TISAX® (Trusted Information Security Assessment Exchange) ist die Antwort der Automobilindustrie (VDA) auf das wachsende Sicherheitsbedürfnis der Projektpartner im Umgang mit vertraulichen Informationen. Es handelt sich hierbei um einen Prüf- und Austauschmechanismus zur Anerkennung von Prüfergebnissen der Informationssicherheit in der Automobilbranche. Im folgenden Artikel werden die drei bedeutendsten Unterschiede zwischen einer TISAX® Zertifizierung gemäß VDA ISA und einer Zertifizierung gemäß ISO/IEC 27001 erläutert. TISAX® ist eine eingetragene Marke der ENX Association. ACHTUNG: die ALPS GmbH bietet nur Informationen zum VDA ISA an und ist kein Zertifizierer gemäß TISAX®.
Im Gegensatz zu der eher allgemein gehaltenen Norm ISO/IEC 27001 erweitert der VDA-ISA die ISO 27001 um branchenspezifische Anforderungen der Automobilindustrie, wie z.B. dem Prototypenschutz. Der Prüfprozess besteht aus den folgenden drei Hauptschritten, deren Dauer je nach Ausgangslage und der ermittelten Erstprüfergebnissen unterschiedlich lang sein kann.
1. Bestimmung des Geltungsbereichs (Scope)
Kann man den Scope bei einer Zertifizierung gemäß ISO 27001 noch weitestgehend selbst bestimmen, wird dieser bei einer TISAX® Zertifizierung gemäß VDA ISA bereits als Standard-Scope vorgegeben. Details zum Standard-Scope können Sie hier nachlesen.
Gerne möchten wir Ihnen hierzu die Vor- und Nachteile darstellen:
Vorteile:
Nachteile:
2. Prüfprozess
Der Prüfprozess beinhaltet mehrere Schritte und startet mit einer Selbsteinschätzung, die auf der Basis des VDA ISA Fragenkataloges erfolgt. Mit Hilfe dieser Grundeinschätzung erstellt der Prüfer ein Angebot. Der gesamte Prüfprozess startet mit der Erstprüfung und beinhaltet mehrere Durchläufe, bis das konforme Prüfergebnis erreicht wurde.
Im Gegensatz zu dem ISO/IEC 27001 Prüfprozess müssen sämtlich Nebenabweichungen innerhalb des Prüfprozesses behoben werden, um das TISAX® Label bzw. Zertifikat zu erhalten.
Abbildung: Einzelne Schritte der Prozessprüfung
Auch hier gibt es Vor- und Nachteile, die wir Ihnen aufzeigen wollen:
Vorteile:
Nachteile:
3. Bewertungsschema Prüfergebnisse
Was und wie wird bewertet? Der Fragenkatalog des VDA ISA bedient sich der Maßnahmen aus dem Annex A der ISO/IEC 27001. Diese wurden als Fragen formuliert und müssen mit einem Reifegrad von „1“ bis „5“ vom Unternehmen selbst bewertet werden. Die eigentliche Auswertung der Ergebnisse erfolgt mathematisch, wobei hier immer gegen den mittleren Zielreifegrad von „3“ geprüft wird.
Folgende Vor- und Nachteile ergeben sich daraus:
Vorteil:
Nachteile:
Fazit und Empfehlung
Unsere Zusammenfassung zeigt, dass sich TISAX® gemäß VDA-ISA und ISO 27001 nicht in den grundlegenden Sicherheitsmaßnahmen und Methoden, sondern im Prüfprozess unterscheiden. Die Umsetzung der Informationssicherheit wird in beiden Fällen zu einem vergleichbaren Sicherheitsniveau führen.
Einzige Ausnahme ist das Thema „Prototypenschutz“, dessen Maßnahmen sich jedoch nicht so sehr auf die Informationen selbst, sondern eher auch den „Prototypen“ als Fahrzeug beziehen. Aufgrund der fehlenden jährlichen Überwachungsaudits im VDA ISA Prüfprozess ist das „Leben“ und das kontinuierliche Verbessern des Informationssicherheitsmanagementsystems (ISMS) nicht sichergestellt.
Ist ein Unternehmen in dem Automotivumfeld tätig und greift auf vertrauliche Informationen zu, muss es eine VDA (TISAX®) Zertifizierung vorweisen. Hat dieses Unternehmen den Prüfprozess erfolgreich abgeschlossen und ein VDA (TISAX®) Zertifikat erhalten, wird dieses von allen anderen Automobilherstellern akzeptiert. Andere Branchen hingegen werden ein VDA (TISAX®) Zertifikat nicht akzeptieren und ggf. eine ISO 27001 Zertifizierung fordern. Unternehmen, die nicht in der Automobilbranche tätig sind, sollten daher der nativen ISO 27001 den Vorzug geben.
Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!
Ihr ALPS-Experten-Team