.3.3.5, “Schutzbedarfe und Assessment-Level”. |
4.3.3.2. Prüfziele und ISA
Der ISA enthält drei Kriterienkataloge (Informationssicherheit, Prototypenschutz, Datenschutz). Jeder Kriterienkatalog setzt sich aus sogenannten „Kontrollfragen“ und den dazugehörigen Anforderungen zusammen.
Jedes Prüfziel definiert:
-
den/die anwendbaren ISA-Kriterienkatalog(e)
-
die Kontrollfragen, die Sie beantworten müssen
-
die Anforderungen, die Sie erfüllen müssen
Für einige Prüfziele ist nur eine Teilmenge der Kontrollfragen und Anforderungen anwendbar.
Weitere Informationen zu den TISAX-Prüfzielen und den anwendbaren Kontrollfragen und Anforderungen finden Sie in Abschnitt 5.2.2, “Das ISA-Dokument verstehen”.
4.3.3.3. Prüfziele und TISAX-Labels
Ihr Partner könnte von „TISAX-Labels“ sprechen. „Prüfziele“ und „TISAX-Labels“ sind nahezu identisch. Der Unterschied besteht darin, dass Sie mit den „Prüfzielen“ in den Prüfprozess einsteigen und beim Bestehen der Prüfung die entsprechenden „TISAX-Labels“ erhalten.
Beispiel: Ihr Partner verlangt von Ihnen das TISAX-Label „Info high“. Dann wählen Sie „Info high“ als Ihr Prüfziel aus.
Die Abbildung unten zeigt Input und Output des TISAX-Prozesses:
Weitere Informationen zu TISAX-Labels finden Sie in Abschnitt 5.4.14, “TISAX-Labels”.
4.3.3.4. Auswahl des Prüfziels
Im Idealfall sagt Ihnen Ihr Partner genau, welche Prüfziele Sie erreichen müssen.
Sie müssen das Prüfziel nach eigenem Ermessen auswählen, sofern:
-
Sie eine TISAX-Prüfung anstreben, noch bevor ein Partner Sie dazu auffordert, oder
-
Ihr Partner Ihnen nicht mitteilt, welches Prüfziel Sie erreichen sollen.
|
Wichtiger Hinweis: An dieser Stelle empfehlen wir dringend, an Ihre anderen Partner zu denken. Gibt es bestehende Partner, welche die gleichen oder höhere Anforderungen haben? Erwarten Sie von zukünftigen Partnern, dass diese höhere Anforderungen haben könnten? Möglicherweise sollten Sie die Auswahl von Prüfzielen mit einem höheren Schutzbedarf in Betracht ziehen. Dadurch können Sie Probleme vermeiden, wenn andere Partner höhere Anforderungen haben. |
Wenn Sie das Prüfziel nach Ihrem eigenen Ermessen auswählen müssen, kann es hilfreich sein, die folgenden Aspekte zu bedenken:
Nr. | Prüfziel | Information |
---|---|---|
1. |
Info high |
Den Schutzbedarf (hoch, sehr hoch) können Sie möglicherweise aus der Dokumentenklassifikation Ihres Partners ableiten. |
2. |
Info very high |
|
3. |
Confidential |
Für alle Unternehmen, die Informationen erhalten und verarbeiten, die einen hohen Schutzbedarf bezüglich Vertraulichkeit haben oder gemäß dem eigenen Klassifikationsschema (z. B. VDA-Whitepaper „Harmonisierung der Klassifizierungsstufen“) typischerweise als vertraulich eingestuft sind. |
4. |
Strictly confidential |
Für alle Unternehmen, die Informationen erhalten und verarbeiten, die einen sehr hohen Schutzbedarf bezüglich Vertraulichkeit haben oder gemäß dem eigenen Klassifikationsschema (z. B. VDA-Whitepaper „Harmonisierung der Klassifizierungsstufen“) als streng vertraulich oder geheim eingestuft sind. |
5. |
High availability |
Für alle Unternehmen, bei denen von der Verfügbarkeit Ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit Ihrer Kunden abhängt und ein Ausfall in kurzer Zeit zu einem erheblichen Schaden bei Kunden führt. |
6. |
Very high availability |
Für alle Unternehmen, bei denen von der kurzfristigen Verfügbarkeit ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit Ihrer Kunden abhängt und ein Ausfall in sehr kurzer Zeit zu einem signifikant hohen Schaden bei Kunden führt. |
7. |
Proto parts |
Für alle Unternehmen, die als schutzbedürftig klassifizierte Komponenten oder Bauteile an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen. |
8. |
Proto vehicles |
Für alle Unternehmen, die als schutzbedürftig klassifizierte Fahrzeuge an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen. |
9. |
Test vehicles |
Für alle Unternehmen, die als schutzbedürftig klassifizierte Fahrzeuge zur Durchführung von Tests und Erprobungsfahrten (z. B. Testfahrten auf öffentlichen Straßen oder auf Teststrecken) überlassen bekommen. |
10. |
Proto events |
Für alle Unternehmen, die als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile für die Durchführung von Ausstellungen und Veranstaltungen (z. B. Car-Clinics, Events, Marketing-Veranstaltungen) oder Film- und Fotoshootings überlassen bekommen. |
11. |
Data |
Wenn Sie personenbezogene Daten als Auftragsverarbeiter gemäß Artikel 28 der DSGVO verarbeiten, müssen Sie wahrscheinlich „Data“ auswählen. |
12. |
Special data |
Wenn Sie besondere Kategorien personenbezogener Daten (z. B. Gesundheit oder Religionszugehörigkeit) als Auftragsverarbeiter gemäß Artikel 28 verarbeiten, dann müssen Sie wahrscheinlich „Special data“ auswählen. |
Weitere Erklärungen:
-
Wenn Sie genaue Vorgaben von Ihrem Partner haben, brauchen Sie in der Regel nicht weiter mit Ihrem Partner über Ihre Prüfziele zu sprechen. Wenn Sie jedoch keine genauen Vorgaben von Ihrem Partner haben, empfehlen wir Ihnen dringend, Ihren Partner zu konsultieren, bevor Sie den Prüfprozess beginnen.
-
Der ISA beschreibt den Umsetzungsunterschied zwischen „hohem“ und „sehr hohem“ Schutzbedarf (falls vorhanden) für jede Anforderung.
Weitere Informationen hierzu finden Sie in Abbildung 11, “Screenshot: Hauptelemente der Fragen im ISA-Kriterienkatalog „Informationssicherheit“”.
4.3.3.5. Schutzbedarfe und Assessment-Level
Ihr Partner hat verschiedene Arten von Informationen, von denen manche einen höheren Schutz erfordern als andere. Dem trägt der ISA Rechnung, indem er zwischen drei „Schutzbedarfen“ ( Protection needs) unterscheidet: normal, hoch und sehr hoch. Ihr Partner klassifiziert seine Informationen und weist in der Regel Schutzbedarfe zu.
Je höher der Schutzbedarf, desto mehr ist Ihr Partner daran interessiert, sich zu vergewissern, dass es sicher ist, Sie seine Informationen verarbeiten zu lassen. TISAX unterscheidet daher drei „Assessment-Level“ (AL). Der Assessment-Level bestimmt, welche Prüfmethode der Prüfdienstleister anwenden muss. Ein höherer Assessment-Level erhöht den Aufwand, der für die Prüfung aufgewendet wird. Dies führt zu einer größeren Sorgfalt und Genauigkeit in der Prüfung.
Die untenstehende Tabelle zeigt Ihnen, welche Assessment-Level für welche TISAX-Prüfziele gelten:
Nr. | TISAX-Prüfziel | Assessment-Level (AL) |
---|---|---|
1. |
Info high |
AL 2 |
2. |
Info very high |
AL 3 |
3. |
Confidential |
AL 2 |
4. |
Strictly confidential |
AL 3 |
5. |
High availability |
AL 2 |
6. |
Very high availability |
AL 3 |
7. |
Proto parts |
AL 3 |
8. |
Proto vehicles |
AL 3 |
9. |
Test vehicles |
AL 3 |
10. |
Proto events |
AL 3 |
11. |
Data |
AL 2 |
12. |
Special data |
AL 3 |
Assessment-Level 1 (AL 1):
Prüfungen im Assessment-Level 1 spielen meist eine Rolle für interne Zwecke im eigentlichen Sinne einer Selbsteinschätzung ( Self-assessment).
Bei einer Prüfung im Assessment-Level 1 prüft ein Prüfer, ob eine vollständige Selbsteinschätzung vorliegt. Er prüft nicht den Inhalt der Selbsteinschätzung. Er benötigt keine weiteren Nachweise.
Die Ergebnisse von Prüfungen mit dem Assessment-Level 1 haben eine niedrige Vertrauensstufe und werden daher in TISAX nicht verwendet. Aber es ist natürlich möglich, dass Ihr Partner eine solche Selbsteinschätzung außerhalb von TISAX anfordert.
Assessment-Level 2 (AL 2):
Bei einer Prüfung im Assessment-Level 2 führt der Prüfdienstleister eine Plausibilitätsprüfung Ihrer Selbsteinschätzung durch (für alle Standorte im Prüf-Scope). Er sichert dies ab, indem er Nachweise prüft[8] und ein Interview mit dem Gesamtverantwortlichen für Informationssicherheit durchführt.
Der Prüfdienstleister führt das Interview in der Regel als Webkonferenz durch. Auf Ihren Wunsch hin kann er das Interview persönlich durchführen.
Wenn Sie Nachweise haben, die Sie nicht an den Prüfdienstleister schicken möchten, können Sie eine Vor-Ort-Prüfung beantragen. So kann der Prüfdienstleister dennoch Ihre „for your eyes only“-Nachweise überprüfen.
|
Bitte beachten Sie: Es gibt eine alternative Methode zur Durchführung einer Prüfung im Assessment-Level 2. Anstelle der Plausibilitätsprüfung führt der Prüfdienstleister eine vollständige Fernprüfung durch. Diese Methode wird manchmal als "Assessment-Level 2,5" bezeichnet. Im Vergleich zu einer Prüfung im Assessment-Level 2 verifiziert der Auditor, ob Ihr ISMS die geltenden Anforderungen erfüllt. Im Gegensatz zu einer Prüfung im Assessment-Level 3 führt der Auditor jedoch nicht die Vor-Ort-Aktivitäten durch, die im folgenden Abschnitt über den Assessment-Level 3 beschrieben sind. Formal wird eine solche Prüfung wie eine Prüfung im AL 2 bewertet. Der Vorteil von AL 2,5 ist, dass der Ansatz methodisch mit AL 3 kompatibel ist. Es ist daher möglich, zu einem späteren Zeitpunkt mit überschaubarem Aufwand auf eine vollwertige Prüfung im AL 3 aufzurüsten. Für das Upgrade muss der Auditor lediglich die im nachfolgenden Abschnitt zu AL 3 beschriebenen Vor-Ort-Aktivitäten durchführen. Wir empfehlen in folgenden Fällen Prüfungen im Assessment-Level 2,5:
Weitere Informationen zum Upgrade des Assessment-Levels finden Sie in Abschnitt 7.10, “Anhang: Scope-Erweiterungsprüfung”. Diese Alternative ist optional und nicht erforderlich, um die Anforderungen von AL 2 zu erfüllen. Der Unterschied zwischen AL 2 und AL 2,5 ist für die Partner, mit denen Sie Ihr Prüfergebnis teilen, nicht sichtbar. |
Assessment-Level 3 (AL 3):
Bei einer Prüfung im Assessment-Level 3 führt der Prüfdienstleister eine umfassende Überprüfung der Einhaltung der geltenden Anforderungen durch Ihr Unternehmen durch. Der Auditor verwendet Ihre Selbsteinschätzung und die eingereichten Unterlagen, um die Prüfung vorzubereiten. Im Gegensatz zum Assessment-Level 2 wird der Prüfer jedoch alles überprüfen. Er wird:
-
Dokumente und Nachweise prüfen
-
geplante Interviews mit den Prozessverantwortlichen führen
-
die örtlichen Gegebenheiten betrachten
-
die Durchführung von Prozessen beobachten
-
ungeplante Interviews mit Prozessbeteiligten führen
|
Bitte beachten Sie: Der folgende Text bezieht sich auf mehrere Konzepte, die erst später in diesem Dokument erläutert werden. Bei AL 3 muss der Prüfdienstleister zu Ihrem Standort bzw. Ihren Standorten kommen. Wenn dies aus irgendeinem Grund vorübergehend nicht möglich ist oder einen unangemessenen Aufwand erfordern würde, kann Ihr Prüfdienstleister die Methode der videogestützten Fernprüfung verwenden, um die Vor-Ort-Aktivitäten der Prüfung durchzuführen. Ihr Prüfdienstleister muss dies im „TISAX Assessment Bericht“ als Nebenabweichung vermerken. Sobald Ihr Prüfdienstleister an Ihren Standorte bzw. Ihre Standort kommen kann, muss er eine Follow-up-Prüfung durchführen, die alle zuvor nicht möglichen Vor-Ort-Aktivitäten umfasst. Außerdem müssen Sie die Follow-up-Prüfung auch dann einplanen, wenn Sie die anderen Korrekturmaßnahmen noch nicht abgeschlossen haben. Im Vergleich zum Warten auf die Verfügbarkeit Ihres Prüfdienstleister für Vor-Ort-Aktivitäten können Sie bei diesem Ansatz bereits temporäre TISAX-Labels mit Ihrem Partner teilen. |
Assessment-Level und Prüfmethoden
Die folgende Tabelle gibt einen vereinfachten Überblick über die zu den einzelnen Assessment-Leveln gehörenden Prüfmethoden:
Prüfmethode | Assessment-Level 1 (AL 1) |
Assessment-Level 2 (AL 2) |
Assessment-Level 3 (AL 3) |
---|---|---|---|
Selbsteinschätzung |
Ja |
Ja |
Ja |
Nachweise |
Nein |
Plausibilitätsprüfung |
Eingehende Prüfung |
Interviews |
Nein |
Als Webkonferenz[9] |
Persönlich, vor Ort |
Vor-Ort-Prüfung |
Nein |
Auf Ihren Wunsch |
Ja |
Weitere Informationen:
-
Unterschied zwischen AL 2 und AL 3
Methodisch unterscheiden sich die beiden Ansätze erheblich. Bei Prüfungen im Assessment-Level 2 wird der Prüfer nicht alles verifizieren. Er prüft lediglich die Plausibilität. Daher kann der Prüfdienstleister die Ergebnisse einer Prüfung im Assessment-Level 2 nicht als Grundlage für ein Upgrade auf Assessment-Level 3 verwenden. Der Aufwand für ein Upgrade auf Assessment-Level 3 ist im Wesentlichen derselbe wie bei einer neuen Erstprüfung. -
Plausibilitätsprüfung vs. Verifizierung
Eine Plausibilitätsprüfung ist, stark vereinfacht, die Überprüfung, ob etwas existiert und richtig aussieht. Im Gegensatz dazu bedeutet eine Verifizierung, dass wirklich geprüft wird, ob etwas das ist, was es zu sein vorgibt. -
Informationsklassifikation und Schutzbedarfe
Die Zuordnung der Informationsklassifikation (beispielsweise vertraulich, geheim) zu den Schutzbedarfen kann für verschiedene Partner unterschiedlich sein. Daher können wir Ihnen, so gerne wir es tun würden, keine einfache Zuordnungstabelle zur Verfügung stellen, in der die Informationsklassifikation Ihres Partners genau einem Schutzbedarf zugeordnet wird. -
Nur einen Assessment-Level zu kennen reicht nicht aus
Manchen Partner fordern Sie möglicherweise dazu auf, dass Sie sich mit einem bestimmten „Assessment-Level“ (AL) nach TISAX prüfen lassen. Bitte haben Sie Verständnis dafür, dass ein Assessment-Level allein nicht ausreicht, um den TISAX-Prozess zu starten. Ein Assessment-Level ist nur in Verbindung mit einem ISA-Kriterienkatalog und einem zugehörigen Schutzbedarf hinreichend. In der Regel verlangen die Partner von Ihnen ein TISAX-Label (Kriterienkatalog plus Schutzbedarf). Da die Schutzbedarfe jedoch 1:1 Assessment-Leveln zugeordnet sind, ist es ausreichend, wenn Sie den/die Kriterienkatalog(e) plus Assessment-Level kennen. -
Hierarchie der Assessment-Level
Höhere Assessment-Level schließen immer auch die niedrigeren Assessment-Level ein. Wenn Ihre Prüfung beispielsweise auf Assessment-Level 3 basiert, kann es automatisch alle Anforderungen nach Assessment-Level 2 erfüllen. -
Unsere Empfehlung zu den Assessment-Leveln
Sofern Sie ein Prüfziel (und damit implizit einen zugehörigen Assessment-Level) nach eigenem Ermessen auswählen müssen, empfehlen wir Ihnen, Prüfziele zu wählen, die einen Assessment-Level 3 implizieren. Der Aufwand für TISAX-Prüfungen im Assessment-Level 3 ist in der Regel nicht höher als im Assessment-Level 2.
Insbesondere Zulieferer, die mehrere Partner haben, wählen oft Prüfziele, die einen Assessment-Level 3 implizieren. Auf diese Weise sind sie für alle zukünftigen Aufforderungen vorbereitet und müssen sich nicht mit unterschiedlichen Assessment-Leveln beschäftigen. -
Weitere wirtschaftliche Überlegungen
Bezüglich der Assessment-Level setzen sich die Gesamtkosten einer TISAX-Prüfung aus der Summe Ihrer internen Aufwände und den Kosten der Prüfung zusammen. Während die Kosten einer Prüfung im Assessment-Level 2 geringer sind, kann Ihr interner Aufwand höher sein. Dies liegt daran, dass für eine Prüfung im Assessment-Level 2 in der Regel eine umfassendere Selbsteinschätzung und eine bessere interne Dokumentation erforderlich ist. Bei Prüfungen im Assessment-Level 3 ist es für den Prüfer oft ausreichend, wenn Sie zeigen, wie Sie etwas tun, und eine grundlegende Dokumentation vorlegen. Aber ohne eine Vor-Ort-Prüfung wird der Prüfer eine genaue Dokumentation verlangen. Daher ist es nicht unüblich, Assessment-Level 3 statt Assessment-Level 2 zu wählen. Dennoch ist es eine Wahl, die eher von kleineren als von größeren Unternehmen getroffen wird.
4.3.3.6. Prüfziele und Ihre eigenen Lieferanten
TISAX fordert nicht zwangsläufig, dass Sie alle Ihre eigenen Lieferanten den gleichen Anforderungen unterwerfen. Wenn Ihr Prüfziel „Informationssicherheit mit sehr hohem Schutzbedarf“ lautet, bedeutet dies NICHT automatisch, dass Ihre eigenen Lieferanten dasselbe Prüfziel erreichen müssen. Es bedeutet nicht einmal, dass sie überhaupt TISAX-Label benötigen.
Aber Sie müssen trotzdem für alle Ihre Lieferanten überprüfen, ob die Nutzung ihrer Dienstleistungen Risiken erhöht oder neue Risiken mit sich bringt.
Zwei stark vereinfachte Beispiele:
-
Sie haben eine Richtlinie, dass normale E-Mails nicht für Daten mit sehr hohem Schutzbedarf verwendet werden. Daher muss Ihr E-Mail-Anbieter das TISAX-Label mit sehr hohem Schutzbedarf nicht erreichen.
Sie könnten zu einem ähnlichen Schluss kommen, wenn Sie nur verschlüsselte E-Mails senden und der E-Mail-Dienstleister keine Daten mit sehr hohem Schutzbedarf sehen kann. -
Sie entsorgen veraltete Ausdrucke mit sehr hohem Schutzbedarf im Reißwolf. In einem solchen Fall muss der Entsorgungsdienstleister natürlich nicht die gleichen Anforderungen erfüllen wie Sie.
Die Risikobewertung kann allerdings ergeben, dass auch Ihr Lieferant den Anforderungen an sehr hohen Schutzbedarf genügen muss. Dann sind TISAX-Labels eine Möglichkeit, dies Ihnen gegenüber entsprechend nachzuweisen.
4.3.4. Entgelt
Wir erheben ein Entgelt. In unserer Preisliste erhalten Sie Informationen zu den anfallenden Entgelten, zu eventuellen Rabatten und zu unseren Zahlungsbedingungen.
Sie können die Preisliste auf unserer Website herunterladen (die Preisliste ist nur in englischer Sprache verfügbar):
enx.com/de-de/TISAX/downloads/
Direkter PDF-Download:
enx.com/pricelist.pdf
Es gibt einige rechnungsrelevante Aspekte, die Sie bei der Vorbereitung Ihrer Registrierung berücksichtigen sollten:
-
Auswahl der Rechnungsadresse
Standardmäßig schicken wir die Rechnung an die Adresse, die Sie als Teilnehmer-Standort angegeben haben. Sie haben jedoch die Möglichkeit, eine andere Adresse für den Rechnungsempfang anzugeben.Wichtiger Hinweis:
Bitte stellen Sie sicher, dass die Rechnungsadresse korrekt ist. Rechnungslegungsvorschriften verlangen, dass die Adresse auf unserer Rechnung genau mit der (Rechnungs-)Adresse Ihres Unternehmens übereinstimmt. Aus Gründen der Compliance können wir die Rechnungsadresse nicht mehr ändern, sobald wir die Rechnung ausgestellt haben.
-
Bestellnummer
Wenn Sie eine bestimmte Bestellnummer oder Vergleichbares auf unserer Rechnung sehen möchten, haben Sie die Möglichkeit, uns eine Bestellreferenz mitzuteilen. -
Umsatzsteueridentifikationsnummer
Alle unsere Entgelte verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer (sofern zutreffend).
Diese Nummer benötigen wir für die Abwicklung von Zahlungen aus der EU. Die Angabe einer Umsatzsteueridentifikationsnummer ist verpflichtend, wenn Ihre Rechnungsadresse in einem der folgenden Länder liegt:
Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Schweden, Slowakei, Slowenien, Spanien, Tschechische Republik, Ungarn, Vereinigtes Königreich, Zypern -
Lieferantenverwaltung
|
Wichtiger Hinweis: Bitte haben Sie Verständnis dafür, dass wir aufgrund der Gegenseitigkeit zwischen allen TISAX-Teilnehmern keine weiteren Bedingungen (z. B. allgemeine Einkaufsbedingungen, Verhaltenskodizes) akzeptieren können. |
Weitere Informationen zu unserem Rechnungsstellungsprozess:
-
Individuelle Einkaufsbedingungen können wir nicht akzeptieren.
