Erlkönige, Autoshows und Enthüllungen: In der Automobilindustrie steckt hinter beinahe jeder Neu- oder Weiterentwicklung ein enormer Aufwand. Oft sind ganze Hundertschaften von Ingenieuren und Zulieferbetrieben beteiligt. Kein Wunder, dass Hersteller (OEMs) bei diesem Aufwand nur Zulieferern vertrauen, die höchste Informationssicherheitsstandards erfüllen. Garantiert wird dies in der Branche durch die sogenannte Zertifizierung nach TISAX®.
In diesem Beitrag
- Wie hängen TISAX® und ISO 27001 zusammen?
- Wer benötigt eine Zertifizierung nach TISAX®?
- Ist das Audit für eine Zertifizierung nach TISAX® ein Muss auch für kleine Betriebe?
- Welche Anforderungen müssen Unternehmen für TISAX® erfüllen?
- Wie viele Level gibt es im Assessment nach TISAX®?
- Welche Vorteile hat eine Zertifizierung nach TISAX®?
- Bekommen Teilnehmer nach dem Assessment nach TISAX® ein Zertifikat?
- Wie läuft ein Assessment nach TISAX® in der Praxis ab?
- Kosten einer Zertifizierung nach TISAX®: Was müssen Unternehmen für ein Assessment nach TISAX® einplanen?
Das Wichtigste in Kürze
- TISAX® steht für Trusted Information Security Assessment Exchange und definiert den Standard für Informationssicherheits-Management Systeme (ISMS) in der Automobilindustrie.
- Grundlage für TISAX® ist die Norm ISO 27001 für zertifizierte Managementsysteme für Informationssicherheit.
- TISAX® ist ein Prüf- und Austauschmechanismus der ENX Association, des Europäischen Verbands der Automobilindustrie.
- Die ENX schafft mit TISAX® bei allen Teilnehmern einheitliche Standards im Hinblick auf die Informationssicherheit, den Prototypen- und den Datenschutz.
Was ist TISAX®?
TISAX® steht für Trusted Information Security Assessment Exchange. Dahinter verbirgt sich ein Informationssicherheitsstandard, der exklusiv für die Anforderungen der Automobilindustrie entwickelt wurde. Der Anstoß dazu kam ursprünglich vom VDA, dem Verband der Deutschen Automobilindustrie. Inzwischen gilt der Standard längst europaweit. So ist TISAX® seit dem Jahr 2000 eine eingetragene Marke der ENX Association, des Verbands der europäischen Automobilindustrie.
Die ENX Association ist mit der Durchführung des TISAX®-Verfahrens betraut. Es basiert auf einem ISA-Fragebogen des VDA (VDA-ISA). ISA steht für Information Security Assessment. Dabei handelt es sich, anders als bei der Auditierung von Managementsystemen für Informationssicherheit (ISMS) gemäß ISO 27001, in erster Linie um ein Self-Assessment.
Wie hängen TISAX® und ISO 27001 zusammen?
Beide Standards beschreiben die Anforderungen an den Aufbau, die Umsetzung und den Betrieb von Informationssicherheits-Managementsystemen (ISMS). Die Grundlagen sind in der ISO 27001 definiert. TISAX® basiert darauf. Die Anforderungen von ISO 27001 und TISAX® sind in puncto Informationssicherheit daher nahezu identisch. Ergänzend kommen beim Anforderungskatalog nach TISAX® allerdings noch optionale Bereiche speziell für den Prototypenschutz und den Datenschutz hinzu. Man könnte also sagen, dass ein ISMS nach TISAX® eine für die Automobilindustrie optimierte Ausbaustufe darstellt, die mindestens die Standards der ISO 27001 erfüllt und – je nach Reifegrad der Umsetzung –, weit darüber hinausgehen kann.
Mehr dazu, wie die ISO 27001 und TISAX® zusammenhängen und welche Relevanz die Normen für Unternehmen haben finden Sie in diesem Artikel.
