Sie sind bereits ISO 27001 konform und müssen nun TISAX® nachweisen? Der internationale Standard ISO 27001 und die Vorgaben des VDA zur Informationssicherheit überschneiden sich an vielen Stellen. In diesem Artikel beschreiben wir auf Basis unserer Erfahrung welche Themen bei einem vorhandenen ISMS nach ISO 27001 für eine Prüfung nach TISAX® und VDA-ISA relevant sind. TISAX® ist eine eingetragene Marke der ENX Association. ACHTUNG: die ALPS GmbH bietet nur Informationen zum VDA ISA an und ist kein Zertifizierer gemäß TISAX®.
Ausgangssituation: Zertifiziertes ISMS nach ISO 27001
Grundsätzlich haben Sie mit einer vorhandenen ISO 27001 Zertifizierung eine hervorragende Ausgangslage für VDA ISA und TISAX®. Der Zusatzaufwand, um ein TISAX® Label zu erhalten, hängt von verschiedenen Faktoren (z.B. Reifegrad des vorhandenen ISMS, Zusatzanforderungen wie Prototypenschutz etc.) ab und lässt sich nicht pauschal abschätzen. Unterschätzen Sie den Aufwand einer zusätzlichen TISAX® Prüfung nicht. Aus unserer Erfahrung dauert es mindestens zwei volle Arbeitstage den VDA ISA Katalog vollständig auszufüllen.
Die Zusatzkosten für das TISAX® Label setzen sich aus den folgenden Komponenten zusammen:
Bei einer vorhandenen ISO 27001 Zertifizierung sollten Sie als Erstes mit Ihrem ISO 27001 Prüfer über eine Prüfung nach TISAX® sprechen. Zum einen aus fachlicher Sicht, aber vor allem, um Termine abzustimmen. Sie werden immer zwei Prüfungen beauftragen müssen – allerdings kann man diese zeitlich so legen, dass Sie vom gleichen Prüfer durchgeführt werden. Kompliziert wird es allerdings, wenn Ihr aktueller ISO 27001 Prüfer keine Zulassung für TISAX® hat.
Der Anwendungsbereich Ihrer vorhandenen ISO 27001 Zertifizierung muss nicht zwangsläufig den TISAX® Anwendungsbereich abdecken. Sie müssen daher beide Anwendungsbereiche prüfen und ggfs. Lücken schließen. Details zum Standard-Scope finden Sie hier.
Anhand unserer Checkliste zur TISAX® Umsetzung basierend auf dem VDA ISA, können Sie vorab die erforderlichen Pflichtdokumente einsehen.
Die TISAX® Prüfung findet alle drei Jahre statt – eine ISO 27001 Prüfung dagegen jährlich. Die Konsequenzen sind weitreichend: eine Abweichung in der 27001 Prüfung kann im folgenden Überwachungsaudit ein Jahr später überprüft werden. Diese Entscheidung trifft der Auditor. Am Ende einer TISAX® rüfung hingegen müssen alle Abweichungen behoben sein – dabei gibt es keinen Spielraum für den Auditor. Sollten Sie aktuell offene Abweichungen in Ihrem ISO 27001 ISMS haben, wird der TISAX® Prüfer diese mit hoher Wahrscheinlichkeit finden – z.B. wenn er die interne Maßnahmenverfolgung auditiert. Während es in der ISO 27001 zulässig ist offene Abweichungen zu führen, deren Maßnahmen noch nicht umgesetzt sind, funktioniert dies für TISAX® nicht.
Die Prüfergebnisse bleiben bei einer ISO 27001 bei Ihnen im Unternehmen. Sie entscheiden selbst, welche Informationen Sie nach außen geben – z.B. den Auditbericht, das Zertifikat oder andere Nachweise Ihren Kunden zugänglich machen. Die Idee bei TISAX® ist der Austausch standardisierter und vertrauenswürdiger Informationen zur Informationssicherheit zwischen Lieferanten und Automobilherstellern über eine zentrale Plattform. Dabei handelt es sich um ein sogenanntes „Label“. Sie können dabei selbst entscheiden welchen TISAX® Teilnehmern Sie welche Informationen zur Verfügung stellen.
Weitere Details, z.B. zum Prüfprozess zu TISAX® gemäß VDA ISA haben wir in unserem Artikel „ISO 27001 oder TISAX® – für wen eignet sich welche Zertifizierung?“dargestellt.
Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!
Ihr ALPS-Experten-Team