VDA ISA UMSETZUNG FÜR AUTOMOTIVE

Der VDA ISA Stan­dard für Infor­ma­ti­ons­si­cher­heit in der Auto­mo­bil­bran­che bie­tet prüf­ba­re und ein­heit­li­che Vor­ga­ben für die Markt­teil­neh­mer. Nach Ein­füh­rung eines ISMS auf Basis von VDA ISA erfolgt eine TISAX® Audi­tie­rung bzw. Zer­ti­fi­zie­rung durch einen von ENX akkre­di­tier­ten Prüfdienstleister.

Hin­weis: TISAX® ist eine ein­ge­tra­ge­ne Mar­ke der ENX Asso­cia­ti­on. SEC4YOU steht in kei­ner Geschäfts­be­zie­hung mit der ENX Association.

Die Vor­tei­le von VDA ISA und TISAX®

TISAX® ist ver­gleich­bar mit der ISO 27001.

Der VDA ISA Kata­log beruht auf aus­ge­wähl­ten Kon­trol­len der ISO/IEC 27001, kon­kre­ti­siert jedoch in vie­len Maß­nah­men die erfor­der­li­che Umset­zung sehr detail­liert. Dadurch kann ein TISAX® Zer­ti­fi­kat eine ISO 27001 Zer­ti­fi­zie­rung ersetzen.

Ein­heit­li­ches Sicher­heits­ni­veau in der Automobilindustrie

Trotz einer Viel­zahl an euro­päi­schen Prüf­dienst­leis­tern erfolgt die Ver­ga­be des TISAX® Labels streng nach ein­heit­li­chen Vor­ga­ben. Daher ver­las­sen sich die Markt­teil­neh­mer auf das ein­heit­li­che Sicher­heits­ni­veau der TISAX® zer­ti­fi­zier­ten Unternehmen.

TISAX® Zer­ti­fi­zie­rung ist erfor­der­lich für neue Lie­fer­ver­trä­ge mit OEMsSchweinwerfer

Sofern Infor­ma­tio­nen mit OEMs aus­ge­tauscht für die­se ver­ar­bei­tet wer­den, for­dern die­se Auf­trag­ge­ber von den Auto­mo­ti­ve ‑Zulie­fe­rern als Mini­mum ein TISAX® Label „Infor­ma­ti­ons­si­cher­heit Hoch“ oder „Infor­ma­ti­ons­si­cher­heit Sehr Hoch“. Bei der Hand­ha­bung mit Pro­to­ty­pen zusätz­lich „Schutz von Pro­to­ty­pen“. Die Ein­kaufs­ab­tei­lun­gen der gro­ßen OEMs wie z.B.  BMW, Audi, Volks­wa­gen und wei­te­rer for­dern TISAX® mitt­ler­wei­le auch von klei­nen Unternehmen.

Auf­wand­re­du­zie­rung bei Audits durch OEMs

Die Anzahl von Ein­zel­au­dits und Lie­fe­ran­ten­be­fra­gun­gen wird durch eine TISAX®-Zertifizierung signi­fi­kant und nach­hal­tig redu­ziert. Zer­ti­fi­zier­te Zulie­fe­rer wer­den durch den Ent­fall die­ser auf­wen­di­gen Ein­zel­prü­fun­gen ent­las­tet. Nach­dem TISAX®-Labels erteilt wor­den sind, ist kei­ne wei­te­re Prü­fung für einen Zeit­raum von 3 Jah­ren notwendig.

Aner­ken­nung außer­halb der Automotive-Branche

Eine TISAX® Zer­ti­fi­zie­rung nach Pro­tec­tion Level „Infor­ma­ti­ons­si­cher­heit Hoch“ oder „Infor­ma­ti­ons­si­cher­heit Sehr Hoch“ wird von Exper­ten höher­wer­tig im Ver­gleich zur ISO 27001 Zer­ti­fi­zie­rung ange­se­hen. Daher spricht das TISAX® Label für die Qua­li­tät der Infor­ma­ti­ons­si­cher­heit eines Unternehmens.

Fra­gen? Kos­ten­lo­ses Beratungsgespräch

Die Umset­zung von VDA ISA bis zum erfolg­rei­chen Abschluss des TISAX®-Assessments

Wir emp­feh­len die Umset­zung in den fol­gen­den Schrit­ten durch­zu­füh­ren und unter­stüt­zen in allen Pha­sen mit Bera­tung und Projektmanagement:

Projektablauf TISAX Zertifizierung

Defi­ni­ti­on des Pro­tec­tion Levels

Die Anfor­de­rung, wel­cher Pro­tec­tion Level (hoch bzw. sehr hoch) erfor­der­lich ist, obliegt in der Regel Ihrem Auf­trag­ge­ber (OEM). Wich­tig ist eine kla­re Kom­mu­ni­ka­ti­on, welches/welche TISAX®-Label bis zu wel­chem Zeit­punkt gefor­dert sind.