Wer benötigt eine Zertifizierung nach TISAX®?
Gesetzlich vorgeschrieben ist eine Zertifizierung nach TISAX® nicht. Kein Unternehmen kann dazu verpflichtet werden, ein TISAX®-konformes ISMS einzuführen und dies im Rahmen eines Assessments nach TISAX® auch nachzuweisen. Einerseits. Andererseits ist ein TISAX®-Nachweis praktisch Pflicht und für alle Unternehmen unverzichtbar, die in der Automobilbranche und als Zulieferer oder Partner für Automobilhersteller tätig sein wollen. Ohne TISAX®-Nachweis wird eine Zusammenarbeit mit den großen OEMs nicht zustande kommen.
Kostenlose Checkliste zur Vorbereitung auf das Assessment nach TISAX®
Mit dieser Checkliste bereiten Sie sich Schritt-für-Schritt auf die Zertifizierung nach TISAX® vor.
Jetzt kostenlos herunterladenTISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Welche Unternehmensbereiche und wie viele Personen sind für ein Audit nach TISAX® nötig?
Das Thema Sicherheit betrifft alle Bereiche eines Unternehmens. Involviert und personell in ein TISAX® Projekt eingebunden sein sollten aber zumindest folgende Abteilungen: die IT als Ansprechpartner für die technische Informationssicherheit, die Personalabteilung, weil die Mitarbeitenden essenziell für die Informationssicherheit, den Datenschutz und den Schutz geistigen Eigentums im Unternehmen sind, sowie die Rechtsabteilung und Compliance, weil es auch um Verträge mit Partnern und Lieferanten geht sowie um die Einhaltung rechtlicher Vorgaben. An Bord sein sollte zudem eine für das Office-Management verantwortliche Fachkraft, am Ende entscheiden nämlich beispielsweise auch funktionierende Feuerlöscher oder verschlossene Türen über die Sicherheit im Unternehmen, sowie die Geschäftsführung.
Wichtig: Die Management-Ebene muss hinter dem TISAX® Projekt stehen, es in seiner ganzen Tragweite für das Unternehmen verstanden haben und die nötigen Personalkapazitäten für die Umsetzung bereitstellen – für den Weg bis zur Auditierung und darüber hinaus. Denn Konformität nach TISAX® ist kein einmaliges Ereignis, sondern ein fortwährender Zustand als Resultat kontinuierlichen strukturierten Handelns. Dafür benötigen alle Beteiligten dauerhaft die nötigen Kapazitäten. Wie viele Personen tatsächlich involviert sein müssen und wie viel Arbeitszeit sie in das TISAX® Projekt investieren sollten, lässt sich pauschal nicht sagen. Das ist von Unternehmen zu Unternehmen unterschiedlich und hängt von variablen Faktoren wie Unternehmensgröße, Geschäftstätigkeit, Ausgangszustand und vielem mehr ab.
Ist ein Audit nach TISAX® auch für kleine Betriebe ein Muss – und können diese die Anforderungen überhaupt erfüllen?
Ein Audit nach TISAX® ist freiwillig. Es gibt keine gesetzlichen Vorgaben, denen zufolge ein Unternehmen TISAX®-konform sein müsste, um seine Geschäftstätigkeit ausüben zu dürfen. Es sind die großen Automobilhersteller und der Markt selbst, die sich auf den TISAX® Standard geeinigt haben und die ein erfolgreich abgeschlossenes Audit nach TISAX® zur Grundvoraussetzung für die Marktteilnahme machen.
So gesehen lautet die Antwort: Ja, das Audit nach TISAX® ist ein Muss für alle Unternehmen, die für Geschäftskunden aus der Automobilindustrie arbeiten möchten. Auch für kleine Unternehmen. Und ja, die Anforderungen an TISAX® kann im Prinzip jedes Unternehmen erfüllen – unabhängig von der Größe. Der Aufwand steht in einem proportionalen Verhältnis zur Unternehmensgröße. Je größer ein Unternehmen, desto komplexer die Prozesse und desto höher der Aufwand, um TISAX®-konform zu werden.