-
Wir akzeptieren:
-
Überweisungen auf das auf der Rechnung angegebene Bankkonto
-
Kreditkartenzahlungen (während des Registrierungsprozesses über unseren Zahlungsdienstleister “Stripe”)
-
-
Unsere Rechnung enthält die folgenden Verweise auf Ihre Registrierung:
-
Name und E-Mail-Adresse des Haupt-Teilnehmeransprechpartners
-
Name des Prüf-Scopes
Eine Beispielrechnung finden Sie im Anhang in Abschnitt 7.1, “Anhang: Beispielrechnung für das Entgelt”.
-
-
Die meisten Daten, die Sie für die Bearbeitung unserer Rechnung benötigen, stellen wir Ihnen direkt auf selbiger zur Verfügung. Diese und weitere Daten finden Sie in unserem Dokument „Information for Members and Business Partners“. Schicken Sie uns eine E-Mail und wir schicken Ihnen die aktuelle Version zu.
|
Bitte beachten Sie: Wir sind uns bewusst, dass der interne Prozess die Genehmigung von Zahlungen eines Unternehmens manchmal recht langwierig ist. Ihr nächster Schritt im TISAX-Prozess hängt daher nicht davon ab, dass wir die Zahlung erhalten. Aber bitte beachten Sie, dass Sie Ihr Prüfergebnis nicht teilen können, wenn wir Ihre Zahlung nicht erhalten haben. Aus diesem Grund empfehlen wir Ihnen, sicherzustellen, dass wir unsere Rechnung an den richtigen Empfänger schicken und sofern zutreffend eine Bestellreferenz enthalten ist. Vielleicht möchten Sie auch intern nachverfolgen, ob jemand die Rechnung bezahlt hat. |
|
Wichtiger Hinweis: Wir — die ENX Association — berechnen das Entgelt. Es ist nur ein Teil der Gesamtkosten einer TISAX-Prüfung. Ihr TISAX-Prüfdienstleister stellt die Kosten für die Prüfung(en) in Rechnung. Weitere Informationen zu Prüfdienstleister-bezogenen Kosten finden Sie in Abschnitt 5.3.4, “Beurteilen der Angebote”. |
|
Wichtiger Hinweis: Das Entgelt ist fällig, unabhängig davon ob Sie:
Daher kann es sein, dass die Rechnung eintrifft, bevor Sie die Erstprüfung begonnen haben. |
4.4. ENX-Portal
Im nächsten Abschnitt wird der Online-Registrierungsprozess beschrieben, in dem Sie alle Daten eingeben, die Sie wie im vorherigen Abschnitt empfohlen zusammen getragen haben. Bevor Sie den Online-Registrierungsprozess beginnen, lassen Sie uns bitte kurz den Zweck und die Vorteile des ENX-Portals erläutern.
Das ENX-Portal ermöglicht es uns, eine Datenbank aller TISAX-Teilnehmer zu pflegen und es spielt eine wichtige Rolle im gesamten TISAX-Prozess. Bei der TISAX-Registrierung geben Sie Ihre Daten ein, die die TISAX-Prüfdienstleister dann (wenn Sie zustimmen) zur Berechnung ihrer Angebote und zur Planung des Prüfverfahrens verwenden können. Nachdem Sie den TISAX-Prüfprozess durchlaufen haben, nutzen Sie die Austauschplattform auf dem ENX- Portal, um Ihr Prüfergebnis mit Ihrem Partner zu teilen.
Der Name des Portals lautet „ENX-Portal“ statt „TISAX-Portal“, da wir das Portal auch für die Verwaltung anderer Geschäftsaktivitäten (wie das ENX-Netzwerk) nutzen.
4.5. Online-Registrierungsprozess
Wenn Sie sich nach unseren obigen Empfehlungen (Abschnitt 4.3, “Vorbereitung auf die Registrierung”) vorbereitet haben, sind Sie bereit, den Online-Registrierungsprozess zu starten.
4.5.1. Erforderliche Zeit
Wie lange es dauert, hängt stark von der Anzahl der Scopes und Standorte ab, die Sie registrieren. Für Ihre erste Registrierung als Teilnehmer mit einem Scope und einem Standort sollten Sie mit mindestens 20 Minuten rechnen.
Wir empfehlen Ihnen, die Registrierung in einer einzigen Sitzung durchzuführen, da Sie im Moment einige Schritte nicht so einfach nachholen können. Sollten Sie dennoch unterbrechen müssen, werden wir uns mit Ihnen in Verbindung setzen, um fehlende Daten abzufragen.
4.5.2. Starten Sie hier
Bitte starten Sie Ihre Registrierung auf unserer Website unter:
enx.com/de-de/Account/Login/Register?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F
Grundsätzlich müssen Sie nur den Anweisungen auf dem Bildschirm folgen. Dennoch beschreiben wir im Folgenden kurz den Ablauf.
4.5.3. Portal-Account
Im ersten Schritt erstellen Sie sich einen Account für das ENX-Portal. Sie benötigen den Portal-Account, um die „Teilnehmerdaten“ Ihres Unternehmens verwalten zu können.
|
Bitte beachten Sie: Sollte das ENX-Portal behaupten, dass Ihre E-Mail-Adresse bereits verwendet wird, sprechen Sie uns bitte an. Diese Meldung kann bedeuten, dass Sie aus irgendeinem Grund bereits in unserem System gespeichert sind. |
|
Bitte beachten Sie: Wie beschrieben, sind Portal-Accounts nicht unbedingt „Teilnehmer-Ansprechpartner“ oder „Scope-Ansprechpartner“ (siehe unten) mit einer aktiven Rolle im Prüfprozess. Umgekehrt beinhaltet ein „Teilnehmer-Ansprechpartner“ oder „Scope-Ansprechpartner“ nicht automatisch die gleichen Rechte zur Verwaltung der Teilnehmerdaten wie bei einem Portal-Account. Das bedeutet, dass Kollegen, die als „Teilnehmer-Ansprechpartner“ oder „Scope-Ansprechpartner“ bestimmt werden, nicht automatisch auf die Teilnehmerdaten im ENX-Portal zugreifen können. Wenn Sie einem Kontakt, den Sie bereits im ENX-Portal angelegt haben (unabhängig davon, ob Sie ihm eine Rolle zugewiesen haben), das Recht zur Verwaltung der Teilnehmerdaten zuweisen möchten, müssen Sie ihn einladen. Weitere Informationen finden Sie in Abschnitt 4.5.5, “Teilnehmer-Ansprechpartner”. |
4.5.4. Teilnehmerregistrierung
Ihr zweiter Schritt ist die Registrierung Ihres Unternehmens als TISAX-Teilnehmer. Der „TISAX-Teilnehmer“ ist das Unternehmen, das Prüfergebnisse mit anderen Teilnehmern austauscht.
4.5.5. Teilnehmer-Ansprechpartner
Wir bitten Sie, den Teilnehmer-Hauptansprechpartner anzugeben.
Dies ist die Person, die in der Regel für alle Themen der Informationssicherheitsprüfung in Ihrem Unternehmen verantwortlich ist. Dies können entweder Sie oder jemand anderes in Ihrem Unternehmen sein.
Der Teilnehmer-Hauptansprechpartner ist in der Regel alles, was wir brauchen. Sollten Sie es vorziehen, die gesamte Kommunikation von uns und unseren TISAX-Prüfdienstleistern im Rahmen dieser Registrierung auch an andere Personen verschicken zu lassen, können Sie weitere Teilnehmer-Ansprechpartner hinzufügen.
|
Wichtiger Hinweis: |
|
Bitte beachten Sie: Sie können Ansprechpartner jederzeit zu einem späteren Zeitpunkt hinzufügen oder entfernen (auch nach Abschluss des Online-Registrierungsprozesses und auch nach Abschluss von Prüfungen). |
|
Bitte beachten Sie: Sie können keine Funktionspostfächer bzw. Gruppen-E-Mail-Adressen (wie “info@acme.de“ oder “IT@acme.de“) für Teilnehmer-Ansprechpartner verwenden. Dies steht im Einklang mit den ISA-Anforderungen bezüglich der Benutzeranmeldung. |
|
Bitte beachten Sie: Für jeden Ansprechpartner können Sie wählen, ob er Zugriff auf die Teilnehmerdaten Ihres Unternehmens haben soll. Entweder:
Um einen neuen Ansprechpartner zu erstellen: Anmelden > MEIN TISAX > ADMINISTRATOREN > Neuen TISAX-Administrator erstellen Um einen Ansprechpartner einzuladen: Anmelden > MEIN TISAX > ADMINISTRATOREN > Neuen TISAX-Administrator erstellen > Gehen Sie an das Ende der Tabellenzeile des Ansprechpartners und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten > TISAX-Administrator bearbeiten > Gehen Sie zum Abschnitt “ENX PORTAL ZUGANG“ > Setzen Sie “DIESEN KONTAKT EINLADEN“ auf “Ja“ > Klicken Sie auf “Kontakt speichern“ |
4.5.6. Allgemeine Geschäftsbedingungen
Ihr dritter Schritt ist die Annahme der „TISAX Participation General Terms and Conditions“.
Sie können mehr darüber in Abschnitt 4.3.1, “Die rechtliche Grundlage” lesen.
4.5.7. Registrierung des Prüf-Scopes
Ihr vierter Schritt ist die Registrierung des Prüf-Scopes Ihrer Informationssicherheitsprüfung.
Wir bitten Sie:
-
einen Namen für den Prüf-Scope zu vergeben.
Der Hauptzweck des Scope-Namens besteht darin, dass Sie einen Scope in der Übersichtsliste der Scopes im ENX-Portal leicht identifizieren können.
Sie können mehr darüber in Abschnitt 4.3.2.6, “Scope-Name” lesen. -
einen Prüf-Scope-Typ auszuwählen.
(Standard, Custom)
Sie können mehr darüber in Abschnitt 4.3.2, “Der TISAX-Prüf-Scope” lesen. -
den Hauptansprechpartner für den Prüf-Scope anzugeben.
Dies ist die Person, die in der Regel für die Prüfung eines bestimmten Scopes verantwortlich ist. Das können entweder Sie oder jemand anderes in Ihrem Unternehmen sein.
Der Hauptansprechpartner ist in der Regel alles, was wir brauchen. Sollten Sie es vorziehen, die gesamte Kommunikation von uns im Rahmen dieses Scopes auch an andere Personen verschicken zu lassen, können Sie weitere Teilnehmer-Ansprechpartner hinzufügen. -
Ihr(e) Prüfziel(e) auszuwählen.
Sie können mehr darüber in Abschnitt 4.3.3, “Prüfziele” lesen. -
den/die Standort/e zum Prüf-Scope hinzuzufügen.
Wir bitten Sie, alle Standorte anzugeben, die zum Prüf-Scope gehören.
Sie können mehr darüber in Abschnitt 4.3.2, “Der TISAX-Prüf-Scope” lesen.Bitte beachten Sie:
Sobald Sie einen neuen Standort angelegt haben, können Sie ihn nicht mehr bearbeiten. Für kleinere Änderungen (Umfirmierung, Tippfehler in Straßenname, Postleitzahl, Stadt, usw.) sprechen Sie uns bitte an. Wir führen die Änderungen für Sie durch.
Wichtiger Hinweis:
Dieser Hinweis ist nur relevant, wenn Sie Ihre TISAX-Labels erneuern.
Bitte verwenden Sie die vorhandenen Standort-Einträge, die Sie bei der Registrierung Ihres vorherigen Scopes erstellt und verwendet haben. Legen Sie keinen neuen Standort-Eintrag mit derselben Adresse an.
Der Grund hierfür: Einige TISAX-Teilnehmer verarbeiten die Prüfergebnisse ihrer Partner automatisch. Sie synchronisieren ihr eigenes System mit dem ENX-Portal. Schon kleine Unterschiede können die erfolgreiche Synchronisation verhindern. Außerdem überfrachten Sie Ihre Teilnehmerdaten nicht mit unnötigen Duplikaten. -
Veröffentlichungen einzurichten und Sharing-Permissions zu vergeben (optional).
Sie können sich bereits jetzt entscheiden, Ihr Prüfergebnis für andere TISAX-Teilnehmer zu veröffentlichen und es mit Ihren Partnern zu teilen. Typischerweise erlauben Sie uns zumindest zu zeigen, dass Ihr Unternehmen ein Teilnehmer ist und dass Sie den TISAX-Prozess erfolgreich durchlaufen haben.
Sie können diesen Schritt bei der Erstregistrierung ohne Konsequenzen überspringen. Sie können den Zugriff auf Ihr Prüfergebnis jederzeit nachträglich festlegen.
Sie können mehr darüber in Abschnitt 4.3.2.8, “Veröffentlichen und Teilen” lesen.Wichtiger Hinweis:
Sie können keine Veröffentlichungen oder Sharing-Permissions widerrufen.
Einzelheiten hierzu finden Sie in Abschnitt 6.4, “Dauerhaftigkeit der ausgetauschten Ergebnisse”. -
den Rechnungsempfänger anzugeben.
Wir bitten Sie anzugeben, wer unsere Rechnung(en) erhalten soll.
Sie können mehr darüber in Abschnitt 4.3.4, “Entgelt” lesen.
|
Bitte beachten Sie: Sie können hier Sie nicht viel falsch machen. Wenn Sie später feststellen, dass Sie einen etwas anderen Scope hätten registrieren sollen (Sie haben einen Ort vergessen, Sie haben ein anderes Prüfziel, usw.), kann der Prüfdienstleister die Prüfung trotzdem durchführen. Beispiel: Der Prüfer stellt fest, dass der Scope einen zusätzlichen Standort enthalten muss, den Sie ursprünglich nicht in den Scope aufgenommen haben. Der Prüfer fährt fort und aktualisiert anschließend Ihren Prüf-Scope im ENX-Portal, während er Ihr Prüfergebnis hochlädt. |
|
Bitte beachten Sie: Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt hat Ihr Prüf-Scope entweder den Status „Incomplete“ oder „Waiting for approval“. Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.1, “Übersicht: „Prüf-Scope-Status“”. |
|
Bitte beachten Sie: Für große Unternehmen mit vielen Standorten bietet TISAX die „vereinfachte Gruppenprüfung“ ( „simplified group assessment“) an. Sie können diese Option in Betracht ziehen, wenn: Für eine vereinfachte Gruppenprüfung ist der initiale Aufwand höher. Das zahlt sich jedoch aus, je mehr Standorte Sie haben. Weitere Informationen zur vereinfachten Gruppenprüfung finden Sie im Dokument „TISAX Simplified Group Assessment“ (nur auf Englisch verfügbar). Sie können das Dokument „TISAX Simplified Group Assessment“ auf unserer Website herunterladen: Direkter PDF-Download: |
|
Bitte beachten Sie: Sobald wir Ihren Prüf-Scope registriert haben, können Sie ihn nicht mehr selbst ändern. Wenn Sie glaubwürdig versichern können, dass Sie Ihr „TISAX Scope Excerpt“ noch NICHT an unsere Prüfdienstleister geschickt haben, sprechen Sie uns bitte an. Wir können ihn für Sie ändern. Wenn Sie Ihren „TISAX Scope Excerpt“ bereits an unsere Prüfdienstleister geschickt haben, erstellen Sie einfach die neue(n) Standort(e) im ENX-Portal (falls zutreffend) und besprechen Sie alle Änderungen mit Ihrem Prüfdienstleister. Ihr Prüfdienstleister wird die Prüfung auf der Grundlage der Änderungen durchführen und die Scope-Informationen im ENX-Portal aktualisieren. |
|
Bitte beachten Sie: Es ist Ihnen nicht möglich, einen Prüf-Scope im ENX-Portal zu löschen. Falls Sie versehentlich einen Prüf-Scope angelegt haben, sprechen Sie uns bitte an. Wir werden ihn für Sie löschen. |
4.5.8. Bestätigungs-E-Mail
Sobald Sie alle oben genannten verpflichtenden Schritte abgeschlossen haben, werden wir Ihren Antrag prüfen. Wir schicken Ihnen dann eine Bestätigungs-E-Mail.
Diese E-Mail hat zwei wichtige Elemente:
-
Eine Liste mit den Ansprechpartnern aller TISAX-Prüfdienstleister
Sie müssen sich für einen unserer TISAX-Prüfdienstleister entscheiden, der die Prüfung Ihres Prüf-Scopes durchführt. Über die Ansprechpartner können Sie Angebote anfordern.
Weitere Informationen zur Prüfdienstleisterauswahl finden Sie in Abschnitt 5.3, “Auswahl eines Prüfdienstleisters”. -
Den „TISAX Scope Excerpt“ als angehängte PDF-Datei
Er enthält:
-
Die Informationen, die wir in unserer Datenbank gespeichert haben
-
Ihre Participant-ID
Siehe Abschnitt 4.5.8.1, “Participant-ID” weiter unten. -
Ihre Scope-ID
Siehe Abschnitt 4.5.8.2, “Scope-ID” weiter unten.
-
Ein Beispiel für unsere Bestätigungs-E-Mail finden Sie in Abschnitt 7.2, “Annex: Beispiel einer Bestätigungs-E-Mail”.
Ein Beispiel für den „TISAX Scope Excerpt“ finden Sie in Abschnitt 7.3, “Anhang: Beispiel eines TISAX Scope Excerpt”.
Sie erhalten unsere Bestätigungs-E-Mail in der Regel innerhalb von drei Werktagen.
Wenn Sie nicht innerhalb von sieben Werktagen von uns hören, überprüfen Sie bitte, ob Sie a) alle Angaben gemacht haben und b) der Prüf-Scope-Status „Warten auf ENX Genehmigung“ ist. Erst wenn alles vollständig ist, beginnen wir mit der Bearbeitung Ihrer Registrierung. Wenn Sie glauben, dass alles vollständig ist und wir Sie noch nicht kontaktiert haben, dann sprechen Sie uns bitte an.
Wir schicken unsere Bestätigungs-E-Mail an den Teilnehmer-Hauptansprechpartner.
|
Bitte beachten Sie: Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt hat Ihr Prüf-Scope den Status „Warten auf ENX Genehmigung“. |
In den nächsten beiden Unterabschnitten finden Sie detaillierte Informationen über den Zweck Ihrer Participant-ID und der Scope-ID.
4.5.8.1. Participant-ID
Die Participant-ID:
-
identifiziert einen TISAX-Teilnehmer.
-
ist einmalig für jeden Teilnehmer.
-
wird von uns bei Abschluss der Registrierung vergeben.
-
ist Voraussetzung für die Beauftragung einer Informationssicherheitsprüfung durch einen unserer TISAX-Prüfdienstleister.
-
sieht folgendermaßen aus:
Abbildung 7. Format der Participant-ID[12]
|
Bitte beachten Sie: Es gibt zwei Möglichkeiten, Ihre Participant-ID zu finden:
|
4.5.8.2. Scope-ID
Die Scope-ID:
-
identifiziert einen Prüf-Scope.
-
ist einmalig für jeden Prüf-Scope.
-
wird von uns bei Abschluss der Registrierung vergeben.
-
ist Voraussetzung für die Beauftragung einer Informationssicherheitsprüfung durch einen unserer TISAX-Prüfdienstleister.
-
sieht folgendermaßen aus:
|
Bitte beachten Sie: Es gibt zwei Möglichkeiten, Ihre Scope-ID zu finden:
|
|
Bitte beachten Sie: Jeder Prüf-Scope (identifiziert durch seine Scope-ID) durchläuft einen Lebenszyklus. Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5, “Anhang: „Prüf-Scope-Status“ (Assessment scope status)”. |
4.5.9. Statusinformation
Zu diesem Zeitpunkt gibt es zwei relevante Status, mit denen wir Ihre Position im TISAX-Prozess beschreiben:
-
„Participant status“
-
Prüf-Scope-Status
Die folgende Abbildung veranschaulicht die Bedingungen, die erfüllt sein müssen, um einen bestimmten Status zu erreichen:
Die Statusdefinitionen und was Sie tun müssen, um zum nächsten Status zu gelangen, finden Sie im Anhang.
Weitere Informationen über den:
-
Participant status finden Sie in Abschnitt 7.4, “Anhang: „Participant status“ (Participant-Status)”.
-
Prüf-Scope-Status finden Sie in Abschnitt 7.5, “Anhang: „Prüf-Scope-Status“ (Assessment scope status)”.
4.5.10. Änderungen Ihrer Registrierungsdaten
|
Bitte beachten Sie: Alle Antworten zum Lebenszyklus Ihrer Daten finden Sie in Abschnitt 7.9, “Anhang: Lebenszyklusmanagement der Teilnehmerdaten”. Er enthält Anweisungen für den Fall, dass Sie Daten wie Ihren Firmennamen oder Ihre Kontaktdaten ändern oder aktualisieren möchten. |
Herzlichen Glückwunsch, Sie sind jetzt registrierter TISAX-Teilnehmer. Sie sind bereit für den nächsten Schritt im TISAX-Prozess.
5. Prüfung (Schritt 2)
Die geschätzte Lesezeit für den Prüfungsabschnitt beträgt 30-35 Minuten.
5.1. Überblick
Die TISAX-Registrierung ist Ihr zweiter Schritt. Hier erledigen Sie die meiste Arbeit der TISAX-Prüfung.
Die folgenden Abschnitte führen Sie durch die Prüfung:
-
Wir beginnen mit der Erläuterung, wie Sie die ISA-Selbsteinschätzung verwenden, um herauszufinden, ob Sie auf eine TISAX-Prüfung vorbereitet sind.
-
Dann beraten wir Sie, wie Sie einen unserer TISAX-Prüfdienstleister auswählen.
-
Anschließend beschreiben wir Ihren Weg durch den Prüfprozess.
-
Am Ende erklären wir Ihnen das „Prozessergebnis“: Ihr Prüfergebnis und die damit verbundenen TISAX-Labels.
5.2. Selbsteinschätzung auf Basis des ISA
Um für eine TISAX-Prüfung bereit zu sein, muss in erster Linie Ihr Informationssicherheitsmanagementsystem (ISMS) in Bestform sein. Um herauszufinden, ob Ihr ISMS dem erwarteten Reifegrad entspricht, müssen Sie eine Selbsteinschätzung auf Basis des ISA durchführen.
Der ISA ("Information Security Assessment") ist ein vom "Verband der Automobilindustrie e.V." (VDA) herausgegebener Kriterienkatalog. Es ist der Branchenstandard der Automobilindustrie für Informationssicherheits-Assessments.
In den folgenden Abschnitten geben wir Ihnen praktische Hinweise zur Durchführung einer Selbsteinschätzung auf Basis des ISA.