GAP Ana­ly­se

In einer ers­ten GAP Ana­ly­se ver­gleicht ein Audi­tor oder Bera­ter den Rei­fe­grad der Infor­ma­ti­ons­si­cher­heit gegen die Anfor­de­run­gen des VDA ISA Kata­lo­ges. Vor der Imple­men­tie­rung wird der Ziel­rei­fe­grad von 3,00 in der Regel nicht erreicht.

Imple­men­tie­rung VDA ISA und ISMS

Der VDA ISA Kata­log glie­dert sich in die Abschnit­te Info­Sec Richt­li­ni­en und Orga­ni­sa­ti­on, Per­so­nal­be­reich, phy­si­sche Sicher­heit und Busi­ness Con­ti­nui­ty, Iden­ti­täts- und Zugriffs­ma­nage­ment, IT-Sicher­heit und Cyber­si­cher­heit, Lie­fe­ran­ten­si­cher­heit, sowie Com­pli­ance. In allen Abschnit­ten muss ein Rei­fe­grad 3 „Eta­bliert“ erreicht wer­den. SEC4YOU kann in die­ser Pha­se bewähr­te TISAX® kon­for­me ISMS Vor­la­gen (u.a. Richt­li­ni­en, ISMS-Hand­buch, Risi­ko­ma­nage­ment, Pro­zess­be­schrei­bun­gen, Not­fall­plä­ne) einbringen.

Vor-Audit

Im Zuge eines Vor-Audits wird durch einen TISAX® Exper­ten eine GAP-Ana­ly­se durch­ge­führt und Abwei­chung zum Ziel­rei­fe­grad doku­men­tiert. Die­se kön­nen in die­ser Pha­se bis zum TISAX® Audit beho­ben werden.

TISAX® Audit durch den aus­ge­wähl­ten Prüfdienstleister

Das Audit durch den Prüf­dienst­leis­ter erfolgt unter Ein­be­zie­hung der Fach­be­rei­che und detail­lier­ter Prü­fung von Nach­wei­sen. In der ers­ten Pha­se des Audits muss das Unter­neh­men eine Selbst­be­wer­tung durch­füh­ren und, wenn mög­lich doku­men­tier­te Nach­wei­se zu den ein­zel­nen Con­trols bereitstellen.

Bei erfolg­reich abge­schlos­se­ner Prü­fung gilt das / gel­ten die TISAX® Label für 3 Jahre.

VDA ISA Reifegrad 0-1VDA ISA Reifegrad 3

Wis­sens­wer­tes

  • Wie ist die Ver­bin­dung zwi­schen VDA ISA und TISAX®?

    Der frei ver­füg­ba­re VDA ISA Kata­log ist in der aktu­el­len Ver­si­on 5 sowohl über die VDA Web­sei­te www.vda.de als auch über das TISAX®-Por­tal www.tisax.net abruf­bar und bil­det die Basis für das TISAX® Assess­ment. Ein beauf­trag­ter und beru­fen­der TISAX®-Audi­tor bewer­tet im Zuge eines Audits die Infor­ma­ti­ons­si­cher­heit eines Unter­neh­mens auf Basis des VDA ISA Kata­lo­ges und bean­tragt die Ertei­lung des / der TISAX® Label bei ENX.

  • Wie groß ist der Auf­wand einer TISAX® Zer­ti­fi­zie­rung?

    Je nach Rei­fe­grad der vor­han­de­nen Infor­ma­ti­ons­si­cher­heits-Richt­li­ni­en und Pro­zes­se sowie in Abhän­gig­keit von der Unter­neh­mens­grö­ße benö­ti­gen selbst klei­ne Unter­neh­men min­des­tens 20 Per­so­nen­ta­ge für eine Umset­zung der IDA-ISA Anfor­de­run­gen. Das Unter­neh­men benö­tigt ver­pflich­tend einen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten bzw. CISO für den lau­fen­den Betrieb, die­se Rol­le muss aller­dings nicht zwin­gend eine Voll­zeit­stel­le sein.

  • Wel­che TISAX® Label gibt es?