Sie wollen mehr über das Audit nach TISAX® lernen? Dann sollten Sie auch diesen Artikel lesen.
Welche Anforderungen müssen Unternehmen für TISAX® erfüllen?
Um das Audit nach TISAX® erfolgreich abzuschließen, müssen Unternehmen für alle Prozesse im eigenen Betrieb ein speziell auf die Anforderungen der Automobilindustrie abgestimmtes Managementsystem für Informationssicherheit implementiert haben.
In den Grundzügen ist TISAX® dabei orientiert an der Norm ISO 27001, dem allgemeinen Standard für die Umsetzung und den Betrieb eines Information Security Management Systems (ISMS). Der Unterschied: TISAX® umfasst, je nach angestrebtem Assessment-Level, neben der Informationssicherheit auch noch Vorgaben zum Datenschutz und zum Prototypenschutz. Unterschieden werden drei Assessment-Level für einen ansteigenden Schutzbedarf – von normal über hoch bis sehr hoch in Assessment-Level 3. Grundlage des Assessments ist ein Fragenkatalog vom Verband der Deutschen Automobilindustrie (VDA).
Welche Level gibt es im Assessment nach TISAX®?
TISAX® arbeitet mit drei unterschiedlich hohen Schutzniveaus, entsprechend viele Level nach TISAX® gibt es. Diese werden aufsteigend im Hinblick auf die Anforderungen als Level 1, Level 2 und Level 3 bezeichnet.
Gut zu wissen: Die Grundprüfung nach TISAX® umfasst standardmäßig die Informationssicherheit – in Analogie zur ISO 27001. Diese Basis müssen alle Unternehmen umsetzen, die eine Zertifizierung nach TISAX® erlangen möchten. Die Prüfbereiche „Prototypenschutz“ und „Datenschutz“ sind dagegen nur optional zu absolvieren. Ausschlaggebend sind die Erwartungen der OEMs an TISAX®, mit denen das jeweilige Unternehmen kooperieren möchte.
Der Prüfumfang und -aufwand steigt von Level zu Level (vgl. Abb.). Beispiel Grundprüfung: In Level 1 genügt eine Selbstauskunft (Self Assessment) die durch den Fragenkatalog nach TISAX® abgewickelt wird.
Ab Level 2 nach TISAX® schaltet sich ein bei der ENX Association akkreditierter Prüfdienstleister ein. Dieser sichtet die Selbstauskunft, führt eine Plausibilitätsprüfung durch und kann remote, z.B. per Telefon, Nachfragen stellen.
Level 3 nach TISAX® geht noch einen Schritt weiter: Auf dem höchsten Schutzniveau werden die Self Assessments vom Prüfdienstleister vor Ort verifiziert und das Managementsystem geprüft.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Wovon hängt es ab, welche Anforderungen und Assessment-Level ein Unternehmen erfüllen muss?
Es gibt verschiedene Anforderungstypen nach TISAX®. Grundsätzlich wird zuerst unterschieden, welche Sicherheitsaspekte absolviert werden müssen. Dabei ist der Anforderungstyp Informationssicherheit ein Muss. Datenschutz und Prototypenschutz sind in Abhängigkeit von der Geschäftstätigkeit und den Leistungen des Unternehmens zu erfüllen.
In allen Anforderungsbereichen werden anschließend verschiedene Level an Anforderungen für die Sicherheit gestellt. So gibt es gewisse „Standard-Anforderungen“, die umgesetzt werden müssen. Daneben gibt es auch Sicherheitsanforderungen, die für Unternehmen je nach Geschäftstätigkeit als hoch oder sehr hoch eingestuft werden. Diese sind aber entsprechend nur für bestimmte Unternehmen nötig.
