TISAX oder ISO 27001 - für wen eignet sich welche Zertifizierung?

TISAX (Trusted Information Security Assessment Exchange) ist die Antwort der Automobilindustrie (VDA) auf das wachsende Sicherheitsbedürfnis der Projektpartner im Umgang mit vertraulichen Informationen. Es handelt sich hierbei um einen Prüf- und Austauschmechanismus zur unternehmensübergreifenden Anerkennung von Assessments der Informationssicherheit in der Automobilbranche. Das geprüfte Unternehmen hat weiterhin die Kontrolle über die Ergebnisse.

Im folgenden Artikel werden die drei bedeutendsten Unterschiede zwischen einer TISAX Zertifizierung und einer Zertifizierung gemäß ISO/IEC 27001 erläutert sowie Vor- und Nachteile herausgearbeitet.

Im Gegensatz zu der eher allgemein gehaltenen Norm ISO/IEC 27001 erweitert TISAX die 27001 um branchenspezifische Anforderungen der Automobilindustrie, wie z.B. dem Prototypenschutz. Der TISAX-Prüfprozess besteht aus den folgenden drei Hauptschritten, deren Dauer je nach Ausgangslage und der ermittelten Erstprüfergebnissen unterschiedlich lang sein kann.

 

1. Bestimmung des Geltungsbereichs (Scope)

Kann man den Scope bei einer Zertifizierung gemäß ISO 27001 noch weitestgehend selbst bestimmen, wird dieser bei einer TISAX-Zertifizierung bereits als Standard-Scope vorgegeben. Details zum Standard-Scope können Sie hier nachlesen.

Gerne möchten wir Ihnen hierzu die Vor- und Nachteile darstellen:

Vorteile:

• Zertifizierung nach Standard-Scope wird von allen TISAX Mitgliedern akzeptiert.
• Scope muss nicht selbst bestimmt werden.
•  Scope kann während der Prüfungsphase durch die in der Prüfung befindlichen Organisation noch geändert werden.

Nachteile:

• Eine bereits vorhandene ISO 27001 Zertifizierung mit abweichendem Scope vom Standard-Scope ist für eine TISAX Zertifizierung nicht geeignet.
• Standard-Scope muss gewählt werden, ansonsten wird die Zertifizierung nicht von allen TISAX Mitgliedern akzeptiert.
• TISAX wird (inter-)national nicht branchenübergreifend akzeptiert.

 

 2. Prüfprozess

Der Prüfprozess beinhaltet mehrere Schritte und startet mit einer Selbsteinschätzung, die auf der Basis des VDA ISA Fragenkataloges erfolgt. Mit Hilfe dieser Grundeinschätzung erstellt der Prüfer ein Angebot. Der gesamte Prüfprozess startet mit der Erstprüfung und beinhaltet mehrere Durchläufe, bis das konforme Prüfergebnis erreicht wurde.

Im Gegensatz zu dem ISO/IEC 27001 Prüfprozess müssen sämtlich Nebenabweichungen innerhalb des TISAX-Prüfprozesses behoben werden, um das TISAX-Label zu erhalten.

Auch hier gibt es Vor- und Nachteile, die wir Ihnen aufzeigen wollen:

Vorteile:

• Nach dem erfolgreichen Abschluss gilt das TISAX-Label für drei Jahre.
• Es finden keine jährliche Überwachungsaudits statt.

Nachteile:

• Begrenzte Umsetzungszeit: Mit dem Beginn der Erstprüfung hat man neun Monate Zeit, um alle TISAX-Anforderungen umzusetzen. Innerhalb dieser 9 Monate muss der Prüfprozess abgeschlossen sein.
• Geringere Auswahl an Prüfdienstleistern

 

3.  Bewertungsschema Prüfergebnisse

Was und wie wird bewertet? Der Fragenkatalog VDA ISA bedient sich der Maßnahmen aus dem Annex A der ISO/IEC 27001. Diese wurden als Fragen formuliert und müssen mit einem Reifegrad von „1“ bis „5“ vom Unternehmen selbst bewertet werden. Die eigentliche Auswertung der Ergebnisse erfolgt mathematisch, wobei hier immer gegen den mittleren Zielreifegrad von „3“ geprüft wird.

Folgende Vor- und Nachteile ergeben sich daraus:

Vorteil:

• Es gibt klare Vorgaben für die Umsetzung der Anforderungen und Erreichung des Zielreifegrades.

Nachteile:

• Ein hoher Reifegrad einer Maßnahme kann nicht einen niedrigeren Reifegrad einer anderen Maßnahme ausgleichen.
• Es gibt feste Grenzen bei der Auswertung: Liegen die Abweichung des eigenen Reifegrades vom Zielreifegrad über 25 Prozent, ist das Gesamtprüfergebnis automatisch „hauptabweichend“. In diesem Fall kann kein TISAX-Label ausgegeben werden.

 

Fazit und Empfehlung

Unsere Zusammenfassung zeigt, dass sich TISAX und ISO 27001 nicht in den grundlegenden Sicherheitsmaßnahmen und Methoden, sondern im Prüfprozess unterscheiden. Die Umsetzung der Informationssicherheit wird in beiden Fällen zu einem vergleichbaren Sicherheitsniveau führen.

Einzige Ausnahme ist das Thema „Prototypenschutz“, dessen Maßnahmen sich jedoch nicht so sehr auf die Informationen selbst, sondern eher auch den „Prototypen“ als Fahrzeug beziehen. Aufgrund der fehlenden jährlichen Überwachungsaudits im TISAX Prüfprozess ist das „Leben“ und das kontinuierliche Verbessern des Informationssicherheitsmanagementsystems (ISMS) nicht sichergestellt.

Ist ein Unternehmen in dem Automotivumfeld tätig und greift auf vertrauliche Informationen zu, muss es eine TISAX-Zertifizierung vorweisen. Hat dieses Unternehmen den Prüfprozess erfolgreich abgeschlossen und ein TISAX-Label erhalten, wird dieses von allen anderen Automobilherstellern akzeptiert. Andere Branchen hingegen werden ein TISAX-Label nicht akzeptieren und ggf. eine ISO 27001 Zertifizierung fordern. Unternehmen, die nicht in der Automobilbranche tätig sind, sollten daher der nativen ISO 27001 den Vorzug geben.

Senden Sie uns Ihre Anfrage an info@alps-gmbh.de

Ihr ALPS-Experten-Team