Die Erläuterungen, Beispiele und Screenshots in diesem Handbuch basieren Version 5 des ISA.
|
Bitte beachten Sie: Informationen über Änderungen gegenüber vorigen Versionen des ISA finden Sie dessen Excel-Tabellenblatt „Änderungshistorie“. |
|
Bitte beachten Sie: Informationen darüber, welche ISA-Version für Ihre Prüfung gilt, wenn der VDA eine neue Version veröffentlicht, finden Sie in Abschnitt 7.11, “Anhang: ISA-Lebenszyklus-Management”. |
5.2.1. Laden Sie das ISA-Dokument herunter
Starten Sie Ihre Selbsteinschätzung mit dem Download des ISA-Dokuments.
Sie können es auf unserer Website herunterladen:
enx.com/de-de/TISAX/downloads/
Direkter Excel-Datei-Download:
portal.enx.com/isa5-de.xlsx
Das ISA-Dokument ist auch in englischer Sprache erhältlich:
enx.com/en-US/TISAX/downloads/
5.2.2. Das ISA-Dokument verstehen
Bevor Sie mit Ihrer Selbsteinschätzung beginnen, finden Sie hier einige Erklärungen, die hilfreich für Sie sein könnten. Diese stellen wir zusätzlich zu den offiziellen Erläuterungen und Definitionen im ISA-Dokument zur Verfügung, wobei der Schwerpunkt auf der Verwendung für TISAX-Prüfungen liegt.
5.2.2.1. Kriterienkataloge
Der ISA enthält derzeit drei „Kriterienkataloge“[13]:
1. |
Informationssicherheit |
Information Security |
2. |
Prototypenschutz |
Prototype Protection |
3. |
Datenschutz |
Data Protection |
Jeder Kriterienkatalog hat sein eigenes Excel-Tabellenblatt:
Welcher Kriterienkatalog ist für Sie relevant? Das hängt von Ihrem Prüfziel ab.
Jedes Prüfziel definiert, welche Anforderungen aus welchem Kriterienkatalog gelten. Für einige Prüfungsziele gelten nur Anforderungen aus einem Kriterienkatalog, für andere gelten Anforderungen aus mehr als einem Kriterienkatalog.
Die vorgenannten Prüfziele sind diesen Kriterienkatalogen zugeordnet:
Nr. | Prüfziel ( Assessment objective) | ISA-Kriterienkatalog(e) |
---|---|---|
1. |
Info high |
Informationssicherheit |
2. |
Info very high |
Informationssicherheit |
3. |
Confidential |
Informationssicherheit |
4. |
Strictly confidential |
Informationssicherheit |
5. |
High availability |
Informationssicherheit |
6. |
Very high availability |
Informationssicherheit |
7. |
Proto parts |
Prototypenschutz |
8. |
Proto vehicles |
Prototypenschutz |
9. |
Test vehicles |
Prototypenschutz |
10. |
Proto events |
Prototypenschutz |
11. |
Data |
Informationssicherheit |
12. |
Special data |
Informationssicherheit |
Beispiel: Wenn Sie das Prüfziel „Datenschutz“ gewählt haben, müssen Sie die Fragen im Kriterienkatalog „Informationssicherheit“ UND im Kriterienkatalog „Datenschutz“ beantworten.
Sie haben vielleicht bemerkt, dass es mehr als ein Prüfziel pro Kriterienkatalog gibt. Wie finden Sie heraus, welche Anforderungen für welches Prüfziel gelten?
Die folgende Tabelle zeigt Ihnen die geltenden Anforderungen:
Nr. | Prüfziel ( Assessment objective) | Geltende Anforderungen |
---|---|---|
1. |
Info high |
|
2. |
Info very high |
|
3. |
Confidential |
|
4. |
Strictly confidential |
|
5. |
High availability |
|
6. |
Very high availability |
|
7. |
Proto parts |
|
8. |
Proto vehicles |
|
9. |
Test vehicles |
|
10. |
Proto events |
|
11. |
Data |
|
12. |
Special data |
|
|
Bitte beachten Sie: Jede Anforderung in den beiden Spalten „Zusatzanforderungen bei hohen Schutzbedarf“ und „Zusatzanforderungen bei sehr hohen Schutzbedarf“ ist entweder mit einem „C“ wie in Confidentiality ( Vertraulichkeit) oder einem „I“ wie in Integritiy ( Integrität) oder einem „A“ wie in Availability ( Verfügbarkeit) oder einer beliebigen Kombination dieser drei Buchstaben gekennzeichnet. Wenn die obige Tabelle die Anforderungen in den beiden Spalten auf die mit einem der oben genannten Buchstaben gekennzeichneten Anforderungen eingrenzt, schließt dies immer auch die Anforderungen ein, die mit mehr als diesem Buchstaben gekennzeichnet sind. Beispiel: Alle Anforderungen, die mit „(C)“, „(C, I, A)“ oder „(C, I)“ gekennzeichnet sind, gelten dort, wo in der obigen Tabelle „C“ angegeben ist (z. B. im Prüfziel „Special data“). |
Der folgende Screenshot zeigt die Hauptelemente der Kontrollfragen im Kriterienkatalog „Informationssicherheit“. (Die anderen Kriterienkataloge haben nur eine Teilmenge dieser Elemente.) Wir erklären alle Elemente weiter unten.
5.2.2.2. Kapitel
Jeder Kriterienkatalog fasst die Fragen in Kapiteln zusammen.
Beispiel: „2 Human Resources“
Die Gruppierung basiert auf den typischen Verantwortlichkeiten in einem Unternehmen. Diese Abteilungen werden in der Spalte "Üblicher Prozessverantwortlicher" angegeben ("HR" im obigen Beispiel).
5.2.2.3. Kontrollfragen
Die Fragen zu den einzelnen Kriterienkatalogen finden Sie in den jeweiligen Excel-Tabellenblättern.
Beispiel: „4.1.2 Inwieweit wird der Zugang von Benutzern zu Netzwerkdiensten, IT-Systemen und IT-Anwendungen gesichert?”
Die Kontrollfragen werden auch als „Controls“ bezeichnet. Das ist „Prüfdienstleister-Jargon“. Die ISO-Standards, auf denen der ISA aufbaut, verwenden den Begriff „Control“.
5.2.2.4. Formularfelder für die Selbsteinschätzung
Zwischen den Spalten „Reifegrad“ und „Kontrollfrage“ befinden sich Formularfelder, die Sie für eine Selbsteinschätzung ausfüllen müssen:
Formularfeld | Zweck | Pflichtfeld? |
---|---|---|
Beschreibung der Umsetzung |
Hier sollten Sie kurz beschreiben, was Sie umgesetzt haben, um diese Frage in Ihrem Unternehmen zu beantworten. |
Ja |
Referenz Dokumentation |
Hier sollten Sie angeben, in welchen Dokumenten Sie die Umsetzung nachweisen. |
Ja |
Feststellungen/Prüfergebnis |
Hier können Sie alle Feststellungen aufschreiben, bei denen Ihrer Meinung nach eine Lücke zwischen dem, was sein sollte und dem, was ist, besteht. |
Nein |
Nur die kurze Beschreibung Ihrer Umsetzung und der Verweis auf Ihre Dokumentation sind Pflichtangaben. Diese Informationen helfen unseren TISAX-Prüfdienstleistern, Ihr Unternehmen besser zu verstehen und die Prüfung vorzubereiten.
Es gibt weitere optionale Spalten, um Sie bei Ihrer Selbsteinschätzung zu unterstützen:
-
Maßnahmen/Empfehlungen (Spalte R)
-
Datum der Feststellung (Spalte S)
-
Datum der Erledigung (Spalte T)
-
Verantwortliche Abteilung (Spalte U)
-
Kontakt (Spalte V)
|
Wichtiger Hinweis: Wenn Sie die heruntergeladene Excel-Datei öffnen und eines der Kriterienkatalog-Tabellenblätter auswählen (z. B. Informationssicherheit), werden Sie wahrscheinlich nicht sofort die Formularfelder für die Selbsteinschätzung sehen. Um sie anzuzeigen, müssen Sie auf die Gruppierungsschaltfläche für die Ebene „2“ klicken[14]. Sie finden die Schaltfläche ein wenig oberhalb und links von Zelle C1. Dadurch wird die Ansicht erweitert, um die Formularfelder für die Selbsteinschätzung anzuzeigen. Ein weiterer Tipp ist, mit den Pfeiltasten nach unten zu scrollen. Da die Zellen sehr groß sind, kann das Scrollen mit dem Scrollbalken sehr gute feinmotorische Fähigkeiten erfordern. Wenn Sie die Scroll-Funktion Ihres Zeigegeräts verwenden, könnten Sie außerdem unfreiwillig einige der größeren Zellen „überspringen“. |
5.2.2.5. Ziel
Rechts der Spalte „Kontrollfrage“ befindet sich die Spalte „Ziel“ (Spalte J). Deren Inhalt beschreibt, was Sie in Bezug auf diesen Aspekt Ihres Informationssicherheitsmanagements erreichen müssen.
Beispiel (zur Kontrollfrage 4.1.2): „Um die Berechtigung für den physischen Zutritt wie auch elektronischen Zugang zu prüfen, werden oft Identifikationsmittel wie Schlüssel, Sichtausweise oder kryptographische Tokens verwendet. Die Schutzmerkmale sind nur dann verlässlich, wenn der Umgang mit solchen Identifikationsmitteln adäquat gehandhabt wird.“
5.2.2.6. Anforderungen
Um das Ziel zu erreichen, wird von Ihnen erwartet, diese Anforderungen zu erfüllen.
Die Anforderungen sind über vier Spalten verteilt:
-
Anforderungen (muss) (Spalte K)
-
Anforderungen (sollte) (Spalte L)
-
Zusatzanforderungen bei hohem Schutzbedarf (Spalte M)
-
Zusatzanforderungen bei sehr hohem Schutzbedarf (Spalte N)
Sie müssen alle Anforderungen bis zu dem Schutzbedarf erfüllen, den Sie erreichen müssen (welchen Sie aus Ihrem Prüfziel ableiten können).
Für einige Prüfziele gilt nur eine Teilmenge der Anforderungen. Weitere Informationen zu den geltenden Anforderungen finden Sie in Tabelle 8, “Geltung der Anforderungen für die Prüfziele” in Abschnitt 5.2.2.1, “Kriterienkataloge” und insbesondere im Hinweis am Ende des Abschnitts.
Weitere Informationen zu den ISA-Definitionen der Anforderungsstufen "muss" und "soll" finden Sie unter "Schlüsselbegriffe" im Excel-Tabellenblatt "Definitionen".
|
Wichtiger Hinweis: Es ist sehr wichtig, dass Sie verstehen, dass Sie jede Anforderung im Kontext und im Sinne des Ziels interpretieren müssen. Selbst wenn Sie eine Anforderung buchstabengetreu erfüllen, ist das keine Garantie dafür, dass der Prüfdienstleister bestätigt, dass Sie sie im Kontext und im Sinne des Ziels (Spalte J) erfüllen. Die Anforderungen und deren Formulierung basieren auf einer theoretischen Umsetzung durch ein fiktionales Durchschnittsunternehmen unbekannter Größe. Der Prüfdienstleister muss immer das Ziel gegen die einzigartige Umsetzung in Ihrem Unternehmen abwägen. Was für das durchschnittliche Unternehmen angemessen ist, kann in Ihrer speziellen Situation nicht ausreichend sein. Weitere Informationen finden Sie in Abschnitt 5.2.5, “Befassen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung”. |
5.2.2.7. Reifegrade
Der ISA verwendet das Konzept der „Reifegrade“, um die Qualität aller Aspekte Ihres Informationssicherheitsmanagementsystems zu bewerten. Je ausgereifter Ihr Informationssicherheitsmanagementsystem ist, desto höher wird Ihr Reifegrad sein.
Der ISA unterscheidet sechs Reifegrade. Die detaillierte Definition finden Sie im Excel-Tabellenblatt „Reifegrade“. Für eine konsolidierte Sicht auf die Reifegrade zitieren wir aus den Kurzbeschreibungen des ISA:
Reifegrad | In einem Wort | Beschreibung |
---|---|---|
0 |
Unvollständig |
Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen. |
1 |
Durchgeführt |
Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt („informeller Prozess“) und es existieren Indizien, dass er sein Ziel erreicht. |
2 |
Gesteuert |
Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden. |
3 |
Etabliert |
Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde. |
4 |
Vorhersagbar |
Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss. (Key Performance Indicators) |
5 |
Optimierend |
Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben. |
Sie müssen den Reifegrad Ihres Informationssicherheitsmanagementsystems für jede Frage bewerten.
Geben Sie Ihren Reifegrad in der Spalte „Reifegrad“ (Spalte E) ein.
Weitere Informationen zu den Zielreifegraden und deren Auswirkungen auf Ihr Prüfergebnis finden Sie in Abschnitt 5.2.4, “Interpretieren Sie das Ergebnis der Selbsteinschätzung”.
Mit diesem besseren Verständnis sind Sie nun bereit, mit der Selbsteinschätzung zu beginnen.
5.2.3. Führen Sie die Selbsteinschätzung durch
Öffnen Sie die Excel-Datei und gehen Sie alle Kontrollfragen der einzelnen Kriterienkataloge durch, die für Ihr(e) Prüfziel(e) gelten, und ermitteln Sie den Reifegrad, der dem aktuellen Stand Ihres Informationssicherheitsmanagementsystems entspricht. Tun Sie dies nach bestem Wissen und Gewissen. Es gibt kein Richtig oder Falsch in diesem Stadium.
Nachdem Sie die Selbsteinschätzung abgeschlossen haben, sollte die Spalte „Ergebnis“ (H) im Excel-Tabellenblatt „Ergebnisse (ISA5)“ vollständig ausgefüllt sein, entweder mit Zahlen (0-5) oder „n.a.“ (wie in „not applicable“).
Wenn Sie Fragen zum ISA haben, sprechen Sie uns bitte an.
5.2.4. Interpretieren Sie das Ergebnis der Selbsteinschätzung
Die nächsten fünf Unterabschnitte erklären, wie Sie das Ergebnis Ihrer Selbsteinschätzung analysieren und interpretieren können. Die Analyse zeigt Ihnen, ob Sie für eine TISAX-Prüfung bereit sind oder (noch) nicht.
5.2.4.1. Analyse
Ihr Ergebniswert fasst das Ergebnis der Selbsteinschätzung zusammen.
Das Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad „) finden Sie im Excel-Tabellenblatt „Ergebnisse (ISA5)“ (Zelle D6). Wir werden die „Kürzung“ gleich erklären.
Um das Ergebnis Ihrer Selbsteinschätzung und Ihren Ergebniswert zu verstehen und anschließend zu interpretieren, müssen Sie zwischen zwei Analyse-Ebenen unterscheiden:
-
Frage-Ebene
Auf dieser Ebene finden Sie alle Fragen. Für jede Frage gibt es einen Zielreifegrad und Ihren Reifegrad. -
Ergebnis-Ebene
Auf dieser Ebene finden Sie das Gesamtergebnis, das die Ergebnisse aller Fragen zusammenfasst. Es gibt ein maximales Ergebnis und Ihr Ergebnis.
Die folgende Abbildung zeigt die Analyse-Ebenen:
Die folgende Abbildung zeigt Ihnen, wo Sie die Ergebnisse auf der Ergebnis-Ebene auf der Frage-Ebene finden:
Die nächste Abbildung zeigt eine vereinfachte Darstellung der Analyse-Ebenen, den ISA-Zielvorgaben und Ihrer eigenen Ergebnisse:
In den folgenden Abschnitten finden Sie eine detaillierte Erläuterung zum Ergebnis und seiner Analyse.
5.2.4.2. Der Zielreifegrad (auf Frage-Ebene)
Der ISA definiert für jede Frage einen „Zielreifegrad“ von 3.
Weitere Informationen zur Definition der einzelnen Reifegrade finden Sie in Abschnitt 5.2.2, “Das ISA-Dokument verstehen”.
Der ISA definiert die Zielreifegrade im Excel-Tabellenblatt „Ergebnisse (ISA5)“ (ab Spalte G, Zeile 22; siehe Abbildung unten).
5.2.4.3. Ihr Ergebnis (auf Frage-Ebene)
Um TISAX-Labels zu erhalten, benötigen Sie in der Regel Reifegrade für jede Frage, die gleich dem oder höher als der Zielreifegrad sind.
Beispiel: Wenn der Zielreifegrad für Frage X „3“ ist, sollte Ihr Reifegrad für diese Frage „3“ oder höher sein. Wenn Ihr Reifegrad für diese Frage unter „3“ liegt, erhalten Sie möglicherweise keine TISAX-Labels.
Dies muss für jede Frage einzeln erfolgen. Wenn der Zielreifegrad für zwei Fragen „3“ ist, können Sie einen Reifegrad von „2“ in einer Frage nicht mit einem Reifegrad von „4“ in der anderen Frage ausgleichen.
Das ISA-Dokument übernimmt automatisch Ihre Reifegrade aus dem Excel-Tabellenblatt „Informationssicherheit“ (Spalte E) in das Excel-Tabellenblatt „Ergebnisse (ISA5)“ (ab Spalte H, Zeile 23):
Ihr Reifegrad unterliegt einer Berechnung, bevor das ISA-Dokument ihn in Ihrem Ergebniswert zusammenfasst. Im Prinzip wird Ihr Reifegrad auf den Zielreifegrad „gekürzt“. Dies wird gemacht, damit Fragen, bei denen Ihr Reifegrad über dem Zielreifegrad liegt, keine Fragen kompensieren, bei denen Ihr Reifegrad unter dem Zielreifegrad liegt.
So berechnet es der ISA Ihr Ergebnis auf der Frage-Ebene:
-
Es nimmt Ihren Reifegrad und vergleicht ihn mit dem Zielreifegrad der Frage.
-
Liegt Ihr Reifegrad über dem Zielreifegrad, wird er auf den Zielreifegrad „gekürzt“.
-
Liegt Ihr Reifegrad unter oder ist gleich dem Zielreifegrad, passiert für diese Frage nichts.
Beispiel (siehe Abbildung unten): Der Zielreifegrad ist „3“. Ihr Reifegrad ist „4“. Ihr „gekürztes Ergebnis“ für diese Frage ist „3“.
Die folgende Abbildung zeigt, dass der ISA Ihren Reifegrad kürzt, wenn er über dem Zielreifegrad liegt (die Farben Grün, Orange und Rot passen zu den in der Spalte „Ergebnis“ verwendeten Farben, siehe Abbildung 19, “Ihr Reifegrad im Excel-Tabellenblatt „Ergebnisse (ISA5)“”).
Im Folgenden finden Sie eine weitere Möglichkeit, die Reifegrade auf Frage-Ebene zu betrachten. Die Farben der Kreise zeigen den Zielreifegrad oder den „Abstand“ dazu an (Beispiel: der Kreis ist Orange, wenn der Reifegrad „-1“ unter dem Zielreifegrad liegt). Die Häkchen zeigen Ihren Reifegrad an.
|
Bitte beachten Sie: Es ist möglich, eine TISAX-Prüfung erfolgreich zu bestehen, auch wenn Sie nicht bei allen Fragen den Zielreifegrad erreichen. Die entscheidende Frage in solchen Fällen ist, ob Sie ein relevantes Risiko haben. Wenn Ihr Reifegrad unter dem Zielwert liegt, aber kein Risiko besteht, kann dies dennoch ausreichend sein. |
5.2.4.4. Das Ziel (auf Ergebnis-Ebene)
Der ISA definiert einen „idealen“ Gesamtreifegrad — das „maximale Ergebnis“ (oder „Maximal erreichbar“, Zelle G6).
Theoretisch ist dieser Gesamtreifegrad der Durchschnitt aller Zielreifegrade (auf Frage-Ebene). Das ergäbe ein maximales Ergebnis von „3,0“.
Er ist aber nur „3,0“, wenn alle Fragen auf Ihre Situation zutreffen. Sobald eine Frage nicht auf Ihre Situation zutrifft, ändert sich der Durchschnitt und das maximale Ergebnis ist niedriger als „3,0“.
Eine Darstellung von weiter oben aufgreifend (Abbildung 22, “Reifegrade auf Frage-Ebene”) können Sie unten sehen, was in den Mittelwert für das maximale Ergebnis einfließt:
5.2.4.5. Ihr Ergebnis (auf Ergebnis-Ebene)
Ihr Gesamtergebnis („Ergebnis mit Kürzung auf Zielreifegrad“, Zelle D6):
-
fasst den Gesamtreifegrad Ihres Informationssicherheitsmanagementsystems zusammen.
-
ist der Durchschnitt aller Ihrer Reifegrade (auf Frage-Ebene).
-
kann kleiner oder gleich dem maximalen Ergebnis sein.
-
sollte so nahe wie möglich am maximalen Ergebnis liegen. Je mehr Ihr Ergebnis unter dem maximalen Ergebnis liegt, desto unwahrscheinlicher ist es, dass Sie in der Lage sind, TISAX-Labels zu erhalten.
Wieder eine weiter oben gezeigte Darstellung aufgreifend (Abbildung 22, “Reifegrade auf Frage-Ebene”) können Sie unten sehen, was in den Mittelwert für Ihr Ergebnis einfließt:
Ihr Ergebnis sagt Ihnen, ob Sie:
-
für eine TISAX-Prüfung bereit sind.
-
mit TISAX-Labels rechnen können.
Liegt Ihr Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) unter „3,0“, dann erreicht Ihr Reifegrad zumindest für eine Frage nicht den Zielreifegrad. In diesem Fall müssen Sie wahrscheinlich Ihr Informationssicherheitsmanagementsystem verbessern, bevor Sie für Ihre TISAX-Prüfung bereit sind.
|
Bitte beachten Sie: Für das Gesamtergebnis gibt es formale Grenzen für einen akzeptablen „Abstand“ zwischen Ihrem Ergebnis und dem maximalen Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“). Wenn Ihr Ergebnis mehr als:
|
|
Wichtiger Hinweis: Ein Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) von „3“ ist keine Garantie dafür, dass Sie die TISAX-Prüfung ohne negative Feststellungen bestehen. Bitte beachten Sie, dass der Prüfdienstleister bestimmte Aspekte möglicherweise anders sieht als Sie. |
5.2.4.6. Sind Sie bereit?
Der Zweck der obigen Analyse ist festzustellen, ob Sie für eine TISAX-Prüfung bereit sind.
Sie sind definitiv für eine TISAX-Prüfung bereit, wenn Ihr Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) (nahezu) bei „3,0“ liegt. In diesem Fall sind alle Werte in der Spalte „Ergebnisse“ (H) grün (kein Orange, kein Rot).
Andernfalls müssen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung weiter befassen (siehe Abschnitt 5.2.5, “Befassen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung”).