Ein Beispiel: Wenn ein kleiner Gießereibetrieb bestimmte Bauteile für einen Automobilhersteller nach Vorgabe produziert, aber keine personenbezogenen Daten verarbeitet und nichts entwickelt, benötigt er theoretisch weder besondere Maßnahmen zur Umsetzung der Datenschutzanforderungen noch Prozesse für den Prototypenschutz. Es würde genügen, die Sollanforderungen im Hinblick auf Informationssicherheit zu erfüllen.
Welchen Schutzbedarf der Automobilhersteller vom Gießereibetrieb in der Praxis jedoch tatsächlich als Voraussetzung für die Zusammenarbeit erwartet – ob normal, hoch oder sehr hoch –, ist Ermessenssache. Sprich: Es kann dem Gießereibetrieb passieren, dass der eine Automobilkunde eine Konformität nach TISAX® nach Assessment-Level 1 erwartet, während ein zweiter Kunde bei gleichen Rahmenbedingungen bereits Assessment-Level 3 voraussetzt. Mit Blick auf die eigene Wettbewerbsfähigkeit bedeutet dies: je höher und umfangreicher das absolvierte Assessment-Level, desto besser die Marktchancen.
Welche Vorteile hat eine Zertifizierung nach TISAX®?
Aus Sicht der Automobilindustrie und ihrer wichtigsten Akteure bietet der TISAX®-Standard gleich mehrere Vorteile. Der wichtigste: Es ist damit eine branchenweit verbindliche Norm für die Informationssicherheit gegeben. Als Branchenstandard genießt TISAX® bei allen teilnehmenden Unternehmen zudem ein sehr hohes Vertrauen. Dies verhindert teure und aufwendige Mehrfachprüfungen und erleichtert die Zusammenarbeit. Wer als Zulieferer seine Konformität nach TISAX® nachgewiesen hat, wird in der Automobilindustrie als potenzieller Partner anerkannt.
Für geprüfte Unternehmen ist TISAX® ein klarer Wettbewerbsvorteil und die Voraussetzung, um überhaupt mit einem der großen OEMs ins Geschäft zu kommen. Die TISAX®-Zulassung ist daher auch für das Marketing von hohem Wert und von zentraler Bedeutung.
Kostenlose Checkliste zur Vorbereitung auf das Assessment nach TISAX®
Mit dieser Checkliste bereiten Sie sich Schritt-für-Schritt auf die Zertifizierung nach TISAX® vor.
Jetzt kostenlos herunterladenBekommen Teilnehmer ein Zertifikat für ein erfolgreiches Assessment nach TISAX®?
Nein, ein solches Zertifikat gibt es nicht. TISAX® ist kein Zertifizierungsprozess, sondern ein Prüf- und Austauschmechanismus, bei dem am Ende eine Art Gutachten erstellt wird. In diesem sind dann die Ergebnisse der Informationssicherheitsüberprüfung zusammenfasst. Auch wenn es somit kein offizielles Zertifikat für TISAX® gibt, spricht man dennoch von einer Zertifizierung nach TISAX®.
Damit Unternehmen auch ohne Zertifikat mit ihrer Konformität nach TISAX® werben können, gibt es von der ENX Association ein sogenanntes Label (vgl. Abb.), welches Unternehmen führen dürfen, nachdem sie das Assessment nach TISAX® erfolgreich absolviert haben. Das Label dokumentiert dies mit dem Hinweis: „Result available“.
