Wie wird eine GAP Analyse zur TISAX® durchgeführt?

Vielleicht haben Sie schon einmal den Begriff GAP-Analyse gehört und fragen sich, welche Rolle sie für TISAX® spielt. Oder Sie wissen sehr wohl, was eine GAP-Analyse ist, sind sich aber nicht sicher, wie Sie sie für Ihr TISAX® Projekt nutzen können? In diesem Artikel finden Sie die Antworten.

Was ist eine GAP Analyse und warum ist sie für die Informationssicherheit in Ihrem Unternehmen wichtig?

Beginnen wir mit der Definition einer GAP-Analyse. Sie ist eine häufig verwendete Methode, meist von Beratern. Ziel der TISAX® GAP Analyse ist es, die Lücke zwischen der Soll-Situation und der Ist-Situation zu finden. Erst dann kann der Projektplan skizziert und die notwendigen Korrekturmaßnahmen geplant werden.

Wenn Sie nicht wissen, wo Sie stehen, wird es schwierig sein, die Aktionen und Maßnahmen zu definieren, die Sie ergreifen müssen, um Ihre Ziele zu erreichen. Das Gleiche gilt für das Erreichen Ihres TISAX® Labels.

Im TISAX® Fragebogen sind die Kontrollen in die folgenden Abschnitte unterteilt: 

  • Informationssicherheitsrichtlinien und -organisation
  • Personalwesen
  • Physische Sicherheit und Geschäftskontinuität
  • Identitäts- und Zugangsmanagement
  • IT-Sicherheit / Cybersicherheit
  • Lieferantenbeziehungen und Compliance.

Jede dieser Kontrollen sollte im Hinblick auf den Reifegrad eingestuft werden. Die Reifegrade für TISAX® können zwischen 0 und 5 liegen. Ein Grad der Reife von 0 ist “unvollständig”, während einer von 6 eine Optimierung bedeutet. Unvollständig bedeutet natürlich, dass fast keine Maßnahmen ergriffen werden. Bei der Optimierung hingegen werden die Prozesse beschrieben, ausgeführt und entsprechend dokumentiert. 

Sobald Sie Ihre Reifegrade für jede der TISAX®-Kontrollen festgelegt haben, können Sie nun die Korrekturmaßnahmen und -aktionen definieren. Dadurch erhalten Sie eine klare Vorstellung davon, wie viele Ressourcen in das Projekt investiert werden müssen

Was sind die Vorteile der GAP-Analyse?

Eine gründlich durchgeführte GAP-Analyse nach VDA ISA verschafft Ihnen eine klare Vorstellung davon, wo Ihr TISAX®-Projekt steht. Sie verhindert damit, dass Sie beliebige Ressourcen für Ihr TISAX®-Projekt veranschlagen. Andererseits hilft sie Ihnen, die Stärken und Schwächen Ihres Unternehmens in Bezug auf die verschiedenen TISAX®-Bereiche (siehe oben) zu reflektieren. 

Zum Beispiel können Ihre physischen Sicherheitsmaßnahmen gut umgesetzt werden. Darüber hinaus können Ihre HR-Prozesse vorhanden sein und reibungslos funktionieren. Eine GAP-Analyse hilft Ihnen jedoch zu erkennen, dass Ihre IT-Sicherheitsprozesse nicht ausgereift genug sind, so dass Sie eine Verbesserung in Betracht ziehen könnten.

Um das TISAX®-Label zu erhalten, müssen Sie als Faustregel mindestens die Reifegradstufe 3 erreichen. Allerdings gibt es auch Ausnahmen von dieser Regel. Dennoch ist der Entwicklungsstand ein guter Indikator für den verbleibenden Aufwand Ihres Unternehmens bis zum Audit.

Selbst wenn Sie sich dazu entschließen, Ihr TISAX®-Projekt nicht weiterzuführen, können Sie sich einen guten Überblick über den Stand der Informations- und physischen Sicherheit in Ihrem Unternehmen verschaffen. Sie können Ihre Prozesse jederzeit entsprechend verbessern.

Wie sieht das Ergebnis von TISAX® GAP-Analysen nach dem VDA ISA Fragenkatalog aus?