Die Abbildung unten zeigt das ISA-Spinnennetzdiagramm aus dem Excel-Tabellenblatt „Ergebnisse (ISA5)“. Die grüne Linie markiert den Zielreifegrad pro Kapitel. Wenn Ihre Reifegrade auf oder über dieser Linie liegen, sind Sie bereit für eine TISAX-Prüfung. Wenn sie unterhalb dieser Linie liegen, reicht dies möglicherweise nicht aus, um TISAX-Labels zu erhalten.
Wenn Sie das ISA-Spinnennetz auf die Frage-Ebene „entfalten“, erhalten Sie eine ähnliche Grün/Rot-Darstellung auf der Frage-Ebene:
5.2.5. Befassen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung
Das Ergebnis Ihrer Selbsteinschätzung kann zeigen, dass Sie Ihr Informationssicherheitsmanagementsystem verbessern müssen, bevor Sie bereit sind, TISAX-Labels zu erhalten.
Bei einigen Lücken zwischen Ihrem Reifegrad und dem Zielreifegrad wissen Sie vielleicht schon, wie Sie diese schließen können. Für andere benötigen Sie möglicherweise externe Beratung. In diesem Fall können Sie sich von unseren TISAX-Prüfdienstleistern beraten lassen. TISAX gestattet ihnen diese Beratung, verpflichtet sie aber nicht zur Beratung. Bitte beachten Sie, dass Prüfdienstleister, die für Sie beratend tätig sind, keine TISAX-Prüfungen mehr für Sie durchführen können.
|
Wichtiger Hinweis: Sich vor der Prüfung nicht richtig mit dem Ergebnis der Selbsteinschätzung auseinander zu setzen ist für viele Unternehmen ein großer Stolperstein. Bitte unterschätzen Sie nicht den Aufwand, Ihr Informationssicherheitsmanagementsystem den Anforderungen entsprechend zu gestalten. Viele Unternehmen müssen ausdrücklich ein umfangreiches Projekt aufsetzen, um sich auf eine TISAX-Prüfung vorzubereiten. |
|
Bitte beachten Sie: Wenn Sie auf der Suche nach externer Hilfe sind, um den TISAX-Prozess zu durchlaufen, werden Sie feststellen, dass verschiedene Unternehmen Beratungs- und Schulungsdienste anbieten. Alle diese Unternehmen sind nicht mit uns verbunden. Stand heute:
|
|
Bitte beachten Sie: |
5.3. Auswahl eines Prüfdienstleisters
Nur von uns zugelassene Prüfdienstleister können TISAX-Prüfungen durchführen[15]. TISAX-Prüfdienstleister dürfen für Sie nur dann TISAX-Prüfungen durchführen, wenn sie zuvor keine Beratungsaufträge bei Ihnen hatten.
Alle unsere TISAX-Prüfdienstleister sind verpflichtet, TISAX-Prüfungen ausschließlich für solche Unternehmen durchzuführen, die registrierte TISAX-Teilnehmer sind.
|
Wichtiger Hinweis: Sobald Sie einen TISAX-Prüf-Scope registriert haben, sollten Sie unsere Prüfdienstleistern ansprechen. Sie haben eine gewisse Vorlaufzeit, was ihre Verfügbarkeit angeht. Eine Kontaktaufnahme nach Abschluss Ihrer Vorbereitungen könnte zu einer unnötigen Verzögerung führen. |
|
Bitte beachten Sie: Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt muss Ihr Prüf-Scope den Status „Approved“ oder „Registered“ haben. Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.5, “Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)”. |
5.3.1. Ansprechpartner
Sobald Sie einen TISAX-Prüf-Scope registriert haben, können Sie alle TISAX-Prüfdienstleister ansprechen und Angebote anfordern. Deren Ansprechpartner finden Sie in der Bestätigungs-E-Mail, die Sie erhalten haben[16] (siehe Abschnitt 4.5.8, “Bestätigungs-E-Mail”).
|
Bitte beachten Sie: Bitte fordern Sie Angebote von unseren TISAX-Prüfdienstleistern erst an, NACHDEM Sie sich registriert haben. Die Prüfdienstleister kontrollieren, ob eine Registrierung vorhanden ist. Sie müssen Anfragen ohne Registrierung ablehnen. Aus diesem Grund erhalten Sie die Ansprechpartner der Prüfdienstleister nur in der Bestätigungs-E-Mail (und nicht über unsere öffentliche Website). |
5.3.2. Abdeckung
Obwohl derzeit viele Prüfdienstleister-Ansprechpartner in Deutschland angesiedelt sind, ist es wichtig zu verstehen, dass alle unsere Prüfdienstleister grundsätzlich dazu in der Lage sind, TISAX-Prüfungen weltweit durchzuführen. Die meisten von ihnen haben in vielen Ländern sogar eigene Mitarbeiter.
Auf unserer Website bieten wir Ihnen eine Seite an, auf der Sie Ihr Land auswählen und dann sehen können, welcher Prüfdienstleister über lokale Vertriebsmitarbeiter und/oder lokale Auditoren verfügt ( enx.com/de-de/TISAX/xap/).
5.3.3. Angebote anfordern
Damit unsere TISAX-Prüfdienstleister den zu erwartenden Prüfaufwand genau ermitteln können, sollten Sie immer Ihr „TISAX Scope Excerpt“ zur Verfügung stellen.
Weitere Informationen finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.
|
Bitte beachten Sie: Unparteilichkeit ist ein wesentliches Merkmal unserer TISAX-Prüfdienstleister. Sie werden sicherstellen, dass kein Interessenkonflikt besteht. Sie möchten das gegebenenfalls bei der Anfrage bedenken. Wenn Ihr Unternehmen in irgendeiner Weise mit einem Prüfdienstleister verbunden ist, können Sie nicht erwarten, von ihm geprüft zu werden. |
5.3.4. Beurteilen der Angebote
Sie können zwischen allen unseren TISAX-Prüfdienstleistern frei wählen. Sie sind alle an den gleichen Vertrag gebunden. Sie alle führen die Prüfungen nach den gleichen Kriterien und mit den gleichen Prüfmethoden durch. In Bezug auf das Prüfergebnis gibt es keinen Unterschied, egal für welchen Prüfdienstleister Sie sich entscheiden. Ihr Prüfergebnis wird von allen TISAX-Teilnehmern akzeptiert.
Neben offensichtlichen Faktoren wie Preis, Ruf und Sympathie gibt es bei einem Angebot einige Aspekte, auf die Sie achten können:
-
Verfügbarkeit:
Wie schnell kann der Prüfprozess beginnen? Dies kann ein wichtiger Aspekt sein, wenn eine TISAX-Prüfung für Sie dringend ist. -
Reisekosten für Vor-Ort-Termine:
Prüfdienstleister mit Niederlassungen in Ihrem Land haben möglicherweise geringere Reisekosten. -
Sprache:
Werden Sie und jeder andere Befragte in Ihrem Unternehmen in der Lage sein, mit dem Auditor in Ihrer Muttersprache zu kommunizieren? -
Angebotsumfang:
Welche Prüfungen sind enthalten?
Weitere Informationen zu Prüfungen finden Sie in Abschnitt 5.4.3, “TISAX-Prüfungstypen”.
In der Regel beinhalten die Angebote eine Erstprüfung und die Maßnahmenplanprüfung. Da der Aufwand für Follow-up-Prüfungen schwer vorhersehbar ist, werden sie in der Regel erst nach Abschluss der anderen Prüfungen angeboten.
Letztendlich wird es auf das Vertrauen ankommen. Sie müssen ein Vertrauensverhältnis zu Ihrem Prüfdienstleister aufbauen, da er einen tiefen Einblick in Ihr Unternehmen bekommen wird.
|
Bitte beachten Sie: |
|
Bitte beachten Sie: Wir würden Ihnen gerne einen Anhaltspunkt geben, wie viel unsere Prüfdienstleister für die Prüfung berechnen. Aber wir bitten um Verständnis, dass wir Ihnen diese Information nicht geben können. Die Kosten hängen von zu vielen Faktoren ab. Außerdem sind unsere Prüfdienstleister in ihrer kaufmännischen Kalkulation frei. Wir können Ihnen jedoch einige grobe Schätzungen nennen, wie viele Manntage unsere Prüfdienstleister Ihnen in Rechnung stellen werden. Für ein durchschnittliches kleines Unternehmen mit einem Standort sollten Sie mit dreieinhalb bis vier Manntagen für eine Prüfung im Assessment-Level 2 und fünf bis sechs Manntagen für eine Prüfung im Assessment-Level 3 rechnen. |
|
Bitte beachten Sie: Jede Prüfung durchläuft einen Lebenszyklus. Weitere Informationen zum Status einer Prüfung finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”. |
Nachdem Sie sich für einen unserer TISAX-Prüfdienstleister entschieden haben, können Sie endlich den TISAX-Prüfprozess anstoßen.
5.4. TISAX-Prüfprozess
5.4.1. Überblick
Der TISAX-Prüfprozess besteht aus mehreren Typen von Prüfungen. In den meisten Fällen wird es mehr als eine Prüfung geben.
Sie sollten den Prüfprozess als eine verschachtelte Folge von Schritten betrachten:
-
Sie bringen Ihr Informationssicherheitsmanagementsystem in Bestform.
-
Der Prüfdienstleister prüft, ob Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt. Vielleicht findet er Lücken.
-
Anschließend schließen Sie die Lücken innerhalb von definierten Zeiträumen.
-
Der Prüfdienstleister prüft dann erneut, ob Sie die Lücken geschlossen haben.
Diese Schritte werden abwechselnd so lange durchgeführt, bis alle Lücken geschlossen sind.
Wichtig dabei ist zu verstehen, dass Sie jeden Teilschritt im Prüfprozess einleiten. Der gesamte Prüfprozess unterliegt Ihrer Kontrolle. Und natürlich liegt es in Ihrer Hand, die Prüfungsverfahren zu stoppen und zu beenden, wann immer Sie wollen.[17]
Der TISAX-Prüfprozess hat die folgende Makrostruktur:
-
Kick-off-Meeting
Sie und der Prüfdienstleister planen die Einzelheiten des Prüfprozesses -
Assessment-Phase 1
Der Prüfdienstleister prüft Ihre Selbstauskunft -
Assessment-Phase 2
Der Prüfdienstleister führt die Prüfung(en) durch
5.4.2. Kick-off-Meeting
Der TISAX-Prüfprozess beginnt mit dem Kick-off-Meeting. Hier werden die Einzelheiten des Prüfprozesses geplant. In der Regel findet das Kick-off-Meeting als Telefonkonferenz statt. Der Prüfdienstleister führt Sie durch den Termin.
Auf der Tagesordnung stehen unter anderem die folgenden Themen:
-
Wer sind die Teilnehmer des Termins?
-
Wer ist das zu prüfende Unternehmen?
-
Wie läuft der TISAX-Prüfprozess ab?
-
Was ist der Prüf-Scope und ist er der richtige?
-
Gibt es keine Interessenkonflikte?
-
Wie sieht eine gute Selbsteinschätzung aus?
-
Wer ist für was verantwortlich?
-
Wie wird kommuniziert?
-
Wann findet die Prüfung statt (und weitere Zeitplanung)?
-
Wer muss an der/den Prüfung(en) teilnehmen?
-
An wen können Sie sich bei Beschwerden wenden?
Der Zeitraum zwischen Ende des Kick-off-Meetings und der Abgabe Ihrer Selbsteinschätzung beträgt typischerweise ein bis drei Monate. Aber auch sechs Monate sind nicht ungewöhnlich. Der Zeitraum hängt vom Stand Ihrer Vorbereitung ab. TISAX schreibt keine Fristen für diesen Zeitraum vor. Sie können sich so viel Zeit nehmen, wie Sie brauchen, um Ihre Selbsteinschätzung zu erstellen und sich auf die Prüfung vorzubereiten.
5.4.3. TISAX-Prüfungstypen
Der TISAX-Prüfprozess besteht aus diesen drei Typen von TISAX-Prüfungen:
-
Erstprüfung
-
Maßnahmenplanprüfung
-
Follow-up-Prüfung[18]
Die Erstprüfung wird immer stattfinden. Die beiden anderen TISAX-Prüfungen können stattfinden und das gegebenenfalls mehrfach. Sie werden entweder stattfinden:
-
bis Sie alle Lücken geschlossen haben
-
oder Sie den TISAX-Prüfprozess verlassen
-
oder Sie erreichen den maximalen Zeitraum von neun Monaten nach Ende der Abschlussbesprechung der Erstprüfung (woraufhin eine erneute Erstprüfung erforderlich wird).
Sämtliche TISAX-Prüfungen werden in den nächsten Abschnitten beschrieben.
|
Bitte beachten Sie: Jede Prüfung durchläuft einen Lebenszyklus. Weitere Informationen zum Status einer Prüfung finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”. |
5.4.4. TISAX-Prüfungselemente
Jede TISAX-Prüfung besteht aus den folgenden Elementen:
-
Offizielle Eröffnungsbesprechung[19][20]
-
Sie beabsichtigt, alle organisatorischen Themen abzudecken.
-
Sie muss nicht unbedingt als persönliches Treffen stattfinden.
-
Die Themen können in einem Durchgang oder über mehrere Termine verteilt behandelt werden.
-
Sie ist ein „logischer Container“ für alle organisatorischen Vor-Prüfungsthemen
-
-
Prüfverfahren
-
Ihr Prüfdienstleister prüft alle Anforderungen.
-
Die Auswahl der Prüfmethoden richtet sich nach dem jeweiligen Assessment-Level.
-
-
Offizielle Abschlussbesprechung[21]
-
Sie bildet den Abschluss einer TISAX-Prüfung.
-
Der Prüfdienstleister stellt seine Feststellungen vor.
-
Der Prüfdienstleister gibt das Prüfergebnis bekannt.
-
Sie muss nicht unbedingt als persönliches Treffen stattfinden.
-
Sie ist ein „logischer Container“ für alle organisatorischen Nach-Prüfungsthemen.
-
Nach der „Abschlussbesprechung“ erstellt und sendet Ihnen der Prüfdienstleister den Entwurf des aktualisierten „TISAX Assessment Berichts“. Sie können Einwände erheben, wenn Sie der Meinung sind, dass der Prüfdienstleister etwas falsch verstanden hat.[22] Anschließend erstellt der Prüfdienstleister den abschließenden „TISAX Assessment Bericht“.
Alle diese Elemente werden in den nächsten Abschnitten beschrieben.
5.4.5. Zur Übereinstimmung mit den Anforderungen („Konformität“)
Bevor wir den TISAX-Prüfprozess weiter skizzieren, möchten wir Ihnen ein Schlüsselkonzept erläutern, das für Ihr Verständnis der nächsten Abschnitte wesentlich ist.
Ziel einer TISAX-Prüfung ist es, festzustellen, ob Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt. Der Prüfdienstleister prüft, ob Ihr Informationssicherheitsmanagementsystem mit den Anforderungen übereinstimmt ( to conform).
Schritt 1: Die Prüfungen werden für jede anzuwendende Anforderung einzeln durchgeführt.
Wenn Ihre Herangehensweise mit sämtlichen Anforderungen übereinstimmt, bestehen Sie die Prüfung und erhalten die TISAX-Labels, die Ihren Prüfzielen entsprechen.
Alles unterhalb der vollen oder idealen Übereinstimmung mit den Anforderungen wird als „Feststellung“ ( finding) bezeichnet. TISAX unterscheidet vier Arten von Feststellungen:
Nr. | Art | Definition | Reaktion | Beispiele |
---|---|---|---|---|
1. |
Hauptabweichung |
Eine Hauptabweichung:
|
Sie müssen:
|
|
2. |
Nebenabweichung |
Eine Nebenabweichung:
|
Sie müssen:
|
|
3. |
Beobachtung |
Eine Beobachtung ist eine Nichteinhaltung der Anforderungen oder Ihrer eigenen Richtlinien, die kein unmittelbares Risiko für Ihre Informationssicherheit verursacht, dies aber in der Zukunft tun könnte. |
Sie müssen:
|
n/a |
4. |
Identifiziertes Verbesserungspotential |
Eine Abweichung, die nicht zu den vorgenannten Arten zählt und kein Risiko für Ihre Informationssicherheit darstellt, aber offensichtlich Raum für Verbesserungen bietet. |
Sie können entscheiden, ob oder wie Sie mit dieser Art Feststellung umgehen. |
n/a |
Schritt 2: Alle Ergebnisse des vorherigen Schrittes „pro Anforderung“ werden in das Gesamtprüfergebnis einbezogen.
Das Gesamtprüfergebnis kann sein:
-
Konform ( conform)
Das Gesamtprüfergebnis ist „Konform“. Alle Anforderungen sind erfüllt. -
Nebenabweichend ( minor non-conform)
Das Gesamtprüfergebnis ist „Nebenabweichend“, wenn Sie mindestens eine Nebenabweichung für eine Anforderung haben. -
Hauptabweichend ( major non-conform)
Das Gesamtprüfergebnis ist „Hauptabweichend“, wenn Sie mindestens eine Hauptabweichung für eine Anforderung haben.
(Ohne einen genehmigten Maßnahmenplan führt jede Abweichung zu einem „Hauptabweichend“-Gesamtprüfergebnis.)
Ist das Gesamtprüfergebnis:
-
„Nebenabweichend“, können Sie temporäre TISAX-Labels erhalten, bis alle Abweichungen beseitig sind.
-
„Hauptabweichend“, müssen Sie das entsprechende Problem zuerst lösen, bevor Sie TISAX-Labels erhalten können.
Mit angemessenen Kompensationsmaßnahmen und Abhilfemaßnahmen, die vom Prüfdienstleister genehmigt wurden, ist es möglich, Ihr Gesamtprüfergebnis von „Hauptabweichend“ auf „Nebenabweichend“ zu ändern und somit temporäre TISAX-Labels zu erhalten.
Es ist wichtig zu verstehen, dass sich Ihr Gesamtprüfergebnis im Laufe des gesamten TISAX-Prüfprozesses verbessert.
Ein stark vereinfachtes Beispiel: Möglicherweise haben Sie nach der Erstprüfung ein Gesamtprüfergebnis von „Hauptabweichend“. Danach mindern Sie das entsprechende Risiko. Damit ändert sich Ihr Gesamtergebnis von „Hauptabweichend“ auf „Nebenabweichend“. Und ist das Risiko dann beseitigt, ist Ihr endgültiges Gesamtergebnis „Konform“.
All dies wird im Folgenden näher erläutert. Weitere Informationen zu den TISAX-Labels finden Sie weiter unten in Abschnitt 5.4.14, “TISAX-Labels”.
5.4.6. Ihre Vorbereitung auf den TISAX-Prüfprozess
Der Prüfdienstleister bereitet die Prüfung auf Basis Ihrer Selbsteinschätzung vor. Bedenken Sie daher, dass Sie Ihre Selbsteinschätzung vorab Ihrem Prüfdienstleister zur Verfügung stellen müssen. Die genauen Abgabetermine werden im Kick-off-Meeting vereinbart.
Eine gute Vorbereitung des Prüfdienstleisters reduziert den Zeitaufwand für die Prüfung. Neben der Selbsteinschätzung wird er vor der Prüfung auch darin referenzierte Unterlagen anfordern. Das kann eine Dokumentation sein, auf die Sie in der Selbsteinschätzung verwiesen haben, sowie weitere Dokumentation, die der Prüfdienstleister für relevant hält.
Auf der Grundlage dieser Informationen plant Ihr Prüfdienstleister das Prüfverfahren.
5.4.7. Erstprüfung
Dies ist die erste TISAX-Prüfung und markiert den offiziellen Beginn des TISAX-Prüfprozesses.
|
Wichtiger Hinweis: Die Erstprüfung markiert den Beginn von zwei wichtigen Zeiträumen:
Beide Zeiträume starten beide am Tag der Abschlussbesprechung. |
|
Bitte beachten Sie: Neben den beiden oben beschriebenen Zeiträumen gibt es keine weiteren zeitlichen Beschränkungen. Beispielsweise starten weder der Abschluss der Online-Registrierung noch die Kontaktaufnahme mit unseren Prüfdienstleistern oder gar für die Durchführung des Kick-off-Meetings irgendwelche Fristen. Es bleibt Ihnen überlassen, mit der Erstprüfung zu beginnen. |
5.4.7.1. Die erste offizielle Eröffnungsbesprechung
Wie alle TISAX-Prüfungen beginnt die Erstprüfung mit einer offiziellen Eröffnungsbesprechung. Die offizielle Eröffnungsbesprechung findet in der Regel als Telefon- oder Webkonferenz statt. Für kleine Firmen, möglicherweise mit etwas Erfahrung aus anderen Audits, dauert es nicht lange.
Der Zweck dieser Besprechung ist:
-
die Überprüfung der Voraussetzungen für die Prüfung
-
die Vorstellung des Prüfungsprojektleiters und des Prüfungsteams
-
die Planung der Prüfung
5.4.7.2. Prüfverfahren
Gemäß dem vorbereiteten Plan führt der Prüfdienstleister die Erstprüfung durch. Wie dies im Detail aussieht, hängt von Ihren Prüfzielen ab. Die Prüfung besteht hauptsächlich aus Telefonkonferenzen, Vor-Ort-Interviews und Vor-Ort-Prüfungen in unterschiedlicher Tiefe[23].
Der Prüfdienstleister stellt alle seine Feststellungen im Rahmen der Erstprüfung vor.
5.4.7.3. Abschlussbesprechung
In der Abschlussbesprechung fasst Ihr Prüfdienstleister alle seine Feststellungen noch einmal zusammen.
5.4.7.4. „TISAX Assessment Bericht“
Nach der Abschlussbesprechung erstellt und schickt Ihnen der Prüfdienstleister den Entwurf des „TISAX Assessment Berichts“. Sie können Einwände erheben, wenn Sie der Meinung sind, dass der Prüfdienstleister etwas falsch verstanden hat.[24] Anschließend erstellt der Prüfdienstleister den abschließenden „TISAX Assessment Bericht“.
In dieser Phase wird das aktuelle Gesamtprüfergebnis entweder:
-
„Konform“, oder
-
„Hauptabweichend“ sein
Nicht behandelte (Neben-)Abweichungen führen immer zu einem Gesamtprüfergebnis von „Hauptabweichend“. Ihr Gesamtprüfergebnis kann nur dann „Nebenabweichend“ sein, wenn Sie Maßnahmen definiert haben, die zur Beseitigung der Nebenabweichung(en) führen.
Informationen dazu, wie Sie das erreichen, finden Sie in Abschnitt 5.4.9.4, “Temporäre TISAX-Labels”.
Wenn Ihr Gesamtprüfergebnis bereits bei der Erstprüfung „Konform“ ist, können Sie den restlichen Teil des Prüfungsabschnitts überspringen und mit dem Austausch Ihres Ergebnisses fortfahren.