Der Hintergrund: Bei TISAX® wird in einem Unternehmen ein speziell auf die Anforderungen der Automobilbranche abgestimmtes Informationssicherheits-Assessment durchgeführt. Die ENX Association unterhält eine Datenbank, die alle TISAX®-konformen Unternehmen verzeichnet. Ergebnisse eines Audits werden dann im Kreis der TISAX®-Mitglieder ausgetauscht. Teilnehmer am Verfahren nach TISAX®, und dazu gehören auch die großen OEMs, haben Zugriff auf diese Datenbank und können darin sofort überprüfen, ob ein Zulieferer oder potenzieller Partner die Anforderungen erfüllt. TISAX® funktioniert also wie ein Club. Nur wer das Audit nach TISAX® erfolgreich absolviert hat, wird in den Kreis der TISAX® Mitglieder aufgenommen. Letzteres ist die Voraussetzung, um für Automobilhersteller als Zulieferer und Geschäftspartner überhaupt infrage zu kommen.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.
Übrigens: Auch bei der Zertifizierung nach ISO 27001 gibt es Unterschiede bei den Zertifizierungen. Hier unterscheidet man zwischen Konformität und einer akkreditierten bzw. nicht-akkreditierten Zertifizierung.
Wie läuft ein Assessment nach TISAX® in der Praxis ab?
Im ersten Schritt müssen sich interessierte Unternehmen bei der ENX für das Assessment nach TISAX® registrieren. Daraufhin bekommen sie den Fragenkatalog nach TISAX®, führen das Self-Assessment durch und wählen einen akkreditierten Prüfdienstleister aus. Dieser prüft die Selbstauskunft auf Plausibilität und führt gegebenenfalls noch Remote- oder Vor-Ort-Stichproben durch. Werden dabei noch Schwächen festgestellt, beginnt ein iterativer Optimierungsprozess, an dessen Ende im Idealfall eine Zertifizierung nach TISAX® und der Eintrag in die Datenbank stehen.
Gibt es Softwarelösungen, mit denen ein Unternehmen schnell TISAX®-ready wird?
Wenn es sie gäbe, wäre das ein grundlegend falscher Ansatz. Intention von TISAX® sind nachhaltig sichere, speziell auf die Anforderungen in der Automobilindustrie abgestimmte Unternehmensprozesse. Es geht um Vertrauen in eine sichere Zusammenarbeit und nicht darum, dass sich Unternehmen ein Label anheften können. Um TISAX® Mitglied zu werden, müssen Interessenten ihre Abläufe im Unternehmen daher komplett durchdringen und hinterfragen.
Alles wird in Vorbereitung auf das Audit analysiert, auf die Anforderungen des angestrebten Assessment-Levels hin überprüft und gegebenenfalls neu strukturiert. Cloud-basierte Services wie die DataGuard Plattform können dabei unterstützen. Entscheidend ist aber die Beratung durch Experten, die sich auch die Situation vor Ort sehr genau anschauen.
Welches Know-how braucht ein Unternehmen für eine erfolgreiche Vorbereitung auf TISAX®?
Ohne entsprechendes Fachwissen und die nötige TISAX® Erfahrung geht es nicht. Versucht ein Unternehmen, die Auditierung nur mithilfe von TISAX® Guidelines und Online-Ratgebern zu meistern, ist das Scheitern vorprogrammiert. Die angestrebte Konformität wird nur erreicht werden, wenn alle Maßnahmen nach TISAX® individuell auf die Geschäftstätigkeit und sämtliche Prozesse in einem Unternehmen abgestimmt sind.
Mit Schablonen und Standard-Leitfäden ist dies nicht realisierbar. Stattdessen brauchen Unternehmen ein TISAX®-Projektteam, in dem alle relevanten Unternehmensbereiche präsent und das nötige Fachwissen vorhanden sind. Um letzteres zu gewährleisten, muss ein Unternehmen entweder selbst über geeignete Experten verfügen oder einen externen Partner wie DataGuard hinzuziehen.
Kosten einer Zertifizierung nach TISAX®: Was müssen Unternehmen für ein Assessment nach TISAX® einplanen? ?