    Es gibt acht ver­schie­de­ne TISAX® Label, die von einem Part­ner gefor­dert wer­den können:

    1. Infor­ma­ti­ons­si­cher­heit mit Schutz­be­darf „hoch“
    2. Infor­ma­ti­ons­si­cher­heit mit Schutz­be­darf „sehr hoch“
    3. Pro­to­ty­pen­schutz ( 4 verschiedene)
    4. Daten­schutz ( 2 Labels, „Data“ und „Spe­cial data“)

    Die Zer­ti­fi­zie­rung nach Infor­ma­ti­ons­si­cher­heit umfasst 43 Kon­troll­zie­le, mit einer hohen Anzahl an Muss- und Soll-Anfor­de­run­gen. Die Zer­ti­fi­zie­rung der Zusatz­ka­ta­lo­ge Pro­to­ty­pen-Schutz und Daten­schutz erfor­dert ver­pflich­tend die Basis-Audi­tie­rung nach Infor­ma­ti­ons­si­cher­heit „hoch“ oder „sehr hoch“. Der Pro­to­ty­pen­schutz­ka­ta­log umfasst 22 Kon­troll­zie­le. Der Daten­schutz­ka­ta­log 4 Kontrollziele.

  • Wie wird der Rei­fe­grad der Infor­ma­ti­ons­si­cher­heit bestimmt?

    Der VDA ISA Kata­log defi­niert die Rei­fe­gra­de von Rei­fe­grad 0 „Unvoll­stän­dig“, über 1 „Durch­ge­führt“ und 2 „Gesteu­ert“ bis zum Ziel­rei­fe­grad 3 „Eta­bliert“. Der Rei­fe­grad „Eta­bliert“ defi­niert sich im IDA ISA Kata­log wie folgt:

    Es wird einem Stan­dard­pro­zess gefolgt, der in das Gesamt­sys­tem inte­griert ist. Abhän­gig­kei­ten zu ande­ren Pro­zes­sen sind doku­men­tiert und geeig­ne­te Schnitt­stel­len geschaf­fen. Es exis­tie­ren Nach­wei­se, dass der Pro­zess über einen län­ge­ren Zeit­raum nach­hal­tig und aktiv genutzt wurde.“

  • Wie lan­ge dau­ert ein TISAX® Audit?

    Die Vor­be­rei­tun­gen auf eine TISAX® Zer­ti­fi­zie­rung dau­ern durch­schnitt­lich 6–12 Mona­te, wohin die Durch­füh­rung des Audits durch den Prüf­dienst­leis­ter meist nur 1–3 Tage in Anspruch nimmt. Bei Schutz­be­darf „sehr hoch“ und Pro­to­ty­pen­schutz ist zwin­gend die Durch­füh­rung eines Vor-Ort-Audit erfor­der­lich, bei Schutz­be­darf „hoch“ kann das Audit auch Remo­te durch­ge­führt werden.

  • Gibt es Preis­un­ter­schei­de bzw. einen Wett­be­werb bei den Prüfdienstleistern?

    Zum Jah­res­start 2022 lis­tet die ENX Asso­cia­ti­on bereits 13 Prüf­dienst­leis­ter, davon 5 in Öster­reich, die im frei­en Wett­be­werb ste­hen. Es macht Sinn die kauf­män­ni­schen Ange­bo­te und Ver­füg­bar­kei­ten der Prüf­dienst­leis­ter zu ver­glei­chen und ggf. ein ers­tes unver­bind­li­ches Gespräch mit dem Audi­tor zu führen.

  • Erhält man ein TISAX® Zer­ti­fi­kat, mit dem man wer­ben kann?

    Lei­der nein, die Bestä­ti­gung des/der TISAX® Labels (oft auch „Zer­ti­fi­kat“ genannt) erfolgt aus­schließ­lich im ENX Por­tal. In die­sem Por­tal kön­nen Unter­neh­men Ihre TISAX® Labels für alle oder aus­ge­wähl­te Geschäfts­part­ner ver­öf­fent­li­chen und die Lese­rech­te indi­vi­du­ell gra­nu­lar steuern.

IHRE VORTEILE

  • Zer­ti­fi­zier­te Infor­ma­ti­ons­si­cher­heit nach Stand-der-Technik

  • Ein­heit­li­ches Sicher­heits­ni­veau in der Automobilindustrie

  • Auf­wand­re­du­zie­rung durch Ent­fall von Ein­zel­au­dits und Lieferantenbefragungen

  • TISAX® Zer­ti­fi­zie­rung erfor­der­lich für neue Lie­fer­ver­trä­ge

QUICK LINKS

Fra­gen zum VDA ISA Kata­log oder einer TISAX® Zertifizierung?
Sie möch­ten mit einem Exper­ten sprechen?

Anfra­ge stellen

Sie habe direkt eine Fra­ge an unse­re Team?

Ter­min buchen

Buchen Sie jetzt gleich Ihren Ter­min mit unse­rem Team

Online Ter­min buchen

 

Es öff­net sich ein neu­er Tab wo Sie per Office365 direkt die frei­en Ter­mi­ne buchen können