Wenn Ihr Gesamtprüfergebnis „Hauptabweichend“ ist, ist es Ihre nächste Aufgabe, einen Plan zu erarbeiten, wie die Feststellungen zu behandeln sind und wie etwaige Lücken, die der Prüfdienstleister gefunden hat, geschlossen werden können. Der Plan wird offiziell als „Maßnahmenplan“ ( „corrective action plan“) benannt.
|
Bitte beachten Sie: Wenn Sie sich vor Beginn der Prüfung einer Situation bewusst sind, die zu einer Abweichung führen wird, und die Sie vor der Prüfung nicht beseitigt bekommen, können Sie bereits eine Abhilfemaßnahme (einschließlich eines Umsetzungsdatums) planen und diese dem Prüfdienstleister während der Prüfung vorlegen. Dies könnte theoretisch zu einem Gesamtprüfergebnis „Nebenabweichend“ führen. Dies wäre jedoch eine seltene Situation. |
5.4.8. Vorbereitung des Maßnahmenplans
Ihr Maßnahmenplan ( „corrective action plan“) legt fest, wie Sie mit den Feststellungen der Erstprüfung umgehen wollen. Ihr Prüfdienstleister wird Ihren „Maßnahmenplan“ daraufhin prüfen, ob er angemessen ist (siehe nächster Abschnitt).
Für die Erstellung Ihres „Maßnahmenplan“ sollten Sie die folgenden Anforderungen berücksichtigen:
-
Feststellung
-
Sie müssen angeben, an welche Feststellung sich die Maßnahme richtet.
-
-
Ursache
-
Sie müssen die Ursache der Feststellung identifizieren und angeben.
-
-
Abhilfemaßnahmen
-
Für jede Abweichung müssen Sie eine oder mehrere Abhilfemaßnahmen definieren, die Maßnahmen zur Beseitigung der Abweichung umsetzen.
-
-
Umsetzungsdatum
-
Sie müssen für jede Abhilfemaßnahme ein Umsetzungsdatum festlegen.
-
Die Umsetzungsfrist sollte ausreichend Zeit für eine gründliche Umsetzung der Maßnahmen bieten.
-
-
Kompensationsmaßnahmen
-
Für alle Abweichungen, die kritische Risiken verursachen, müssen Sie Kompensationsmaßnahmen definieren, die sich mit den Abweichungen befassen, bis die Abhilfemaßnahmen umgesetzt sind.
-
-
Umsetzungszeitraum
-
Für alle Abhilfemaßnahmen, deren Umsetzung länger als drei Monate dauert, müssen Sie die Umsetzungsfrist begründen.
-
Für alle Abhilfemaßnahmen, die länger als sechs Monate dauern, müssen Sie zusätzlich den Nachweis erbringen, dass eine schnellere Umsetzung nicht möglich ist.
-
Die Umsetzungsfrist für jegliche Abhilfemaßnahmen darf nicht länger als neun Monate sein.
-
Sobald Ihr Maßnahmenplan vollständig ist, können Sie die „Maßnahmenplanprüfung“ anfordern.
|
Wichtiger Hinweis: Wir empfehlen, so schnell wie möglich mit der Umsetzung zu beginnen. Das Ergebnis der „Maßnahmenplanprüfung“ muss nicht abgewartet werden. |
|
Bitte beachten Sie: TISAX stellt nur inhaltliche Anforderungen, nicht aber an die Form der Maßnahmenpläne. |
5.4.9. Maßnahmenplanprüfung
Ziel der „Maßnahmenplanprüfung“ ist es, sicherzustellen, dass Ihr „Maßnahmenplan“ (siehe oben) die TISAX-Anforderungen erfüllt.
Sie reichen Ihren „Maßnahmenplan“ bei Ihrem Prüfdienstleister ein. Ihr Prüfdienstleister prüft den Plan entsprechend den Anforderungen (siehe unten). Erfüllt Ihr Plan die Anforderungen, erstellt Ihr Prüfdienstleister den aktualisierten „TISAX Assessment Bericht“.
Diese Prüfung dauert üblicherweise nicht lange. In den meisten Fällen handelt es sich dabei um eine Telefonkonferenz oder eine Webkonferenz. Manchmal wird es auch nur per E-Mail gemacht.
5.4.9.1. Gründe für die Maßnahmenplanprüfung
Gründe für eine „Maßnahmenplanprüfung“ sind:
-
Verbleibende Abweichungen nach einer
-
Erstprüfung
-
Follow-up-Prüfung
-
Scope-Erweiterungsprüfung
-
-
Ein „Maßnahmenplan“, der bereits geprüft wurde, aber die Anforderungen nicht erfüllte.
-
Die Einflussfaktoren, auf denen die Berechnung der Umsetzungsfristen eines Maßnahmenplans basieren, haben sich geändert.
5.4.9.2. Kombination mit Erstprüfung
Die „Maßnahmenplanprüfung“ ist nicht unbedingt ein eigenständiges Ereignis. Sie haben die Möglichkeit, Ihren „Maßnahmenplan“ bereits während der Abschlussbesprechung bei der Erstprüfung vorzulegen. Der Prüfdienstleister kann dann direkt die „Maßnahmenplanprüfung“ durchführen.
Wenn Sie die „Maßnahmenplanprüfung“ mit der Erstprüfung kombinieren und Ihr „Maßnahmenplan“ die Anforderungen erfüllt, können Sie mit dem Prüfdienstleister vereinbaren, dass Sie keinen Prüfbericht zur Erstprüfung benötigen. Stattdessen würde Ihr Prüfdienstleister lediglich den Prüfbericht zur „Maßnahmenplanprüfung“ erstellen. Mit diesem Bericht können Sie temporäre TISAX-Labels direkt erhalten.
5.4.9.3. Anforderungen an den Maßnahmenplan
Der Prüfdienstleister bewertet Ihren „Maßnahmenplan“ anhand der folgenden Anforderungen:
-
Maßnahmen sind angemessen
-
Der Prüfdienstleister wird die Angemessenheit einer Maßnahme danach beurteilen, ob sie die Ursache für die Abweichung beseitigt.
-
-
Kritische Risiken werden durch geeignete Kompensationsmaßnahmen entschärft[25]
-
Umsetzungsfristen sind angemessen
-
Umsetzungsfristen beginnen am Tag des Abschlusses der Erstprüfung.
-
-
Keine Umsetzungsfrist ist länger als:
-
drei Monate ohne zusätzliche Begründung
-
sechs Monate ohne zusätzliche Begründung und Nachweise
-
neun Monate
-
5.4.9.4. Temporäre TISAX-Labels
Wenn Ihr Gesamtprüfergebnis „Nebenabweichend“ ist, erhalten Sie temporäre TISAX-Labels.
Der Vorteil von temporären TISAX-Labels ist, dass Ihr Partner sie in der Regel unter der Bedingung akzeptiert, dass Sie später dauerhafte TISAX-Labels erhalten. Dies kann Ihnen helfen, wenn der Nachweis der Wirksamkeit Ihres Informationssicherheitsmanagementsystems gegenüber Ihrem Partner dringend ist.
Die Voraussetzung für temporäre TISAX-Labels ist ein Prüfbericht einer Maßnahmenplanprüfung mit dem Gesamtprüfergebnis „Nebenabweichend“.
Temporäre TISAX-Labels sind gleichwertig mit permanenten TISAX-Labels. Der einzige Unterschied ist die kürzere Gültigkeitsdauer der temporären TISAX-Labels.
Temporäre TISAX-Labels können bis zu neun Monate nach der Abschlussbesprechung der Erstprüfung gültig sein. Die Gültigkeitsdauer der temporären TISAX-Label richtet sich nach der längsten Umsetzungsfrist der Abhilfemaßnahmen.
Beispiele:
-
Sie haben nur eine Abweichung. Sie müssen eine Richtlinienüberprüfung durchführen. Die zugehörige Umsetzungsfrist beträgt zwei Monate.
Dann sind Ihre temporären TISAX-Labels zwei Monate lang gültig. -
Sie haben die Abweichung der zuvor genannten Richtlinienüberprüfung. Darüber hinaus müssen Sie als Abhilfemaßnahme eine neue Außenmauer errichten. Aufgrund der Zeit, die es braucht, um die erforderlichen Genehmigungen von der Gemeinde zu erhalten, beträgt die damit verbundene Umsetzungsfrist acht Monate.
Dann sind Ihre temporären TISAX-Labels acht Monate lang gültig.
Weitere Informationen zu den Anforderungen an die Umsetzungsfristen finden Sie in Abschnitt 5.4.9.3, “Anforderungen an den Maßnahmenplan”.
|
Bitte beachten Sie: Die „Maßnahmenplanprüfung“ ist optional. Sie können direkt zur Follow-up-Prüfung übergehen, sofern Sie:
|
Nachdem Sie alle Maßnahmen abgeschlossen haben, sollten Sie die Follow-up-Prüfung beantragen.
5.4.10. Follow-up-Prüfung
Ziel der Follow-up-Prüfung ist es, zu bewerten, ob alle zuvor festgestellten Abweichungen beseitigt sind. Normalerweise beantragen Sie die Follow-up-Prüfung in der Regel, sobald Sie sicher sind, dass alle Abweichungen beseitigt sind.
Aber Sie können so viele Follow-up-Prüfungen durchführen, wie Sie benötigen. Wenn Ihr Prüfdienstleister im Rahmen einer Follow-up-Prüfung noch bestehende oder gar neue Abweichungen bescheinigt, aktualisieren Sie einfach Ihren Maßnahmenplan und starten diesen Teil des Prüfprozesses erneut.
Diese Prüfung kann sowohl ein persönliches Treffen als auch eine Telefon- oder Webkonferenz sein.
5.4.10.1. Zeitplanung
Ihr Prüfdienstleister kann jede Follow-up-Prüfung innerhalb von bis zu neun Monaten nach Abschluss der Erstprüfung durchführen[26].
5.4.10.2. Voraussetzungen
Wenn Sie keine temporären TISAX-Labels benötigen, können Sie direkt eine Follow-up-Prüfung beantragen. Sie brauchen keine „Maßnahmenplanprüfung“ vor einer Follow-up-Prüfung.
5.4.10.3. Ablauf von temporären TISAX-Labels
Falls Sie temporäre TISAX-Labels benötigen, sollten Sie sicherstellen, dass keine Lücke bis zum Erhalt der permanenten TISAX-Labels besteht. Wir empfehlen Ihnen daher, Ihre Follow-up-Prüfung rechtzeitig vor dem spätest möglichen Termin[27] zu beantragen. Der Grund dafür ist, dass Sie genügend Pufferzeit haben möchten, um kleinere Feststellungen, die bei einer Follow-up-Prüfung festgestellt wurden, anzugehen.
5.4.11. TISAX-Prüfprozessdiagramm
Die vorherigen Abschnitte sind nun im folgenden Prozessdiagramm zusammengefasst:
5.4.12. Assessment-ID
Jede TISAX-Prüfung eines Prüf-Scopes wird durch eine „Assessment-ID“ identifiziert. Diese ID bezieht sich auf Ihr Prüfergebnis und den entsprechenden „TISAX Assessment Bericht“.
So sieht die Assessment-ID aus:
Die Assessment-ID wird üblicherweise verwendet, wenn Ihr Prüfdienstleister mit Ihnen kommuniziert.
5.4.13. „TISAX Assessment Bericht“
Der „TISAX Assessment Bericht“ ( TISAX assessment report):
-
wird nach jeder TISAX-Prüfung aktualisiert und ausgestellt.
-
dokumentiert die Feststellungen Ihres Prüfdienstleisters.
-
enthält das Gesamtprüfergebnis (Konform, Nebenabweichend, Hauptabweichend).
-
enthält alle weiteren Informationen zu Ihrer TISAX-Prüfung (z. B. Prüfziel, Scope, beteiligte Personen und Standorte).
Der „TISAX Assessment Bericht“ kann (je nach Prüfungstyp) folgendermaßen aussehen:
-
„TISAX Assessment Bericht“ Erstprüfung
-
„TISAX Assessment Bericht“ Maßnahmenplanprüfung
-
„TISAX Assessment Bericht“ Follow-up-Prüfung[28]
Der „TISAX Assessment Bericht“ hat immer den gleichen Aufbau[29]. Ihr Prüfdienstleister erweitert ihn einfach nach jedem Prüfungstyp. Das bedeutet, dass Sie sich nur mit der letzten Version des „TISAX Assessment Berichts“ beschäftigen müssen, da er immer den Inhalt seiner älteren Version(en) enthält.
Die ersten Abschnitte des „TISAX Assessment Berichts“ sind das, was Sie schließlich mit Ihrem Partner teilen.
Es ist eines der Hauptmerkmale von TISAX, dass Sie selbst entscheiden können, welche Teile des „TISAX Assessment Berichts“ Sie mit Ihrem Partner oder jedem anderen Teilnehmer teilen möchten. Die Struktur des „TISAX Assessment Berichts“ ist so konzipiert, dass sie diese Art des selektiven Teilens ermöglicht. Jeder Abschnitt erweitert den Detaillierungsgrad.
Der „TISAX Assessment Bericht“ ist folgendermaßen aufgebaut:
-
A. Informationen zum Assessment ( Assessment Related Information)
Firmenname, Prüf-Scope, Scope-ID, Assessment-ID, Assessment-Level, Prüfziel(e), Datum der Prüfung(en), Prüfdienstleister
Dieser Abschnitt enthält kein Prüfergebnis. -
B. Gesamtübersicht Prüfergebnisse ( Summarized Results)
Management-Zusammenfassung des Prüfergebnisses (Konform, Nebenabweichend, Hauptabweichend), Anzahl der Feststellungen, abstrakte Kategorisierung der resultierenden Risiken -
C. Zusammenfassung der Ergebnisse des Assessments ( Assessment Result Summary)
Zusammenfassung des Prüfergebnisses pro Kapitel (z. B. „9 Access Control“) und pro Kriterienkatalog (z. B. „Informationssicherheit“) -
D. Reifegrade gem. ISA (Ergebnis-Tab des ISA) ( Maturity Levels of ISA (Result Tab))
Reifegrad für jede Anforderung -
E. Detaillierte Ergebnisse zum Assessment ( Detailed Assessment Results)
Detaillierte Beschreibung aller Feststellungen, entsprechende Ergebnisse der Risikobewertung, erforderliche Maßnahmen, Umsetzungsfristen
Im Schritt „Austausch“ (siehe unten) entscheiden Sie, bis zu welcher Stufe Ihr Partner Zugriff auf den Inhalt Ihres „TISAX Assessment Berichts“ bekommen wird.
5.4.14. TISAX-Labels
Auf dieses Thema sind wir im Abschnitt der Vorbereitung der Registrierung kurz eingegangen: Was früher ein Prüfziel war, wurde nun zum TISAX-Label.
Die TISAX-Labels:
-
sind das Ergebnis des TISAX-Prüfprozesses.
-
fassen Ihr Prüfergebnis zusammen.
-
sind die Feststellung, dass Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt.
Die Verwendung von Prüfzielen erleichtert die TISAX-bezogene Kommunikation mit Ihrem Partner und Ihrem TISAX-Prüfdienstleister, da sie sich auf einen definierten Output des TISAX-Prüfprozesses beziehen.
5.4.14.1. Hierarchie der TISAX-Label
Die Zuordnung zwischen Prüfzielen und TISAX-Labels ist recht einfach. Aber es gibt noch einen weiteren wichtigen Aspekt: Einige TISAX-Labels sind hierarchisch verknüpft. Das heißt, wenn Sie ein bestimmtes TISAX-Label erhalten, erhalten Sie damit automatisch auch die TISAX-Labels „unterhalb“ dieses Labels.
Beispiel: War Ihr Prüfziel „Very high availability“, erhalten Sie das entsprechende TISAX-Label „Very high availability“. Da aber das Prüfziel „Very high availability“ eine Obermenge von „Very high availability“ ist, erhalten Sie automatisch auch das TISAX-Label „High availability“.
Diese Hierarchie gibt es derzeit bei folgenden TISAX-Labels:
-
“Info high” ist eine Obermenge von „Confidential“ und “High availability”.
-
“Info very high” ist eine Obermenge von „Strictly confidential“ und “Very high availability”.
-
„Strictly confidential“ ist eine Obermenge von „Confidential“.
-
„Very high availability“ ist eine Obermenge von „High availability“.
-
„Special data“ ist eine Obermenge von „Data“.
|
Bitte beachten Sie: Sie können TISAX-Labels auch rückwirkend erhalten. Wenn wir ein neues Label einführen, das eine Teilmenge eines der TISAX-Labels ist, die Sie bereits erhalten haben, erhalten Sie automatisch das neue Label. Beispiel: Sie haben das TISAX-Label “Info high” zu einer Zeit erhalten, als es das Label “High availability” noch nicht gab. Als wir das Label High availability eingeführt haben, hat Ihnen unser System dieses Label automatisch zugewiesen. |
Sie können diese hierarchischen Beziehungen herleiten, indem Sie die geltenden Anforderungen, wie in Tabelle 8, “Geltung der Anforderungen für die Prüfziele” spezifiziert, vergleichen.
Dies mag nicht für jeden Teilnehmer wichtig erscheinen. Aber stellen Sie sich vor, ein Partner fordert Sie auf, das TISAX-Label „Very high availability“ und ein anderer das TISAX-Label „High availability“ vorzuweisen. Dann beide TISAX-Labels zu haben, macht es für alle einfacher, denn niemand muss verstehen, dass „High availability“ eine Teilmenge von „Very high availability“ ist. Dies gilt insbesondere für Partner, bei denen bestimmte TISAX-Labels Teil eines strikten Einkaufsprozesses sind. Sie werden sicher nicht erklären wollen, dass „Very high availability“ „besser“ als „High availability“ ist. Sie zeigen einfach alle Ihre TISAX-Labels und die Person, die die Auswertung durchführt, kann einfach die Anforderung „erfordert TISAX-Label ’High availability’“ abhaken.
5.4.14.2. Gültigkeitsdauer der TISAX-Labels
TISAX-Labels sind in der Regel drei Jahre lang gültig. Der Gültigkeitszeitraum beginnt am Ende des Prüfprozesses (noch vor der Ausgabe des „TISAX Assessment Berichts“).
Ihre Gültigkeitsdauer kann kürzer sein, wenn sich etwas Wesentliches im Hinblick auf den TISAX-Prüf-Scope ändert.
Beispiele: Umzug Ihres Unternehmens, neue Standorte (Anweisungen, was in solchen Fällen zu tun ist, finden Sie in Abschnitt 7.9.3.2, “Wie Sie die Änderung eines Standorts beantragen” und Abschnitt 7.9.3.4, “Wie Sie einen weiteren Standort hinzufügen”)
|
Bitte beachten Sie: Sie können Ihre TISAX-Labels nur im ENX-Portal einsehen. Sie werden im „TISAX Assessment Bericht“ nicht erfasst. |
5.4.14.3. Erneuerung der TISAX-Labels
Um Ihre TISAX-Labels langfristig zu erhalten, müssen Sie sie alle drei Jahre erneuern[30].
Dazu müssen Sie im Wesentlichen den TISAX-Prozess erneut durchlaufen (einen Prüf-Scope registrieren, sich wieder nach TISAX prüfen lassen, Prüfergebnis teilen). Die Registrierung ist etwas einfacher, da Sie Ihr Unternehmen nicht neu als TISAX-Teilnehmer anlegen müssen. Und natürlich können Sie alle Ihre Ansprechpartner und Standorte, die bereits in der TISAX-Datenbank gespeichert sind, wiederverwenden.
|
Wichtiger Hinweis: Bitte registrieren Sie einen NEUEN Prüf-Scope, BEVOR Sie sich an Ihren Prüfdienstleister wenden. Ihr Prüfdienstleister kann nur dann einen neuen Prüfprozess beginnen, wenn Sie eine neue Scope-ID angeben können. In den meisten Fällen ist die Registrierung eines neuen Prüf-Scopes einfach. Sie müssen lediglich einen neuen Scope-Namen vergeben, Ansprechpartner hinzufügen, das/die Prüfziel(e) auswählen und Standorte hinzufügen. Sie können Ansprechpartner und Standorte, die bereits im System vorhanden sind, aus jedem zuvor registrierten Prüf-Scope wiederverwenden. |
|
Wichtiger Hinweis: Bitte verwenden Sie die vorhandenen Standort-Einträge, die Sie bei der Registrierung Ihres vorherigen Scopes erstellt und verwendet haben. Legen Sie keinen neuen Standort-Eintrag mit derselben Adresse an. |
|
Wichtiger Hinweis: Falls es während der Beziehung mit Ihrem Partner die Anforderung gibt, jederzeit gültige TISAX-Labels zu haben, empfehlen wir Ihnen dringend, eine Erinnerung in Ihren Kalender aufzunehmen, die den Erneuerungsprozess rechtzeitig anstößt. Wir empfehlen, die Verlängerung mindestens ein Jahr vor Ablauf Ihrer TISAX-Labels zu beginnen. |
Nachdem Sie nun Ihre TISAX-Labels erhalten haben, können Sie zum letzten Schritt übergehen und sie mit Ihrem Partner teilen.
6. Austausch (Schritt 3)
Die geschätzte Lesezeit für den Abschnitt „Austausch“ beträgt 7 Minuten.
Sie haben den TISAX-Prozess bis hierhin durchlaufen, aber Ihr Partner hat bisher immer noch keinen „Nachweis“ dafür gesehen, dass Ihr Informationssicherheitsmanagementsystem in der Lage ist, seine vertraulichen Daten zu schützen. Dieser Abschnitt beschreibt nun, wie Sie Ihr Prüfergebnis mit Ihrem Partner teilen und den geforderten Nachweis erbringen können.
6.1. Prämisse
Es ist eines der Hauptmerkmale von TISAX, dass Sie Ihr Prüfergebnis vollständig unter Ihrer Kontrolle haben. Ohne Ihre ausdrückliche Zustimmung werden alle Informationen, die sich auf Ihre Prüfung beziehen, an niemanden weitergegeben.
6.2. Die Austauschplattform
Das ENX-Portal stellt die Austauschplattform zur Verfügung.
Ihr Prüfdienstleister lädt die ersten beiden Abschnitte (A und B) Ihres „TISAX Assessment Berichts“ hoch. Zu diesem Zeitpunkt sind die Informationen für niemanden außer Ihnen verfügbar.
Mit dem bei der Registrierung angelegten Account können Sie auf das Portal zugreifen und die Austauschplattform nutzen.
Unter dieser Adresse können Sie auf das Portal zugreifen:
enx.com/de-de/SignIn
6.3. Allgemeine Voraussetzungen
Sie können Ihr Prüfergebnis nur dann mit Ihrem Partner teilen, wenn diese beiden Voraussetzungen erfüllt sind:
-
Ihr Prüfdienstleister hat das Prüfergebnis an die Austauschplattform übermittelt.