Diese Frage lässt sich pauschal nicht beantworten. Hier gilt der Satz: Es kommt immer darauf an. Welches Level nach TISAX® will ein Unternehmen beispielsweise erfüllen? Ist bereits ein ISMS installiert und erfüllt dieses im besten Fall schon alle Anforderungen gemäß ISO 27001? Oder steht noch viel Grundlagenarbeit an, bevor mit einer Implementierung überhaupt begonnen werden kann?
Beratung zu TISAX®
Sicher ist: Ein erfahrender Servicepartner wie DataGuard kann bei der Vorbereitung und Durchführung des Assessments nach TISAX® wertvolle Hilfe leisten, den Prozess beschleunigen und letztlich viele Kosten sparen. Der Aufwand sollte aber nicht unterschätzt werden – auch und gerade nicht im Hinblick auf die Zeitschiene. Erfahrungsgemäß benötigen Assessments nach TISAX® regelmäßig Vorlaufzeiten von rund einem Jahr. Wer als Zulieferer von seinen Kunden mit Anforderungen nach TISAX® konfrontiert wird, sollte also möglichst zeitnah handeln, um langfristig im Geschäft zu bleiben.
FAQ: Welche Rolle übernimmt DataGuard in einem TISAX® Projekt und mit welcher Leistungsgarantie?
DataGuard unterstützt Kunden mit Know-how und Beratungsleistungen rund um Aufbau und Betrieb eines TISAX®-konformen Managementsystems. Wir verfügen über ein ganzes Team von Experten, die in TISAX® Projekte das nötige Fachwissen, unsere bewährten Guidelines und ihre Assessment-Expertise einbringen. Wichtig: Die Verantwortung für den Erfolg des implementierten Managementsystems liegt am Ende allein beim jeweiligen Unternehmen. Als DataGuard können wir Kunden aber versprechen, dass wir sie fit für das Audit nach TISAX® machen.
Am ehesten lässt sich die Rolle von DataGuard mit der Rolle eines Fahrlehrers vergleichen. Wir können nicht nur fahren, sondern wissen, wie wir unseren Kunden das nötige theoretische Wissen und die praktischen Fähigkeiten für eine sichere Teilnahme am Straßenverkehr vermitteln. Wir sind beratend an Bord, geben Tipps und wissen sehr genau, wie die Prüfung ablaufen wird. So können wir die Kandidaten optimal vorbereiten, Steuer und Gaspedal müssen sie am Ende aber selbst bedienen.
Wie läuft die Vorbereitung bis zum Audit nach TISAX® ab?
Das ist ein iterativer Prozess: Die DataGuard Experten analysieren zusammen mit dem Kunden zunächst die Ausgangssituation und evaluieren alle sicherheitsrelevanten Prozesse im Unternehmen. Dann werden diese optimiert und das Managementsystem aufgebaut – mithilfe der DataGuard Knowledge-Base und diverser Guidelines entsteht so eine individuell abgestimmte Lösung. Diese wird dann im Rahmen eines internen Assessments überprüft. Die DataGuard Experten orientieren sich dabei am offiziellen Fragebogen nach TISAX® und wenden die dort vorgesehenen Kontrollmechanismen an. Dabei ermittelte Schwachstellen werden behoben und das Managementsystem so lange optimiert, bis das Unternehmen bereit für das Audit nach TISAX® ist. Überraschungen sind dann ausgeschlossen und der Erfolg so gut wie sicher.
Wie unterstützt die Plattform von DataGuard bei der Umsetzung von TISAX®?
DataGuard Kunden haben über die Plattform Zugriff auf zahlreiche Richtlinien zur Umsetzung von Informationssicherheits-Managementsystemen. Diese Richtlinien und Dokumente sind eine wertvolle Grundlage, sie können genutzt und an die eigenen Prozesse und die spezifischen Anforderungen von TISAX® angepasst werden. Zudem können Kunden sicherheitsrelevante Assets im Unternehmen mithilfe des Asset Management Tools der Plattform verwalten. Eine große Hilfe ist auch die DataGuard Academy: Darüber absolvieren die Mitarbeiter eines Unternehmens plattformgestützt und sehr effizient die grundlegenden Informationssicherheitsschulungen. Weitere Features kommen nach und nach hinzu. Kernleistung von DataGuard ist und bleibt aber die persönliche Beratung zu TISAX® durch Experten.
