TISAX oder ISO 27001 - für wen eignet sich welche Zertifizierung?

TISAX (Trusted Information Security Assessment Exchange) ist die Antwort der Automobilindustrie (VDA) auf das wachsende Sicherheitsbedürfnis der Projektpartner im Umgang mit vertraulichen Informationen. Es handelt sich hierbei um einen Prüf- und Austauschmechanismus zur Anerkennung von Prüfergebnissen der Informationssicherheit in der Automobilbranche. ACHTUNG: die ALPS GmbH bietet nur Informationen zum VDA ISA an und ist kein Zertifizierer gemäß TISAX.

Im folgenden Artikel werden die drei bedeutendsten Unterschiede zwischen einer VDA Zertifizierung und einer Zertifizierung gemäß ISO/IEC 27001 erläutert sowie Vor- und Nachteile herausgearbeitet.

Im Gegensatz zu der eher allgemein gehaltenen Norm ISO/IEC 27001 erweitert der VDA-ISA die ISO 27001 um branchenspezifische Anforderungen der Automobilindustrie, wie z.B. dem Prototypenschutz. Der Prüfprozess besteht aus den folgenden drei Hauptschritten, deren Dauer je nach Ausgangslage und der ermittelten Erstprüfergebnissen unterschiedlich lang sein kann.

 

1. Bestimmung des Geltungsbereichs (Scope)

Kann man den Scope bei einer Zertifizierung gemäß ISO 27001 noch weitestgehend selbst bestimmen, wird dieser bei einer VDA ISA Zertifizierung bereits als Standard-Scope vorgegeben. Details zum Standard-Scope können Sie hier nachlesen.

Gerne möchten wir Ihnen hierzu die Vor- und Nachteile darstellen:

Vorteile:

• Zertifizierung nach Standard-Scope wird von allen VDA Mitgliedern akzeptiert.
• Scope muss nicht selbst bestimmt werden.
• Scope kann während der Prüfungsphase durch die in der Prüfung befindlichen Organisation noch geändert werden.

Nachteile:

• Eine bereits vorhandene ISO 27001 Zertifizierung mit abweichendem Scope vom Standard-Scope ist für eine VDA Zertifizierung nicht geeignet.
• Standard-Scope muss gewählt werden, ansonsten wird die Zertifizierung nicht von allen VDA Mitgliedern akzeptiert.
• VDA ISA wird (inter-) national nicht branchenübergreifend akzeptiert.

 

 2. Prüfprozess

Der Prüfprozess beinhaltet mehrere Schritte und startet mit einer Selbsteinschätzung, die auf der Basis des VDA ISA Fragenkataloges erfolgt. Mit Hilfe dieser Grundeinschätzung erstellt der Prüfer ein Angebot. Der gesamte Prüfprozess startet mit der Erstprüfung und beinhaltet mehrere Durchläufe, bis das konforme Prüfergebnis erreicht wurde.

Im Gegensatz zu dem ISO/IEC 27001 Prüfprozess müssen sämtlich Nebenabweichungen innerhalb des Prüfprozesses behoben werden, um das Label bzw. Zertifikat zu erhalten.

Auch hier gibt es Vor- und Nachteile, die wir Ihnen aufzeigen wollen:

Vorteile:

• Nach dem erfolgreichen Abschluss gilt das VDA ISA Zertifikat für drei Jahre.
• Es finden keine jährliche Überwachungsaudits statt.

Nachteile:

• Begrenzte Umsetzungszeit: Mit dem Beginn der Erstprüfung hat man neun Monate Zeit, um alle VDA-ISA Anforderungen umzusetzen. Innerhalb dieser 9 Monate muss der Prüfprozess abgeschlossen sein.
• Geringere Auswahl an Prüfdienstleistern als bei der ISO 27001.

 

3.  Bewertungsschema Prüfergebnisse

Was und wie wird bewertet? Der Fragenkatalog VDA ISA bedient sich der Maßnahmen aus dem Annex A der ISO/IEC 27001. Diese wurden als Fragen formuliert und müssen mit einem Reifegrad von „1“ bis „5“ vom Unternehmen selbst bewertet werden. Die eigentliche Auswertung der Ergebnisse erfolgt mathematisch, wobei hier immer gegen den mittleren Zielreifegrad von „3“ geprüft wird.

Folgende Vor- und Nachteile ergeben sich daraus:

Vorteil:

• Es gibt klare Vorgaben für die Umsetzung der Anforderungen und Erreichung des Zielreifegrades.

Nachteile:

• Ein hoher Reifegrad einer Maßnahme kann nicht einen niedrigeren Reifegrad einer anderen Maßnahme ausgleichen.
• Es gibt feste Grenzen bei der Auswertung: Liegen die Abweichung des eigenen Reifegrades vom Zielreifegrad über 25 Prozent, ist das Gesamtprüfergebnis automatisch „hauptabweichend“. In diesem Fall kann kein Zertifikat ausgegeben werden.

 

Fazit und Empfehlung

Unsere Zusammenfassung zeigt, dass sich VDA-ISA und ISO 27001 nicht in den grundlegenden Sicherheitsmaßnahmen und Methoden, sondern im Prüfprozess unterscheiden. Die Umsetzung der Informationssicherheit wird in beiden Fällen zu einem vergleichbaren Sicherheitsniveau führen.

Einzige Ausnahme ist das Thema „Prototypenschutz“, dessen Maßnahmen sich jedoch nicht so sehr auf die Informationen selbst, sondern eher auch den „Prototypen“ als Fahrzeug beziehen. Aufgrund der fehlenden jährlichen Überwachungsaudits im VDA ISA Prüfprozess ist das „Leben“ und das kontinuierliche Verbessern des Informationssicherheitsmanagementsystems (ISMS) nicht sichergestellt.

Ist ein Unternehmen in dem Automotivumfeld tätig und greift auf vertrauliche Informationen zu, muss es eine VDA-Zertifizierung vorweisen. Hat dieses Unternehmen den Prüfprozess erfolgreich abgeschlossen und ein VDA Zertifikat erhalten, wird dieses von allen anderen Automobilherstellern akzeptiert. Andere Branchen hingegen werden ein VDA Zertifkat nicht akzeptieren und ggf. eine ISO 27001 Zertifizierung fordern. Unternehmen, die nicht in der Automobilbranche tätig sind, sollten daher der nativen ISO 27001 den Vorzug geben.

Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!

Ihr ALPS-Experten-Team