Um die GAP-Analyse zu starten, müssen Sie detailliert durch den VDA TISAX® Fragenkatalog durchgehen. Bitte beachten Sie, dass es “Muss”- und “Sollte”-Anforderungen gibt, sowie spezifische Anforderungen für “Informationssicherheit hoch” und “Info sehr hoch”. Daher ist die Voraussetzung für den Start Ihrer Schwachstellen Analyse, dass Sie sich vergewissern;

  • Ihr Geltungsbereich und Ihre Standorte
  • Ihre TISAX®-Bewertungsstufe (AL2 oder AL3)
  • Benötigt Ihr Kunde Info High oder Info Very High?
  • Werden zusätzliche Module wie Datenschutz oder Prototypenschutz benötigt?

Es ist ratsam, mit Ihrem Kunden im Voraus zu vereinbaren, welche Leistung von Ihnen erwartet wird. Nur dann können Sie solide Ergebnisse der GAP-Analyse erhalten. Wenn Sie die Anforderungen des Kunden nicht kennen, können Sie trotzdem eine Selbsteinschätzung vornehmen, um eine ungefähre Vorstellung zu erhalten. 

Bearbeiten Sie die Kontrollen und füllen die jeweiligen Reifegrade aus, schon erhalten Sie die ersten Ergebnisse. In der großen Exceldatei – VDA ISA Fragenkatalog – können Sie auch die grafische Darstellung der Analyse sehen.

Gap Analysis
Source: VDA ISA Fragenkatalog

Was soll ich mit dem Ergebnis der Gap-Analyse tun? – Interpretation der Ergebnisse

Bevor wir uns mit der Interpretation der Ergebnisse befassen, möchte ich betonen, dass es keine guten oder schlechten Ergebnisse gibt. Die Ergebnisse sind dazu da, Ihnen und Ihrer Organisation zu zeigen, wo Sie derzeit stehen. Sehr wichtig ist jedoch, die Ergebnisse objektiv zu betrachten. Wenn Sie Ihr Ziel, das TISAX® Label, erreichen wollen, ist es jetzt an der Zeit zu planen.

Nehmen wir an, Ihr Unternehmen verfügt über keinen Änderungsprozess und keine Dokumentation. Somit haben Sie sich selbst mit einem Reifegrad von 1 eingestuft. Wie wir aus den TISAX®-Leitlinien wissen, müssen wir mindestens einen von 3 anstreben. Werfen wir also einen Blick auf Level 3: Etabliert

Es wird ein in das Gesamtsystem integrierter Standardprozess verfolgt. Abhängigkeiten zu anderen Abläufen sind dokumentiert und geeignete Schnittstellen sind geschaffen. Es liegt der Nachweis vor, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.



Was müssen Sie also jetzt tun? Ganz einfach.

  1. Sie müssen sicherstellen, dass Sie einen Änderungsprozess definiert haben und diesen in Ihre Systeme integrieren.
  2. Stellen Sie sicher, dass nicht nur der Prozess selbst, sondern auch die Prozessinstanzen dokumentiert sind.
  3. Nicht zuletzt müssen Sie nachweisen können, dass Sie den Änderungsprozess angewandt und mit der entsprechenden Dokumentation durchgeführt haben.

So können Sie beispielsweise einen Änderungsantrag für eine neue Software stellen, die Software prüfen, sie zu Ihrer Softwareliste (IT Assets) hinzufügen und die genehmigte Software freigeben. Alles dokumentiert. Voilá!

Wie wird der TISAX® Fragenkatalog zur Bestimmung des Reifegrades verwendet?

Wie bereits erwähnt, gibt es 6 verschiedene Reifegrade, die im TISAX®-Teilnehmerhandbuch definiert sind. Bei der Durchführung der GAP-Analyse müssen Sie Ihr Unternehmen, Ihre Prozesse, Richtlinien und Dokumentation bewerten. So können Sie Ihren Reifegrad entsprechend bestimmen. Wenn Sie sich nicht sicher sind, bietet die Einstufung in eine niedrigere Stufe immer eine Sicherheitsmarge. Es ist ratsam, den Entwicklungsstand nicht höher einzuschätzen, was Sie wiederum daran hindern kann, notwendige Maßnahmen zu ergreifen.

Am Ende des Tages wird der Prüfer die Kontrollen in einem Assessment objektiv beurteilen. Wenn eine Kontrolle nicht vollständig angewandt wird oder kritische Voraussetzungen fehlen, führt dies zu einem niedrigen Grad der Reife. In der Tat ist ein Reifegrad von 0 oder 1 für TISAX® nicht akzeptabel. Sie müssen also nicht nur darauf achten, dass Sie im Durchschnitt einen Reifegrad von 3 erreichen, sondern auch die Reifegrade 0 und 1 vermeiden.