Wie lang dauert ein TISAX® Projekt?
Bis ein Unternehmen bereit für die Auditierung nach TISAX® ist, dauert es durchschnittlich etwa ein Jahr. Das mag auf den ersten Blick verwundern, wird aber schnell nachvollziehbar, wenn wir uns die Tragweitere eines TISAX® Managementsystems bewusst machen. Dieses umfasst je nach Assessment-Level ausnahmslos alle Bereiche und Prozesse eines Unternehmens. In Vorbereitung auf das Audit müssen daher sämtliche Abläufe, Routinen und Abteilungen einmal durchleuchtet und, je nach Ausgangssituation, komplett neu strukturiert und mit Sicherheitsroutinen ausgestattet werden.
Wie viel kostet die Auditierung nach TISAX®?
Die Kosten für ein TISAX® Projekt hängen von unzähligen Faktoren und Variablen ab, sodass sich ein allgemeingültiger Kostenrahmen seriös nicht abstecken lässt. Das beginnt schon bei der Projektdauer: Je mehr eigene Manpower ein Unternehmen investiert, desto schneller kommt das Ziel in Sicht. Die Kosten für externe Berater wie DataGuard sinken dann, dafür steigen im Gegenzug die internen Kosten für eigene Personalressourcen.
Auch die Größe eines Unternehmens spielt bei der Frage nach den Kosten eine zentrale Rolle, genauso wie die Komplexität der Geschäftsprozesse, der Umfang und Reifegrad bereits vorhandener Mechanismen für Informationssicherheit, Daten- und Prototypenschutz sowie die im Unternehmen gelebte Sicherheitskultur und die Bereitschaft des Managements, dafür Verantwortung zu übernehmen und Ressourcen bereitzustellen. Sprich: Seriöse und noch dazu verallgemeinerbare Kostenzusagen sind für einen externen Beratungspartner wie DataGuard zu Beginn eines TISAX® Projekts schlicht nicht möglich.
Wie lang ist ein Audit nach TISAX® gültig?
Das Audit nach TISAX® muss alle drei Jahre erneuert werden. Schon deshalb endetet die Zusammenarbeit zwischen Kunde und DataGuard in der Regel nicht mit der erfolgreichen Auditierung. Stattdessen ist Informationssicherheit gemäß TISAX® ein fortwährendes Thema und ein Entwicklungsprojekt. Diese Kontinuität ist der Schlüssel zum langfristigen Erfolg eines einmal etablierten Managementsystems.
Welche Vorteile bringt ein Audit nach TISAX®?
Zuallererst ist ein erfolgreich absolviertes Audit nach TISAX® natürlich die Eintrittskarte in den Markt der Automobilindustrie. Ohne TISAX® Nachweis ist an eine Geschäftsbeziehung zu Automobilherstellern und Zuliefer-Konzernen gar nicht zu denken. Hinzu kommen für das auditierte Unternehmen viele weitere Vorteile. So ist es beispielsweise von großem Nutzen für eine Organisation, wenn die eigenen Prozesse nicht nur irgendwie und organisch gewachsen ablaufen, sondern von A bis Z durchdefiniert. Wenn jeder Schritt dokumentiert und die Verantwortlichen benannt sind, wenn die Zuständigen vollständig im Bilde über die sicherheitsrelevanten Assets und deren Risikoexposition sind und wenn für etwaige Störfälle schon Maßnahmenpläne und Handlungsanleitungen in der Schublade liegen. All das ist mit einem erfolgreich auditierten Managementsystem gemäß TISAX® zuverlässig gegeben.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.