Das Prüfergebnis wird in der Regel 5-10 Werktage nach Ausstellung des „TISAX Assessment Berichts“ auf der Austauschplattform verfügbar sein. -
Wir haben Ihre Zahlung für das Entgelt erhalten (falls zutreffend).
Der Status Ihres Prüf-Scopes ist „Active“, wenn beide Voraussetzungen erfüllt sind.
|
Bitte beachten Sie: Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt muss Ihr Prüf-Scope den Status „Active“ haben. Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.5, “Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)”. |
Um nachzuprüfen, ob Ihr Prüfergebnis zum Teilen bereit ist (Status des Prüf-Scopes = Active), gehen Sie folgendermaßen vor:
-
Melden Sie sich im ENX-Portal an.
-
Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.
-
Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.
-
Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.
-
Überprüfen Sie, dass Ihr Prüf-Scope den Status „Aktiv“ hat (Spalte „Scope Status“).
6.4. Dauerhaftigkeit der ausgetauschten Ergebnisse
|
Wichtiger Hinweis: Sie können keine Veröffentlichungen oder Sharing-Permissions widerrufen. Der Grund ist, dass wir wollen, dass sich alle passiven Teilnehmer auf einen dauerhaften Zugriff auf alle erhaltenen Prüfergebnisse verlassen können. Andernfalls müssten sie die Prüfergebnisse selbst verwalten und archivieren. Die Berechtigung bleibt für den gesamten Gültigkeitszeitraum Ihrer TISAX-Prüfung gültig. Wenn Sie versehentlich eine Veröffentlichung oder eine Sharing-Permission erstellt haben, sprechen Sie uns bitte sofort an. |
6.5. Sharing-Level
Die Sharing-Level sind den Hauptabschnitten A-E des „TISAX Assessment Berichts“ 1:1 zugeordnet.
Hauptabschnitte des „TISAX Assessment Berichts“ | Sharing-Level auf der Austauschplattform | |
---|---|---|
1 |
A. Informationen zum Assessment |
|
2 |
B. Gesamtübersicht Prüfergebnisse |
|
3 |
C. Zusammenfassung der Ergebnisse des Assessments |
|
4 |
D. Reifegrade gem. ISA (Ergebnis-Tab des ISA) |
|
5 |
E. Detaillierte Ergebnisse zum Assessment |
Je höher der Sharing-Level, desto mehr Details über Ihre TISAX-Prüfung wird für den/die jeweiligen Teilnehmer zugänglich sein.
Einzelheiten zum Inhalt der einzelnen Abschnitte des „TISAX Assessment Berichts“ finden Sie in Abschnitt 5.4.7.4, “„TISAX Assessment Bericht“”.
6.6. Veröffentlichen Sie Ihr Prüfergebnis auf der Austauschplattform
Sie können Ihr Prüfergebnis mit allen anderen TISAX-Teilnehmern teilen, indem Sie es auf der Austauschplattform veröffentlichen. Damit haben alle anderen TISAX-Teilnehmer Zugriff auf Ihr Prüfergebnis bis zum gewährten Sharing-Level.
Sie können Ihr Prüfergebnis nur veröffentlichen, wenn das Gesamtprüfergebnis „Konform“ ist.
Die Sharing-Level für die Veröffentlichung Ihrer Prüfergebnisse auf der Austauschplattform sind auf diese Optionen beschränkt:
-
Nicht veröffentlichen (Standard)
-
A: Informationen zum Assessment
-
A + Labels
-
A + Labels + B: Gesamtübersicht Prüfergebnisse
Wir empfehlen den Sharing-Level „A + Labels“ für diese allgemeine Publikationsart.
|
Wichtiger Hinweis: Sie können Ihr Prüfergebnis nur veröffentlichen, wenn die in Abschnitt 6.3, “Allgemeine Voraussetzungen” beschriebenen Voraussetzungen erfüllt sind. |
Um Ihr Prüfergebnis auf der Austauschplattform zu veröffentlichen, führen Sie diese Schritte aus:
-
Melden Sie sich im ENX-Portal an.
-
Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.
-
Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.
-
Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.
-
Überprüfen Sie, dass Ihr Prüf-Scope den Status „Active“ hat (Spalte „Scope Status“).
-
Gehen Sie an das Ende der Tabellenzeile Ihres Prüf-Scopes und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten .
-
Wählen Sie „Scope Information“.
-
Im neuen Fenster (“Scope Information”), wählen Sie den Reiter „EXCHANGE“.
-
Gehen Sie zum Abschnitt „VERÖFFENTLICHEN“, öffnen Sie das Dropdown-Menü und wählen Sie den gewünschten Sharing-Level (siehe Empfehlung oben).
|
Bitte beachten Sie: Die Prüfergebnisse werden nur auf der Austauschplattform veröffentlicht. Sie können nur von anderen TISAX-Teilnehmern eingesehen werden. Es gibt keine öffentliche Liste aller TISAX-Teilnehmer. Lediglich die bloße Anzahl der TISAX-Teilnehmer könnte auf der öffentlichen TISAX-Website erwähnt werden. |
6.7. Teilen Sie Ihr Prüfergebnis mit einem bestimmten Teilnehmer
Neben der oben genannten Möglichkeit, Ihr TISAX-Prüfergebnis auf der Austauschplattform zu veröffentlichen, können Sie es gezielt mit bestimmten TISAX-Teilnehmern mit einem höheren Sharing-Level teilen.
Im Gegensatz zu der oben genannten Veröffentlichung können Sie Ihr Prüfergebnis auch dann weitergeben, wenn das Gesamtergebnis der Bewertung „Nebenabweichend“ oder „Hauptabweichend“ ist.
Der Austausch von Prüfergebnissen ist ein integraler Bestandteil von TISAX. Sie haben Ihr Informationssicherheitsmanagementsystem nur einmal prüfen lassen, aber jetzt können Sie Ihr Prüfergebnis mit so vielen Partner teilen wie sich möchten.
Die Optionen für das Teilen Ihres Prüfergebnisses auf der Austauschplattform sind:
-
A: Informationen zum Assessment
-
A + Labels
-
A + Labels + B: Gesamtübersicht Prüfergebnisse
-
A + Labels + B + C: Zusammenfassung der Ergebnisse des Assessments
-
A + Labels + B + C + D: Detaillierte Ergebnisse zum Assessment
-
A + Labels + B + C + D + E: Reifegrade gem. ISA
Wir empfehlen für das Teilen Sharing-Level "A + Labels". Dies ist für die Mehrheit der Partner ausreichend. Sie können später jederzeit einen höheren Sharing-Level wählen.
|
Bitte beachten Sie: Einige TISAX-Teilnehmer verarbeiten die Prüfergebnisse ihrer Partner automatisch. Sie synchronisieren ihr eigenes System mit dem ENX-Portal. Nur die speziell mit diesem Teilnehmer geteilten Prüfergebnisse werden synchronisiert. Eine reine Veröffentlichung, wie in Abschnitt 6.6, “Veröffentlichen Sie Ihr Prüfergebnis auf der Austauschplattform” beschrieben, wird nicht anerkannt. Unter den OEMs, die TISAX verwenden, ist BMW ein Beispiel dafür. Wenn Sie ein Partner von BMW sind, stellen Sie bitte sicher, dass Sie Ihr Prüfergebnis mit BMW teilen (und nicht nur veröffentlichen). |
6.7.1. Voraussetzungen
Dies sind die Voraussetzungen, um Ihr Prüfergebnis mit Ihrem Partner (oder jedem anderen TISAX-Teilnehmer) zu teilen:
-
Sie können Ihr TISAX-Prüfergebnis nur mit anderen TISAX-Teilnehmern teilen.
-
Ihr Partner muss ein TISAX-Teilnehmer sein.
-
Sie benötigen die Participant-ID Ihres Partners.[31]
-
Sie müssen das Entgelt bezahlen (falls zutreffend).
|
Wichtiger Hinweis: Sie können Ihr Prüfergebnis nur teilen, wenn die in Abschnitt 6.3, “Allgemeine Voraussetzungen” beschriebenen Voraussetzungen erfüllt sind. |
6.7.2. Wie Sie eine Sharing-Permission erstellen
Um Ihr Prüfergebnis mit einem anderen TISAX-Teilnehmer zu teilen, folgen Sie diesen Schritten:
-
Melden Sie sich im ENX-Portal an.
-
Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.
-
Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.
-
Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.
-
Überprüfen Sie, dass Ihr Prüf-Scope den Status „Aktiv“ hat (Spalte „Scope Status“).
-
Gehen Sie an das Ende der Tabellenzeile Ihres Prüf-Scopes und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten .
-
Wählen Sie „Scope Information“.
-
Im neuen Fenster (“Scope Information”), wählen Sie den Reiter „EXCHANGE“.
-
Gehen Sie zum Abschnitt „TEILEN“ und klicken Sie auf die Schaltfläche „Teilen“.
-
Geben Sie die Participant-ID Ihres Partners ein.
-
Wählen Sie den gewünschten Sharing-Level.
-
Klicken Sie auf die Schaltfläche „Weiter“.
-
Lesen und verstehen Sie die Hinweise zur Dauerhaftigkeit der Sharing-Permission.
-
Machen Sie Haken in den beiden „Ich bestätige“-Kästchen.
-
Klicken Sie auf die Schaltfläche „Übermitteln“.
Alles andere erledigt die Austauschplattform. Für die Sharing-Level A und B stehen die Informationen auf der Austauschplattform zur Verfügung. Ihr Partner kann sich nun im ENX-Portal anmelden und Ihr geteiltes Prüfergebnis einsehen.[32]
Bei höheren Sharing-Leveln (C-E) benachrichtigt die Austauschplattform Ihren Prüfdienstleister. Anschließend sendet Ihr Prüfdienstleister die Informationen (entsprechend dem ausgewählten Sharing-Level) an den Teilnehmer-Hauptansprechpartner Ihres Partners.
6.8. Teilen Ihres Prüfergebnisses außerhalb TISAX
Es gilt die allgemeine Regel[33], dass Sie nur die TISAX-Austauschplattform nutzen dürfen, um andere über Ihr Prüfergebnis zu informieren.
6.8.1. Die Gründe für die strenge Regelung des Austauschmechanismus
TISAX bietet einen standardisierten Austauschmechanismus für Prüfergebnisse. Dies stellt einen Mehrwert im Vergleich zum Austausch der Ergebnisse anderer Zertifizierungen (z. B. ISO) dar, wo dies auf verschiedene Weise geschieht und nicht immer alle für ein vollständiges Bild erforderlichen Informationen enthält.
Besonders OEMs schätzen diese Standardisierung. Aber auch andere Unternehmen profitieren von klar definierten Verfahren.
6.8.2. Ein Leitfaden zum Schreiben über TISAX in der Öffentlichkeit
Sie können zwar nicht öffentlich über das Prüfergebnis sprechen, aber Sie können Ihre TISAX-Bemühungen erwähnen. Auf dem ENX-Portal geben wir Ihnen Ratschläge, wie Sie an öffentliche Stellungnahmen herangehen können. Wir stellen Ihnen dort auch TISAX-Logos zur Verfügung.
Nachdem Sie sich in das ENX-Portal eingeloggt haben, können Sie hier auf die Informationen zugreifen:
enx.com/de-de/myenxportal/marketing/
Direkter Download des ZIP-Archivs (Dokument und Logos):
enx.com/de-de/myenxportal/marketing/TISAX-Trademark-and-Logos-Terms-and-Conditions.zip
Falls Sie sich fragen, ob es ein Zertifikat gibt, dass Sie sich an die Wand hängen können: Aufgrund des oben erwähnten standardisierten Austauschprozesses stellen wir ein solches Zertifikat nicht bereit.
6.8.3. Teilen mit einem Partner, der noch kein TISAX-Teilnehmer ist
Wenn Sie Ihr TISAX-Prüfergebnis mit einem bestimmten Partner teilen möchten, der a) noch kein TISAX-Teilnehmer ist und b) noch kein TISAX-Label erhalten hat (indem er den Prüfprozess durchläuft), können Sie die folgenden Schritte befolgen:
-
Weisen Sie Ihren Partner an, sich als TISAX-Teilnehmer zu registrieren.
Er muss sich lediglich als TISAX-Teilnehmer registrieren lassen. Er muss nicht mit der Registrierung eines Prüf-Scopes fortfahren. -
Weisen Sie Ihren Partner an, uns anzusprechen.
In der Regel bearbeiten wir eine Neuregistrierung nur dann, wenn das Unternehmen auch einen Prüf-Scope registriert. Auf Anfrage Ihres Partners bearbeiten wir seine Registrierung. Auf diese Weise wird er ein TISAX-Teilnehmer. Er kann nun über den regulären Austauschprozess Ihr TISAX-Prüfergebnis erhalten.
Auf diesem Weg wird sichergestellt, dass Ihr Partner sich bereit erklärt, die „TISAX Allgemeine Geschäftsbedingungen“ einzuhalten, die den Austausch von TISAX-Prüfergebnissen regeln.
Nur die Registrierung eines Prüf-Scopes verursacht Kosten. Da die Registrierung als TISAX-Teilnehmer kostenlos ist, kann Ihr Partner Ihr Prüfergebnis kostenlos erhalten. Ohne ein eigenes Prüfergebnis kann Ihr Partner jedoch nur bis zu fünf Prüfergebnisse erhalten und er kann keine der Veröffentlichungen sehen.
6.8.4. Teilen mit Mitarbeitern Ihres Partners, die keinen direkten Zugang zum ENX-Portal haben
Nur die Mitarbeiter Ihres Partners, die einen Account für unser ENX-Portal haben, können Ihr Ergebnis direkt einsehen. Wenn Sie Ihre TISAX-Labels einem Mitarbeiter Ihres Partners ohne Portalzugang nachweisen müssen, können Sie ein spezielles Dokument verwenden. Um das Dokument zu erhalten, folgen Sie bitte diesen Schritten:
-
Teilen Sie Ihr Prüfergebnis mit Ihrem Partner, wie in Abschnitt 6.7, “Teilen Sie Ihr Prüfergebnis mit einem bestimmten Teilnehmer” beschrieben.
-
Melden Sie sich im ENX-Portal an.
-
Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.
-
Im Dropdown-Menü wählen Sie „SCOPES UND PRÜFUNGEN“.
-
Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Prüf-Scope.
-
Überprüfen Sie, dass Ihr Prüf-Scope den Status „Aktiv“ hat (Spalte „Scope Status“).
-
Gehen Sie an das Ende der Tabellenzeile Ihres Prüf-Scopes und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten .
-
Wählen Sie „Scope Information“.
-
Im neuen Fenster (“Scope Information”), wählen Sie den Reiter „EXCHANGE“.
-
Gehen Sie zum Abschnitt „TEILEN“ und finden Sie die Tabellenzeile mit der Sharing-Permission (wie in Schritt 1 erstellt).
-
Gehen Sie an das Ende der Tabellenzeile Ihrer Sharing-Permission und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten .
-
Wählen Sie „Anpassen“.
-
Im neuen Fenster („SCOPE TEILEN“), scrollen Sie ans Ende und wählen Sie “Request Shared Information as PDF”.
-
Warten Sie einen Moment, bis das Dokument erstellt wurde.
-
Laden Sie das Dokument herunter (“Copy of information shared with ACME.pdf (66.84 KB)”)
7. Anhänge
7.1. Anhang: Beispielrechnung für das Entgelt
Dies ist ein Beispiel für die Rechnung über das Entgelt, die wir Ihnen schicken.
Weitere Informationen finden Sie in Abschnitt 4.3.4, “Entgelt”.
7.2. Annex: Beispiel einer Bestätigungs-E-Mail
Wir schicken Ihnen die Bestätigungs-E-Mail, sobald Sie alle verbindlichen Schritte während des Online-Registrierungsprozesses abgeschlossen haben.
Weitere Informationen dazu, wann wir diese Bestätigungs-E-Mail verschicken, finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.
Betreff: TISAX Registrierung Hallo John Doe vielen Dank für Ihre TISAX Scope Registrierung. Ich habe Ihre Scope Registrierung durchgeführt. Als Anlage übersende ich Ihnen den TISAX Scope Excerpt mit den relevanten Scope Informationen und die aktuelle TISAX-Prüfdienstleisterliste. Wie geht es weiter? Mit dem beigefügten TISAX Scope Excerpt können Sie nun Angebote bei allen TISAX-Prüfdienstleister für Ihre Prüfung anfragen. Benötigen Sie Unterstützung? Bei weiteren Fragen bezüglich TISAX verweisen wir Sie gerne auf unser TISAX-Teilnehmerhandbuch sowie auf unsere TISAX FAQs. Sollten Sie weitere Hilfe bezüglich TISAX brauchen, können Sie gerne unsere TISAX Hotline per E-Mail (tisax@enx.com) oder Telefon (+49 69 986692-777) kontaktieren. Mit freundlichen Grüßen ENX Association
7.3. Anhang: Beispiel eines TISAX Scope Excerpt
Sie erhalten den „TISAX Scope Excerpt“ im Anhang der Bestätigungs-E-Mail.
Weitere Informationen finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.
7.4. Anhang: „Participant status“ (Participant-Status)
7.4.1. Übersicht: „Participant status“
Der „Participant status“ beschreibt, wo Sie (als Unternehmen) sich im TISAX-Prozess befinden.
Ihr „Participant status“ kann sein:
-
Incomplete ( Unvollständig)
-
Awaiting approval ( Warten auf Genehmigung)
-
Preliminary ( Vorläufig)
-
Registered ( Registriert)
-
Expired ( Abgelaufen)
Die Tabellen im Abschnitt jedes Status beschreiben:
-
Ihre Situation
(was gerade zutrifft, wenn Sie diesen Status haben) -
Ihren nächsten Schritt
(was Sie tun müssen, um zum nächsten Status zu gelangen; sofern zutreffend) -
unseren nächsten Schritt
(was wir tun müssen, um Ihren Status zu erhöhen; sofern zutreffend) -
den nächsten Status
(sofern zutreffend)
Die folgende Darstellung zeigt die Schritte, die von einem zum nächsten Status führen:
7.4.2. Participant status „Incomplete“ (Unvollständig)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Incomplete |
Sie haben die TISAX-Registrierung nicht abgeschlossen. |
Fahren Sie fort auf enx.com/de-de/SignIn |
Wir werden Ihnen eine Erinnerung per E-Mail schicken (üblicherweise innerhalb weniger Tage). |
7.4.3. Participant status „Awaiting approval“ (Warten auf Genehmigung)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Awaiting approval |
Ihre TISAX-Registrierung ist abgeschlossen. |
Warten Sie auf unseren nächsten Schritt. |
Wir werden Ihren Antrag überprüfen und typischerweise genehmigen. |
7.4.4. Participant status „Preliminary“ (Vorläufig)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Preliminary |
Sie haben den TISAX-Registrierungsprozess erfolgreich abgeschlossen. |
Bezahlen Sie das Entgelt. |
Keiner |
7.4.5. Participant status „Registered“ (Registriert)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Registered |
Sie haben den TISAX-Prüfprozess erfolgreich abgeschlossen und TISAX-Labels erhalten. |
Keiner |
Keiner |
(Expired) |
|
Hinweis: Wenn Sie Zugriff auf die Prüfergebnisse Ihres/Ihrer Partner/s möchten: Die konzeptionelle Voraussetzung, um Prüfergebnisse von anderen Teilnehmern zu erhalten, ist entweder:
|
7.4.6. Participant status „Expired“ (Abgelaufen)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Expired |
Sie haben das Entgelt nicht bezahlt. |
Keiner |
Keiner |
n/a |
7.5. Anhang: „Prüf-Scope-Status“ (Assessment scope status)
7.5.1. Übersicht: „Prüf-Scope-Status“
Der „Prüf-Scope-Status“ beschreibt, wo in seinem Lebenszyklus sich Ihr Prüf-Scope befindet.
Bitte beachten Sie, dass der „Prüf-Scope-Status“ sich vom „Assessment status“ unterscheidet. Weitere Informationen zum „Assessment status“ finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.
Ihr „Prüf-Scope-Status“ kann sein:
-
Unvollständig ( Incomplete)
-
Warten auf Ihren Antrag ( Awaiting your order)
-
Warten auf ENX Genehmigung ( Awaiting ENX approval)
-
Warten auf Ihre Zahlung ( Awaiting your payment)
-
Registriert ( Registered)
-
Aktiv ( Active)
-
Abgelaufen ( Expired)
Die Tabellen im Abschnitt jedes Status beschreiben:
-
Ihre Situation
(was gerade zutrifft, wenn Sie diesen Status haben) -
Ihren nächsten Schritt
(was Sie tun müssen, um zum nächsten Status zu gelangen; sofern zutreffend) -
unseren nächsten Schritt
(was wir tun müssen, um Ihren Status zu erhöhen; sofern zutreffend) -
den nächsten Status
(sofern zutreffend)
Die folgende Darstellung zeigt die Schritte, die von einem zum nächsten Status führen:
Der Verweis „A“ auf außerhalb der Darstellung in der obigen Abbildung verknüpft den Prüf-Scope-Status „Active“ mit dem „assessment status“. Weitere Informationen zum „assessment status“ finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”.
7.5.2. Prüf-Scope-Status „Unvollständig“ (Incomplete)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Unvollständig |
Sie haben nicht alle erforderlichen Informationen angegeben. |
Fahren Sie fort auf enx.com/de-de/SignIn |
Wir werden Ihnen eine Erinnerung per E-Mail schicken (üblicherweise innerhalb weniger Tage). |
Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.7, “Registrierung des Prüf-Scopes”.
7.5.3. Prüf-Scope-Status „Warten auf Ihren Antrag“ (Awaiting your order)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Warten auf Ihren Antrag |
Sie haben die Prüf-Scope-Registrierung nicht abgeschlossen. |
Fahren Sie fort auf enx.com/de-de/SignIn |
Wir werden Ihnen eine Erinnerung per E-Mail schicken (üblicherweise innerhalb weniger Tage). |
Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.7, “Registrierung des Prüf-Scopes”.
7.5.4. Prüf-Scope-Status „Warten auf ENX Genehmigung“ (Awaiting ENX approval)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Warten auf ENX Genehmigung |
Ihre Prüf-Scope-Registrierung ist abgeschlossen. |
Warten Sie auf unseren nächsten Schritt. |
Wir werden Ihren Antrag überprüfen und typischerweise genehmigen. |
Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.7, “Registrierung des Prüf-Scopes”.
7.5.5. Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Warten auf Ihre Zahlung |
Ihre Prüf-Scope-Registrierung ist abgeschlossen und genehmigt. |
Bezahlen Sie das Entgelt (sofern zutreffend).
34. Im Prüf-Scope-Status „Approved“ oder „Registered“ beinhalten die „A. Informationen zum Assessment“ die Prüf-Scope-Standorte, den Assessment-Status und die Prüfziele.
|
Wir warten auf Ihre Zahlung. |
Weitere Informationen darüber, wo dieser Status eine Rolle spielt, finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.
7.5.6. Prüf-Scope-Status „Registriert“ (Registered)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Registriert |
Ihr Prüf-Scope ist registriert. |
Durchlaufen Sie den TISAX-Prüfprozess. |
Keiner |
7.5.7. Prüf-Scope-Status „Aktiv“ (Active)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Aktiv |
Sie haben den TISAX-Prüfprozess erfolgreich abgeschlossen und TISAX-Labels erhalten. |
Veröffentlichen und teilen Sie Ihr Prüfergebnis. |
Keiner |
Weitere Informationen zum Veröffentlichen und Teilen finden Sie in Abschnitt 6, “Austausch (Schritt 3)”.
7.5.8. Prüf-Scope-Status „Abgelaufen“ (Expired)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Abgelaufen |
Entweder:
|
Beginnen Sie eine neue Prüf-Scope-Registrierung. |
Keiner |
Unvollständig |
|
||||
|
||||
|
||||
|
7.6. Anhang: „Assessment status“ (Prüfungs-Status)
7.6.1. Übersicht: „Assessment status“
Der „Assessment status“ beschreibt, wo im Prüfprozess Sie sich befinden. Der Status ändert sich mit Ihrem Fortschreiten von einem Prüf-Typ zum Nächsten. (z. B. von der „Erstprüfung“ zur „Maßnahmenplanprüfung“).
Bitte beachten Sie, dass der „Assessment status“ sich vom „Prüf-Scope-Status“ unterscheidet. Weitere Informationen zum „assessment scope status“ finden Sie in Abschnitt 7.5, “Anhang: „Prüf-Scope-Status“ (Assessment scope status)”.
Ihr „Assessment status“ kann sein:
-
Initial assessment ordered ( Erstprüfung beauftragt)
-
Initial assessment ongoing ( Erstprüfung läuft)
-
Waiting for corrective action plan assessment ( Warten auf die Maßnahmenplanprüfung)
-
Waiting for follow-up ( Warten auf die Follow-up-Prüfung)
-
Finished ( Abgeschlossen)
Die Tabellen im Abschnitt jedes Status beschreiben:
-
Ihre Situation
(was gerade zutrifft, wenn Sie diesen Status haben) -
Ihren nächsten Schritt
(was Sie tun müssen, um zum nächsten Status zu gelangen; sofern zutreffend) -
unseren nächsten Schritt
(was wir tun müssen, um Ihren Status zu erhöhen; sofern zutreffend) -
den nächsten Status
(sofern zutreffend)
Die folgende Darstellung zeigt die Schritte, die von einem zum nächsten Status führen:
Der Verweis „A“ auf außerhalb der Darstellung in der obigen Abbildung verknüpft den Prüf-Scope-Status „Active“ mit dem Assessment status „Waiting for corrective action plan assessment“. Weitere Informationen zum „Prüf-Scope-Status“ finden Sie in Abschnitt 7.5, “Anhang: „Prüf-Scope-Status“ (Assessment scope status)”.
7.6.2. Assessment status „Initial assessment ordered“ (Erstprüfung beauftragt)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Initial assessment ordered |
Sie haben einen unserer TISAX-Prüfdienstleister ausgewählt und eine Erstprüfung beauftragt. |
Fahren Sie mit dem TISAX-Prüfprozess fort. |
Keiner |
7.6.3. Assessment status „Initial assessment ongoing (Erstprüfung läuft)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Initial assessment ongoing |
Ihre Erstprüfung hat entweder:
|
Keiner |
Keiner |
Waiting for corrective action plan assessment (sofern zutreffend) |
7.6.4. Assessment status „Waiting for corrective action plan assessment“ (Warten auf die Maßnahmenplanprüfung)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Waiting for corrective action plan assessment |
Ihr Prüfdienstleister hat eine Erstprüfung durchgeführt. |
Erstellen Sie einen Maßnahmenplan. |
Keiner |
Waiting for follow-up (sofern zutreffend) |
Der “Assessment status” “Waiting for corrective action plan assessment” ist auf neun Monate begrenzt. Weitere Informationen finden Sie in Abschnitt 5.4.9.3, “Anforderungen an den Maßnahmenplan”.
7.6.5. Assessment status „Waiting for follow-up“ (Warten auf die Follow-up-Prüfung)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Waiting for follow-up |
Ihr Prüfdienstleister hat Ihren Maßnahmenplan genehmigt. |
Beantragen Sie eine Follow-up-Prüfung. |
Keiner |
Der “Assessment status” “Waiting for corrective action plan assessment” ist auf neun Monate begrenzt. Weitere Informationen finden Sie in Abschnitt 5.4.9.3, “Anforderungen an den Maßnahmenplan”.
7.6.6. Assessment status „Finished“ (Abgeschlossen)
Status | Situation | Ihr nächster Schritt | Unser nächster Schritt | Nächster Status |
---|---|---|---|---|
Finished |
Ihr Prüfdienstleister hat eine Follow-up-Prüfung durchgeführt. |
Veröffentlichen und Teilen Sie Ihr Prüfergebnis. |
Keiner |
n/a |
7.7. Anhang: Die Argumentation gegen „Pre-Assessments“ und „Gap-Analysen“
Wir raten generell davon ab, einen Prüfdienstleister um ein „Pre-Assessment“ oder eine „Gap-Analyse“ zu bitten. In fast allen Fällen ist es sinnvoller, sofort mit dem TISAX-Prüfprozess zu beginnen.
In diesem Abschnitt gehen wir auf die häufigsten Bedenken ein.
Ziehen Sie ein „Pre-Assessment“ in Betracht, weil:
-
Sie besorgt sind, dass Ihr Kunde ein potenziell ungünstiges Prüfergebnis sehen könnte?
Sie haben volle Kontrolle darüber, wer Ihre Prüfergebnisse sieht. Es ist Ihre Entscheidung, ob der Prüfdienstleister etwas in das ENX-Portal hochlädt. Wenn es niemand sehen soll, sieht es auch niemand (außer dem Prüfer natürlich).
Außerdem lädt der Prüfdienstleister sowieso immer nur die ersten beiden Abschnitte des „TISAX Assessment Berichts“ hoch und nie die detaillierten Prüfergebnisse.
-
Sie denken, dass ein „Pre-Assessment“ Geld sparen könnte?
-
Mit einem „Pre-Assessment“:
-
bezahlen Sie für das „Pre-Assessment“
-
haben Sie möglicherweise die internen Kosten für die Behebung von Abweichungen
-
bezahlen Sie für die volle TISAX-Prüfung („Erstprüfung“)
Auch wenn es keine Feststellungen gibt, bezahlen Sie immer für zwei vollständige Prüfungen.
-
-
Wenn Sie mit einer TISAX-Prüfung starten:
-
bezahlen Sie für die „Erstprüfung“
-
haben Sie möglicherweise die internen Kosten für die Behebung von Abweichungen
-
bezahlen Sie möglicherweise sehr viel weniger (im Vergleich zur Erstprüfung) für die sogenannte „Follow-up-Prüfung“, bei der der Prüfer den Schwerpunkt nur darauf legt, ob Sie die Abweichungen aus der Erstprüfung behoben haben
Selbst mit Abweichungen zahlen Sie nur für eine vollständige Prüfung plus die kurze Follow-up-Prüfung.
-
-
-
Sie denken, dass Sie bei der Prüfung mit dauerhaften Folgen durchfallen könnten?
Sie können nicht dauerhaft scheitern, denn Sie können so viele Prüfungen durchführen, wie Sie wollen. Wenn das Prüfergebnis nicht Ihren Erwartungen entspricht oder wenn Sie es nicht schaffen, die Abweichungen innerhalb der vorgeschriebenen neun Monate durch Abhilfemaßnahmen zu beheben, betrachten Sie den fehlgeschlagenen Versuch einfach als Ihr „Pre-Assessment“ und beginnen von neuem. Und niemand muss die Ergebnisse Ihres ersten Versuchs sehen. Sie teilen lediglich das Ergebnis der erfolgreichen Prüfung.
Weitere Überlegungen:
-
Wenn das Prüfergebnis besser ist als erwartet, erhalten Sie möglicherweise temporäre TISAX-Labels. Diese können Sie direkt mit Ihrem Partner teilen. Dies ist bei einem „Pre-Assessment“ nicht möglich.
-
Wenn der Prüfdienstleister, der das „Pre-Assessment“ durchführt, auch die TISAX-Prüfung durchführen soll, kann er Sie nicht beraten. Andernfalls müssen Sie einen anderen Prüfdienstleister für die TISAX-Prüfung auswählen.
Auch wenn die meisten Prüflinge nicht von einem „Pre-Assessment“ profitieren, möchten wir doch auf die folgenden Vorteile hinweisen.
Der Prüfer:
-
kann sich auf kritische Aspekte konzentrieren, bei denen Sie kein Vertrauen in Ihr ISMS haben
-
kann mehr Zeit als üblich aufwenden und den Erkenntnisgewinn erhöhen
-
kann Erkenntnisse anders dokumentieren
Nachdem Sie die Abschnitte über den TISAX-Prüfprozess gelesen haben, werden Sie unsere Argumentation noch besser verstehen.
7.8. Angepasster Prüf-Scope
Fast alle TISAX-Teilnehmer wählen den Standard-Scope. Unter bestimmten und seltenen Umständen kann es jedoch erforderlich sein, einen angepassten Prüf-Scope zu wählen.
Es gibt zwei Arten von angepassten Scopes:
7.8.1. Benutzerdefiniert erweiterter Scope
Sie können den Scope erweitern. Ein benutzerdefiniert erweiterter Scope umfasst MEHR als der Standard-Scope. Der Prüfdienstleister führt weitergehende Prüfungen durch.
Zweck: Ein benutzerdefiniert erweiterter Scope kann relevant sein, wenn Sie Ihre TISAX-Prüfung für interne Zwecke oder außerhalb der Automobilindustrie einsetzen wollen.
TISAX-Labels und Ergebnisse teilen: Ein benutzerdefiniert erweiterter Scope umfasst immer den Standard-Scope. Deshalb erhält ein benutzerdefiniert erweiterter Scope TISAX-Labels[35]. Andere TISAX-Teilnehmer werden das Prüfergebnis weiterhin akzeptieren.
Beschreibung: Während der Standard-Scope eine vordefinierte Beschreibung hat, müssen Sie Ihre eigene Scope-Beschreibung schreiben, wenn Sie einen benutzerdefiniert erweiterter Scope benötigen.
7.8.2. Vollständig benutzerdefinierter Scope
Sie können Ihren eigenen vollständig benutzerdefinierter Scope definieren.
Zweck: Wenn Sie Standorte haben, die zu unterschiedlichen Prüf-Scopes gehören und die Leistungen an einem bestimmten Standort (z. B. Rechenzentrum) nutzen, können Sie für diese Leistungen einen vollständig benutzerdefinierten Scope verwenden. So kann ein TISAX-Prüfdienstleister das Prüfergebnis des vollständig benutzerdefinierten Scopes problemlos wiederverwenden.
Beispiel: Sie haben viele Standorte (möglicherweise Bestandteil verschiedener Prüf-Scopes) und Sie haben eine zentrale IT-Abteilung an einem dieser Standorte. Die Festlegung eines vollständig benutzerdefinierten Scopes nur für die IT-Abteilung kann die Wiederverwendung des jeweiligen Prüfergebnisses in den anderen Scopes erleichtern.
TISAX-Labels und Teilen von Ergebnissen: Vollständig benutzerdefinierte Scopes erhalten keine TISAX-Labels. Technisch gesehen wird Ihr Prüfergebnis im ENX-Portal mit Datum, Gültigkeitsdauer und der Angabe, ob das Gesamtprüfergebnis konform oder nicht konform ist, gespeichert. Sie könnten ein solches Prüfergebnis teilen. Aber das Teilen eines Prüfergebnisses ohne TISAX-Label wird für die meisten Empfänger wie eine nicht bestandene Prüfung aussehen. Andere TISAX-Teilnehmer akzeptieren im Allgemeinen keine Prüfergebnisse mit vollständig benutzerdefiniertem Scope.
Beschreibung: Wie schon für den benutzerdefiniert erweiterten Scope, müssen Sie Ihre eigene Scope-Beschreibung festlegen, wenn Sie einen vollständig benutzerdefinierten Scope benötigen.
|
Wichtiger Hinweis: Um zu verdeutlichen, wie selten die Verwendung vollständig benutzerdefinierter Scopes ist: Es besteht eine 98%ige Chance, dass Ihr Prüfdienstleister Ihren vollständig benutzerdefinierten Scope in einen Standard-Scope umwandeln wird. Kein Teilnehmer hat jemals erfolgreich einen vollständig benutzerdefinierten Scope ohne den Rat seines Prüfdienstleisters gewählt. Eine Prüfung mit vollständig benutzerdefiniertem Scope erhält keine TISAX-Labels. Wir raten daher generell davon ab, einen vollständig benutzerdefinierten Scope zu wählen — vor allem, weil andere Teilnehmer generell keine Prüfergebnisse mit vollständig benutzerdefiniertem Scope akzeptieren. |
7.9. Anhang: Lebenszyklusmanagement der Teilnehmerdaten
Die folgenden Abschnitte beschreiben, was Sie tun müssen, wenn sich etwas bezüglich Ihrer Teilnehmerdaten ändert.
7.9.1. Verlorener Zugriff auf Teilnehmerdaten (ENX-Portal)
Wenn in Ihrem Unternehmen niemand mehr Zugang zum ENX-Portal und damit zu Ihren Teilnehmerdaten hat, sprechen Sie uns bitte an. Wir werden versuchen, Ihnen zu helfen, wieder Zugang zu den Teilnehmerdaten Ihres Unternehmens zu erhalten.
7.9.2. Verwaltung von Ansprechpartnern
Die Teilnehmer-Ansprechpartner Ihres Unternehmens und alle anderen „administrativen Ansprechpartner“ mit Portal-Accounts können jederzeit auf das ENX-Portal zugreifen und:
-
neue Anprechpartner hinzufügen
-
bestehende Anprechpartner löschen
-
Kontaktdaten bestehender Ansprechpartner ändern
7.9.2.1. Wie Sie einen neuen Ansprechpartner hinzufügen
Um einen neuen Ansprechpartner hinzuzufügen, folgen Sie diesen Schritten:
-
Melden Sie sich im ENX-Portal an.
-
Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.
-
Im Dropdown-Menü wählen Sie „ADMINISTRATOREN“.
-
Klicken Sie auf die Schaltfläche „Neuen TISAX-Administrator erstellen“
-
Geben Sie die Daten des Ansprechpartner ein.
-
Klicken Sie auf die Schaltfläche „Kontakt speichern“
-
Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit dem Ansprechpartner.
-
Gehen Sie an das Ende der Tabellenzeile des Ansprechpartners und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten .
-
Wählen Sie „TISAX-Administrator bearbeiten“.
-
Im neuen Fenster (“TISAX KONTAKT BEARBEITEN”), blättern Sie nach unten bis zum Abschnitt „ENX PORTAL ZUGANG“.
-
Wählen Sie „Ja“.
-
In dem erscheinenden Abschnitt „WEB ROLES“ klicken Sie auf die Schaltfläche „Add Role“.
-
Wählen Sie die Rolle, die Sie zuweisen möchten (beispielsweise „TISAX Administrator“).
-
Klicken Sie auf die Schaltfläche „Hinzufügen“.
-
Klicken Sie auf die Schaltfläche „Kontakt speichern“.
7.9.2.2. Wie Sie einen vorhandenen Ansprechpartner löschen
Um einen neuen Ansprechpartner zu löschen, folgen Sie diesen Schritten:
-
Melden Sie sich im ENX-Portal an.
-
Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.
-
Im Dropdown-Menü wählen Sie „ADMINISTRATOREN“.
-
Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit dem Ansprechpartner.
-
Gehen Sie an das Ende der Tabellenzeile des Ansprechpartners und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten .
-
Wählen Sie „TISAX-Administrator löschen“.
-
In der Bestätigungsabfrage klicken Sie auf die Schaltfläche „Löschen“.
7.9.2.3. Wie Sie einen vorhandenen Ansprechpartner aktualisieren
Um einen vorhandenen Ansprechpartner zu aktualisieren, folgen Sie diesen Schritten:
Um einen neuen Ansprechpartner hinzuzufügen, folgen Sie diesen Schritten:
-
Melden Sie sich im ENX-Portal an.
-
Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.
-
Im Dropdown-Menü wählen Sie „ADMINISTRATOREN“.
-
Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit dem Ansprechpartner.
-
Gehen Sie an das Ende der Tabellenzeile des Ansprechpartners und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten .
-
Wählen Sie „TISAX-Administrator bearbeiten“.
-
Aktualisieren Sie die Daten.
-
Klicken Sie auf die Schaltfläche „Kontakt speichern“.
7.9.3. Verwaltung von Standorten
Der Hauptansprechpartner Ihrer Firma und alle „administrativen Ansprechpartner“ mit persönlichen ENX-Portal-Konten können jederzeit im ENX-Portal folgendes beantragen:
-
Änderung des Firmennamens
-
Änderung eines Standorts (Umzug)
-
Änderung eines Straßennamens
-
Hinzufügung eines neuen Standorts
Wir beschreiben die erforderlichen Schritte in den folgenden Abschnitten.
|
Bitte beachten Sie:
|
|
Wichtiger Hinweis: Sobald Sie im ENX-Portal die Schaltfläche „Standort speichern“ geklickt haben, können Sie ihn selbst nicht mehr ändern. Für die unten beschriebenen Situationen können Sie eine Änderung beantragen. |
7.9.3.1. Wie Sie eine Änderung Ihres Firmennamens beantragen
Ihre Situation: |
Ihre Firma hat ihren Firmennamen geändert. |
Beispiel: |
Der alte Firmenname lautet “ACME Reifen GmbH”. |
Wenn Sie die Änderung Ihres Firmennamens beantragen wollen, folgen Sie bitte diesen Schritten:
-
Melden Sie sich im ENX-Portal an.
-
Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.
-
Im Dropdown-Menü wählen Sie „STANDORTE“.
-
Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Standort.
-
Gehen Sie an das Ende der Tabellenzeile Ihres Standorts und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten .
-
Wählen Sie „Antrag auf Änderung“.
-
Im neuen Fenster (“ANTRAG AUF ÄNDERUNG”) gehen Sie zum Formularfeld „Gegenstand der Änderung“, öffnen das Dropdown-Menü und wählen „Firmenname“.
-
Füllen Sie den Rest des Formulars aus.
-
Übermitteln Sie das Formular.
Wir werden Ihren Antrag prüfen, den Antrag auf Namensänderung typischerweise akzeptieren und Sie informieren, sobald die Änderung erfolgt ist.
7.9.3.2. Wie Sie die Änderung eines Standorts beantragen
Ihre Situation: |
Ihre Firma ist an einen neuen Standort umgezogen. |
Beispiel: |
Der alte Standort ist “ACME Corporation, Bockenheimer Landstraße 97-99, 60325 Frankfurt, Deutschland”. |
|
Wichtiger Hinweis: Wenn eine offizielle Behörde die Straße Ihres Standorts umbenannt hat, finden Sie weitere Informationen in Abschnitt 7.9.3.3, “Wie Sie die Änderung eines Straßennamens beantragen”. |
Wenn einer Ihrer Standorte an eine neue Adresse umgezogen ist, folgen Sie bitte diesen Schritten:
-
Erstellen Sie einen neuen Standort:
-
Melden Sie sich im ENX-Portal an.
-
Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.
-
Im Dropdown-Menü wählen Sie „STANDORTE“.
-
Klicken Sie auf die Schaltfläche „TISAX Standort erstellen“.
-
Im neuen Fenster („TISAX STANDORT ERSTELLEN“) füllen Sie das Formular mit den Details Ihres neuen Standorts aus.
-
Klicken Sie auf die Schaltfläche „Standort speichern“.
-
-
Merken Sie sich die „Standort-ID“ des neu erstellten Standorts. Sie finden die „Standort-ID“ in der ersten Spalte der Tabelle „MEINE STANDORTE“. Ihr Prüfdienstleister benötigt die „Standort-ID“, um Ihren Prüf-Scope im ENX-Portal zu aktualisieren.
-
Informieren Sie Ihren Prüfdienstleister über den Umzug (Geben Sie ihm die „Standort-ID“ des alten und des neuen Standorts.).
Haben Sie die Prüfung schon abgeschlossen?-
Wenn die Antwort NEIN ist, dann gibt es bezüglich der Änderung eines Standorts für Sie nichts mehr zu tun.
-
Wenn die Antwort JA ist, dann müssen Sie eine „Scope-Erweiterungsprüfung“ bei Ihrem Prüfdienstleister beauftragen. Weitere Informationen finden Sie in Abschnitt 7.10, “Anhang: Scope-Erweiterungsprüfung”.
-
Der Prüfdienstleister wird Ihren Antrag prüfen und Ihren Prüf-Scope im ENX-Portal aktualisieren.
|
Bitte beachten Sie: Ein Prüfdienstleister kann Ihren Prüf-Scope nur aktualisieren, wenn Sie bereits eine Prüfung bei diesem Prüfdienstleister beauftragt haben. |
7.9.3.3. Wie Sie die Änderung eines Straßennamens beantragen
Ihre Situation: |
Der Straßenname Ihres Standorts hat sich geändert. Ihre Firma befindet sich noch am selben Ort. |
Beispiel: |
Der alte Standort ist “ACME Corporation, Bockenheimer Landstraße 97-99, 60325 Frankfurt, Deutschland”. |
Wenn eine offizielle Behörde den Namen der Straße Ihres Standorts umbenannt hat, folgen Sie bitten diesen Schritten:
-
Melden Sie sich im ENX-Portal an.
-
Gehen Sie zur Hauptnavigationsleiste und wählen Sie „MEIN TISAX“.
-
Im Dropdown-Menü wählen Sie „STANDORTE“.
-
Gehen Sie zur Tabelle und finden Sie die Tabellenzeile mit Ihrem Standort.
-
Gehen Sie an das Ende der Tabellenzeile Ihres Standorts und klicken Sie auf die Schaltfläche mit dem Pfeil nach unten .
-
Wählen Sie „Antrag auf Änderung“.
-
Im neuen Fenster (“ANTRAG AUF ÄNDERUNG”) gehen Sie zum Formularfeld „Gegenstand der Änderung“, öffnen das Dropdown-Menü und wählen „Adresse“.
-
Füllen Sie den Rest des Formulars aus.
-
Übermitteln Sie das Formular.
Wir werden Ihren Antrag prüfen, den Antrag auf Änderung des Straßennamens typischerweise akzeptieren und Sie informieren, sobald die Änderung erfolgt ist.
|
Wichtiger Hinweis: Diese Schritten gelten nur, wenn sich Ihre Firma noch am selben Ort befinden, aber eine offizielle Behörde den Namen der Straße geändert hat. |
7.9.3.4. Wie Sie einen weiteren Standort hinzufügen
Wenn Sie während der Gültigkeitsdauer Ihrer bestehenden TISAX-Labels einen zusätzlichen Standort eröffnen, können Sie eine „Scope-Erweiterungsprüfung“ ( scope extension assessment) bei Ihrem Prüfdienstleister beantragen.
Weitere Informationen finden Sie in Abschnitt 7.10, “Anhang: Scope-Erweiterungsprüfung”.
7.10. Anhang: Scope-Erweiterungsprüfung
Neben den in Abschnitt 5.4.3, “TISAX-Prüfungstypen” beschriebenen Standard-Prüfungstypen gibt es einen weiteren speziellen Prüfungstyp: die Scope-Erweiterungsprüfung ( scope extension assessment).
Sie können einen bestehenden TISAX-Prüf-Scope erweitern, wenn Sie einen oder mehrere:
-
Prüfziele oder
-
Standorte hinzufügen wollen.
Sie können keinen anderen Prüfdienstleister für die Durchführung einer „Scope-Erweiterungsprüfung“ auswählen. Die Prüfung ähnelt den anderen Prüfungstypen. Ihr Prüfdienstleister wird jedoch höchstwahrscheinlich die Wiederverwendung von Ergebnissen aus früheren Prüfungen in Betracht ziehen.
Sobald die Scope-Erweiterungsprüfung ohne Abweichungen abgeschlossen ist, wird Ihr Prüfdienstleister:
-
Ihren Prüf-Scope im ENX-Portal aktualisieren.
-
den „TISAX Assessment Bericht“ der Scope-Erweiterungsprüfung ausstellen.
Eine Scope-Erweiterungsprüfung verlängert nicht den ursprünglichen Gültigkeitszeitraum Ihrer bestehenden TISAX-Labels.
|
Bitte beachten Sie: Wenn der Grund für die Scope-Erweiterungsprüfung entweder ein Umzug oder ein zusätzlicher Standort ist, müssen Sie den neuen Standort im ENX-Portal anlegen. Bitte geben Sie Ihrem Prüfdienstleister das „Location Excerpt“ oder zumindest die „Standort-ID“. |
7.11. Anhang: ISA-Lebenszyklus-Management
Eine ENX-Arbeitsgruppe pflegt den ISA.
Diese Fakten sind möglicherweise interessant für Sie:
-
Der VDA veröffentlicht offiziell neue Versionen.
-
Der Prüfdienstleister verwendet die ISA-Version, die zum Zeitpunkt der Bestellung Ihrer Erstprüfung gültig ist.
-
In gegenseitigem Einvernehmen können Sie eine neuere ISA-Version verwenden, wenn diese zwischen Ihrer Bestellung und dem Beginn der Erstprüfung veröffentlicht wird.
-
Das Veröffentlichungsdatum einer bestimmten ISA-Version finden Sie in der Excel-Tabellenblatt "Deckblatt".
-
Beispiel:
Version: 5.0 | Revision 4 | 2021-04-16
-
7.12. Anhang: Hilfreiche Dokumente
Dieser Abschnitt listet Dokumente auf, die wir als hilfreich erachten.
-
Whitepaper “Harmonization of classification levels”
„Die Informationsklassifizierung stellt eine wesentliche Grundlage zur Erreichung eines bedarfsgerechten Informationssicherheitsniveaus dar. Das vorliegende Whitepaper gibt eine Orientierung zu harmonisierten und standardisierten Klassifizierungsstufen in Bezug auf die Vertraulichkeit.“
Herausgeber: Verband der Automobilindustrie e.V.
Verfügbare Sprachen: Deutsch, Englisch
-
Whitepaper „Risikomanagement in der Informationssicherheit“
„Ziel des Whitepapers ist es, Unternehmen in der Automobilindustrie hinsichtlich eines risikoorientierten Informationssicherheitsmanagements zu sensibilisieren und zu befähigen, ein effektives Informationssicherheitsrisikomanagement zu etablieren. Das Whitepaper soll darüber hinaus Organisationen bei der Vorbereitung oder Durchführung eines TISAX Assessments unterstützen, die Anforderungen der VDA ISA Kontrollfrage 1.4.1 zu erfüllen. Es ist in diesem Zusammenhang als Umsetzungsempfehlung zu verstehen, nicht als verpflichtende Vorgabe.“
Herausgeber: Verband der Automobilindustrie e.V.
Verfügbare Sprachen: Deutsch, Englisch
7.13. Anhang: Beschwerdemanagement
7.13.1. Beschwerdegründe
Unser Beschwerdemanagement unterscheidet diese zwei Bereiche:
-
ENX Association — die Organisation, die TISAX steuert
-
Prüfdienstleister — die Organisationen, die die TISAX-Prüfungen durchführen
7.13.1.1. Beschwerden über die ENX Association
Wenn Sie eine Beschwerde über die ENX Association haben, wenden Sie sich bitte an unseren "diensthabenden TISAX-Manager" (siehe Kontaktdaten unten).
7.13.1.2. Beschwerden über Prüfdienstleister
Zunächst sollten Sie versuchen, das Problem direkt mit dem Prüfer zu lösen.
Der nächste Schritt sollte die für TISAX zuständige Person beim Prüfdienstleister sein.
Danach wäre Ihr nächster Ansprechpartner der Verantwortliche für das Qualitätsmanagement beim Prüfdienstleister.
Wenn das Problem immer noch nicht gelöst ist, sollten Sie sich an unseren „diensthabenden TISAX-Manager“ wenden (siehe Kontaktdaten unten).
Es gibt noch weitere Möglichkeiten als den „diensthabenden TISAX-Manager“. In solchen Fällen sollten Sie mit dem Geschäftsführer der ENX Association sprechen.
Der VDA spielt beim Beschwerdemanagement keine Rolle.
|
Bitte beachten Sie: Der Prüfdienstleister muss Sie im Kick-off-Meeting über Ihr Beschwerderecht informieren. Tut er das nicht, wäre dies bereits ein Grund für eine Beschwerde. |
7.13.1.3. Anforderungen an Beschwerden
Wenn Sie uns einbeziehen möchten, benötigen wir die folgenden Informationen:
-
Wer beschwert sich?
-
Name des Unternehmens
-
TISAX-Teilnehmer-ID
-
Ansprechpartner (Name, E-Mail-Adresse, Telefonnummer)
-
-
Um welche Prüfung handelt es sich?
-
Assessment-ID
-
Wenn die Prüfung noch nicht im ENX-Portal erfasst ist: Scope-ID
-
-
Wer ist der Prüfdienstleister?
-
Firmenname des Prüfdienstleister
-
Name des/der Auditor(en)
-
-
Worüber beschweren Sie sich?
-
Allgemeine Beschwerde über die Leistung des Prüfdienstleisters
-
Beschwerde über die Vorgehensweise des Prüfers
-
Beanstandung der inhaltlichen Bewertung
-
-
Bei Beschwerden über die inhaltliche Bewertung: Welche Feststellung beanstanden Sie?
-
Kontrollfrage (z. B. 1.6.1 "Inwieweit werden Informationssicherheitsereignisse verarbeitet?")
-
Feststellung (Volltext)
-
Einwand gegen:
-
Interpretation der Kontrollfrage
-
Inhaltliche Feststellungen (verfügbare Nachweise werden nicht korrekt bewertet)
-
Risikobewertung (Angemessenheit nicht berücksichtigt)
-
-
Begründung, warum Sie die Dinge anders bewerten
-
7.13.2. Ansprechpartner für Beschwerden
Bitte sprechen Sie den „diensthabenden TISAX-Manager“ an:
Schicken Sie ihm eine E-Mail an: |
|
Oder rufen Sie ihn an: |
Sie erreichen ihn zu den üblichen Geschäftszeiten in Deutschland (UTC+01:00).
Er spricht Deutsch und Englisch.
8. Dokumentenhistorie
Version 2.7.3
-
Abschnitt „Schutzbedarfe und Assessment-Level“ aktualisiert (Absatz „Unterschied zwischen AL 2 und AL 3“ klarer formuliert)
Version 2.7.2
-
Kaputten Link repariert
Version 2.7.1
-
Zwei weitere Sprachen (Tschechisch, Polnisch) hinzugefügt
Verion 2.7
-
Vier weitere Sprachen (Japanisch, Brasilianisches Portugiesisch, Italienisch, Koreanisch) hinzugefügt
-
Sprachwechsler für HTML-Version hinzugefügt (in der oberen rechten Ecke)
-
Layout der PDF-Versionen verbessert
-
Verschiedene Abschnitte mit den zwei neuen Confidentiality-Prüfzielen aktualisiert
-
Abschnitt „Liste der Prüfziele“ aktualisiert (Formulierung des Prüfziels „Special data“ korrigiert; Hinweis bezüglich des Label-Übergangs hinzugefügt)
-
Tippfehler korrigiert
Version 2.6
-
Allgemeiner Hinweis bezüglich der Prüfziele und Labels, die wir in dieser Version hinzugefügt haben: In früheren Versionen hatten die Prüfziele und Labels einen langen „offiziellen Namen“ und eine (englische) „Kurzform“ (Beispiel: „Umgang mit Informationen mit hohem Schutzbedarf“ und „Info high“). Da die meisten Leute fast nur die Kurzform verwendet haben, ist die Kurzform jetzt der „offizielle Name“. Der alte lange Name wird nun als „Beschreibung“ bezeichnet. Außerdem verwenden wir nur den englischen „offiziellen Namen“ im ENX-Portal und allen Übersetzungen des TISAX-Teilnehmerhandbuchs.
-
Abschnitt „Liste der Prüfziele“ aktualisiert mit den zwei Prüfzielen „High availability“ und „Very high availability“ und „Abbildung 6. TISAX-Prüfziele (tabellarische Darstellung, Langformen und Abkürzungen)“ entfernt
-
Abschnitt „Prüfziele und ISA“ aktualisiert, um der Tatsache zu entsprechen, dass nur eine Teilmenge des Kriterienkatalogs Informationssicherheit für die zwei Prüfziele „High availability“ und „Very high availability“ gilt
-
Abschnitt „Prüfziele und Ihre Abhängigkeiten“ entfernt
-
Abschnitt „Auswahl des Prüfziels“ aktualisiert mit den beiden Prüfzielen „High availability“ und „Very high availability“
-
Abschnitt „Schutzbedarfe und Assessment-Level“ aktualisiert mit den beiden Prüfzielen „High availability“ und „Very high availability“ und „Tabelle 5. Zuordnung der ISA-Kriterienkataloge und Schutzbedarfe zu den TISAX-Prüfzielen“ entfernt
-
Abschnitt „Kriterienkataloge“ aktualisiert mit den beiden Prüfzielen „High availability“ und „Very high availability“
-
Abschnitt „Anforderungen“ aktualisiert, um der Tatsache zu entsprechen, dass nur eine Teilmenge des Kriterienkatalogs Informationssicherheit für die zwei Prüfziele „High availability“ und „Very high availability“ gilt
-
Abschnitt „Hierarchie der TISAX-Label“ aktualisiert, um der Tatsache zu entsprechen, dass ab jetzt eine Hierarchie nur noch in wenigen Fällen besteht und „Abbildung 36. TISAX-Prüfziele und TISAX-Labels (Abhängigkeiten und Hierarchien)“ entfernt
-
Abschnitt „Anhang: Hilfreiche Dokumente“ aktualisiert, um Änderungen der Links zu entsprechen
-
Verschiedene kleinere Klarstellungen und Korrekturen
-
Tippfehler korrigiert
Version 2.5.1
-
Kaputte Links repariert
Version 2.5
-
Abschnitt „Verwaltung von Standorten“ hinzugefügt
-
Abschnitt „Anhang: Hilfreiche Dokumente“ aktualisiert, um Änderungen der Links zu entsprechen
Version 2.4
-
Ungenaue Aussage über die maximale Dauer des TISAX-Prüfprozesses aus Abschnitt 3.1, “Überblick” entfernt
-
„TISAX-Bericht“ umbenannt in „TISAX Assessment Bericht“
-
Hinweis bezüglich der Unterschiede zwischen ISO 27001 und TISAX aktualisiert
-
Abschnitt Scope-Beschreibung aktualisiert; Abschnitt für angepasste Scopes in den Anhang verschoben
-
Standard-Scope-Beschreibung aktualisiert auf Version 2.0
-
Abschnitt „Veröffentlichen und Teilen“ aktualisiert mit Hinweis auf das Teilen des Weitergabe des Prüfungs-Status
-
Abschnitt „Schutzbedarfe und Assessment-Level“ aktualisiert mit Inhalt über „Assessment-Level 2,5", die „Methode der videogestützten Fernprüfung“, die Unterschiede zwischen AL 2 und AL 3, Plausibilitätsprüfung vs. Verifizierung
-
Link zum Registrierungsprozess geändert
-
Abschnitt „Portal-Account“ aktualisiert, um dem geänderten Einladungsprozess zu entsprechen
-
Download-Links zum ISA-Dokument geändert (jetzt auch auf enx.com verfügbar)
-
Abschnitt „Beurteilen der Angebote“ aktualisiert mit einer Grundlage für Kostenschätzungen
-
Abschnitt „Kick-off-Meeting“ hinzugefügt (Inhalt aus Abschnitt „Die erste offizielle Eröffnungsbesprechung“ hierher verschoben)
-
Abschnitt „Zur Übereinstimmung mit den Anforderungen („Konformität“)“ aktualisiert mit einer neuen Tabelle über die vier Arten von Feststellungen
-
Abschnitt „Erstprüfung“ aktualisiert mit einem Hinweis auf zeitliche Beschränkungen
-
Abschnitt „TISAX Assessment Bericht“ aktualisiert mit Hinweis auf einen proaktiven Maßnahmenplan
-
Abschnitt „Vorbereitung des Maßnahmenplans“ aktualisiert mit den Anforderungen „Feststellung“ und „Grundursache“ und einem Hinweis auf Vorlagen für Maßnahmenpläne
-
Abschnitt „Maßnahmenplanprüfung“ aktualisiert mit einem Hinweis auf E-Mail als einzige Kommunikationsform
-
Abschnitt „Voraussetzungen für die Maßnahmenplanprüfung“ umbenannt in „Gründe für die Maßnahmenplanprüfung“ und zwei Gründe hinzugefügt
-
Abschnitt „Temporäre TISAX-Labels“ aktualisiert mit Beispielen und Klarstellungen zur Gültigkeitsdauer
-
Abschnitt "TISAX-Bericht" umbenannt in „TISAX Assessment Bericht“.
-
Abschnitt „Erneuerung der TISAX-Labels“ aktualisiert mit Hinweis auf die Wiederverwendung von Standort-Datensätzen im ENX-Portal
-
Abschnitt „Anhang: Die Argumentation gegen „Pre-Assessments“ und „Gap-Analysen““ hinzugefügt
-
Abschnitt „Angepasster Prüf-Scope“ hinzugefügt („Erweiterter Scope“ und „Eingeschränkter Scope“ ersetzt durch „Benutzerdefiniert erweiterter Scope“ und „Vollständig benutzerdefinierter Scope“)
-
Abschnitt „Anhang: Scope-Erweiterungsprüfung“ aktualisiert mit Gründen und einem Hinweis zum Hinzufügen von Standort-Datensätzen zum ENX-Portal-Account des Teilnehmers
-
Abschnitt „Anhang: ISA-Lebenszyklus-Management“ aktualisiert, um der aktuellen Situation zu entsprechen
-
Abschnitt „Anhang: Hilfreiche Dokumente“ aktualisiert, um Änderungen der Links zu entsprechen
-
Abschnitt „Anhang: Beschwerdemanagement“ hinzugefügt
-
Telefonnummern sind jetzt anklickbar
-
Verschiedene kleinere Klarstellungen und Korrekturen
-
Tippfehler korrigiert
-
Hinweis für TISAX-Prüfdienstleister: Dieses Update basiert auf ENX doc ID 612 Version 2.1
Version 2.3
-
Wechsel von Word/PDF zu HTML als primäres Format für das Handbuch
-
Weitere Übersetzungen verfügbar (Chinesisch und Französisch, siehe nächster Punkt)
-
Abschnitt “Das TISAX-Teilnehmerhandbuch in anderen Sprachen und Formaten” hinzugefügt
-
Alle Links auf die ENX-Homepage von "https://portal.enx.com" auf "https://enx.com" geändert (die alten Links funktionieren noch)
-
„VDA ISA“ wird zu „ISA“
-
Abschnitt Abschnitt 5.2, “Selbsteinschätzung auf Basis des ISA” aktualisiert, um Änderungen zu berücksichtigen, die durch den ISA in Version 5 eingeführt wurden
-
Zeilen aller Tabellen, die Prüfziele auflisten, neu sortiert, um der geänderten Reihenfolge der Kriterienkataloge im ISA 5 zu entsprechen
-
Abbildungen mit Prüfziel-Auflistungen aktualisiert, um der geänderten Reihenfolge der Kritierienkataloge im ISA 5 zu entsprechen
-
Abschnitt „Maßschneidern des Scopes“ aktualisiert (Abbildung 6, Tippfehler korrigiert, Prüfziele aktualisiert)
-
Abschnitt „Entgelt“ mit Informationen über Kreditkartenzahlungen aktualisiert
-
Abschnitt „TISAX-Prüfprozessdiagramm“ aktualisiert (Abbildung 34, Verweis auf Managed-Service-Provider entfernt)
-
Abschnitt „Anhang: Hilfreiche Dokumente“ aktualisiert (Whitepaper „Risikomanagement in der Informationssicherheit“ hinzugefügt)
Version 2.2.1
-
Tippfehler korrigiert
Version 2.2
-
Cover-Druckproblem behoben
-
Alle Links zu unserer Homepage und den Downloads haben sich geändert
-
Wir sprechen jetzt auch Italienisch
-
Abschnitt „Angepasster Prüf-Scope“ erweitert
-
Abschnitt „Scope-Standorte“ gemäß Übersetzung im Portal aktualisiert
-
Prüfziele „Anbindung Dritter“ entfernt; Abbildungen 7, 9 und 38 aktualisiert; Tabellen 4, 5, 6 und 8 aktualisiert
-
Formulierung „mit Assessment-Level“ geändert in „im Assessment-Level“
-
Verweis auf „TISAX-Aktivierungsliste“ aus Abschnitt „Schutzbedarfe und Assessment-Level“ entfernt (nicht länger angewandt)
-
Abschnitt „Prüfziele und Ihre eigenen Lieferanten“ hinzugefügt
-
Abschnitt „Teilnehmer-Ansprechpartner“ mit Informationen zu Funktionspostfächern und zum Einladen von Ansprechpartnern, um das Verwalten von Teilnehmer-Daten zu ermöglichen, aktualisiert
-
Abschnitt „Registrierung des Prüf-Scopes“ mit Informationen zur Änderung von Prüf-Scopes aktualisiert
-
Abschnitt „Statusinformation“ aktualisiert (Übersetzung, Abbildung 12)
-
Abschnitt „Befassen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung“ mit Informationen zu externer Hilfe durch Dritte aktualisiert
-
Abschnitt „Abdeckung“ mit Link zur Prüfdienstleister-Abdeckungsmatrix aktualisiert
-
Abschnitt „Angebote anfordern“ aktualisiert
-
Abschnitt „Beurteilen der Angebote“ mit Informationen zu „Pre-Assessments“ aktualisiert
-
Abschnitt „Erneuerung der TISAX-Labels“ mit Informationen über die Notwendigkeit, einen neuen Prüf-Scope zu registrieren, aktualisiert
-
„Nachprüfung“ in „Follow-up-Prüfung“ umbenannt
-
Unterabschnitte des Abschnitts „Austausch (Schritt 3)“ aktualisiert, um Änderungen der Benutzerschnittstelle im ENX-Portal zu berücksichtigen
-
Abschnitt „Teilen Sie Ihr Prüfergebnis mit einem bestimmten Teilnehmer“ mit Empfehlung für Sharing-Level und Hinweis auf automatische Verarbeitung von geteilten Prüfergebnissen aktualisiert
-
Abschnitt „Teilen Ihres Prüfergebnisses außerhalb TISAX“ hinzugefügt
-
Abschnitt „ISA-Lebenszyklus-Management“ hinzugefügt
-
Abschnitt „Anhang: Prüf-Scope-Status“ aktualisiert (Übersetzung wie im Portal, neuer Status „Warten auf Ihren Antrag“, neuer Status „Warten auf ENX Genehmigung“, Status „Genehmigt“ umbenannt in „Warten auf Ihre Zahlung“, Abbildung 40)
-
Abschnitt „Anhang: Beispiel einer Bestätigungs-E-Mail“ aktualisiert
-
Abschnitt „Anhang: Beispiel eines TISAX Scope Excerpt“ aktualisiert
-
Abschnitt „Anhang: Assesment status“ aktualisiert (neuer Status „Initial assessment ongoing“, status „Waiting for follow-up assessment“ umbenannt in “Waiting for follow-up“, Abbildung 41)
-
Abschnitt „Anhang: Volkswagen-Altprüfungen“ (und Verweise darauf) entfernt (nicht länger relevant)
Version 2.1.2
-
Formale Grenze für „Abstand“ zwischen „Ihrem Ergebnis“ und „maximalem Ergebnis“ korrigiert von 25 % auf 30 %
Version 2.1.1
-
Tippfehler korrigiert
Version 2.1
-
Abschnitt „Managed-Service-Provider“ entfernt
-
Neue TISAX-Prüfziele/-labels (Datenschutz basierend auf DSGVO, vier statt zwei Prototypen-Labels; Umbenennung: „protection needs“ statt bisher „protection levels“; Auswahl-Hilfe aktualisiert)
-
Aktualisierungen aufgrund von Änderungen im ISA (Version 4.0 zu 4.1)
-
Verweis auf das neue Dokument „TISAX Simplified Group Assessment“ (Ergänzung zu diesem Handbuch) hinzugefügt
-
Vorschläge für die Vergabe von Standort-Namen und Scope-Namen hinzugefügt
-
„Registrierungsentgelt“ in „Entgelt“ umbenannt
-
Empfehlung für Ansprechpartner-Vertreter hinzugefügt
-
Auswahl des Entgeltmodells entfernt