Wie können Externe helfen, meinen Erfolg mit dem TISAX® Fragenkatalog zu beschleunigen?

Es gibt mehrere Möglichkeiten, wie der richtige Partner Ihren Erfolg mit der GAP-Analyse beschleunigen kann. 

  1. Die Ergebnisse und die Genauigkeit des durchschnittlichen Reifegrades werden zuverlässig sein.
  2. Ein externer Berater bringt eine objektive Perspektive in die Analyse ein. Im Gegenzug vermeiden Sie, dass Sie Ihren Reifegrad überschätzen und damit die Wahrscheinlichkeit des Scheiterns erhöhen. Oder Sie unterschätzen Ihren Reifegrad und setzen deshalb zu viele Ressourcen für das Projekt ein.

In beiden Fällen ist es sehr hilfreich, wenn Sie bei der Durchführung Ihrer GAP-Analyse einen Fachmann hinzuziehen. Darüber hinaus wird Ihr Ergebnis besser ausfallen, wenn Sie die zu ergreifenden Maßnahmen definieren. Auf diese Weise wird Ihre Ressourcenzuweisung entsprechend präzise und nicht willkürlich sein.

Wie aufwändig ist die detaillierte GAP-Analyse?

Die Kosten der GAP-Analyse hängen von der Größe Ihres Unternehmens sowie von Ihrem Team ab. Wenn Sie die GAP-Analyse in Eigenregie durchführen wollen, müssen Sie den Zeitaufwand für das Verständnis des VDA ISA Fragenkatalogs selbst berücksichtigen. 

Darüber hinaus müssen Sie sicherstellen, dass Sie auch die Kontrollen und deren Auswirkungen verstehen. Sie können also grob mit 2 bis 4 Tagen rechnen, wenn 2 Mitarbeiter die Analyse durchführen.

WORKSHOP ZU TISAX®

Sind Sie bereit Ihr TISAX® Projekt zu starten? Dann ist unser Workshop zu TISAX® genau richtig für Sie. Am Ende des 1-tägigen Workshops bekommen Sie Ihre vollwertige GAP-Analyse sowie Ihren Zeitplan für Ihr TISAX® Projekt.

TISAX® GAP-Analyse

Zielgruppe

Sie möchten ein TISAX®-Label erhalten, wissen aber nicht, wie und auf welchem Niveau? Sie kennen die Anforderungen Ihrer Kunden, wissen aber nicht, was Sie tun sollen? Sie wollen Ihr Label aktualisieren, Ihren TISAX® Geltungsbereich ändern oder stehen vor einer Rezertifizierung?

Was ist zu erwarten?

Am Ende dieses Workshops legen wir gemeinsam fest, welche TISAX® Assessment-Stufe Sie benötigen, gehen Ihre vorhandene Dokumentation durch und ermitteln, was zu tun ist. Abschließend erhalten Sie Ihre GAP-Analyse zu TISAX®. 

TISAX® GAP-Analyse
TISAX Beratung, ISO 27001 Beratung und Penetration Testing Services

Wir und TISAX®

Wir helfen Ihnen, Ihre TISAX® Zertifizierung zu beschleunigen, indem wir gemeinsam mit Ihnen die GAP-Analyse durchführen, die entsprechenden Dokumente vorbereiten und Sie beim Audit begleiten.

Wir haben mehr als 10 Jahre Erfahrung in der Vorbereitung und Unterstützung unserer Kunden das TISAX® Label zu erwerben und die Rezertifizierung zu erhalten. Mehr als 50 Unternehmen bestätigen dies gerne.

Workshop zu TISAX® - Preis

3899 3499
  • GAP-Analyse
  • 1 tägiger Workshop
  • Zusammen mit 2 unserer Experten

Reduzierter Preis nur bis 31.03.2025!

TISAX® GAP-Analyse

Startpunkt

Wir führen zusammen die GAP-Analyse durch, um Ihre TISAX® Bedarfe definieren zu können.




Teilnehmer*

* Wir schlagen 3 Teilnehmer vor. Bei abweichenden Teilnehmern kontaktieren Sie uns bitte.

Outcome

Nach dem Workshop erhalten Sie das Ergebnis der GAP-Analyse und Ihren Workshop-Bericht, inklusive Ihrer TISAX® Label Stufe und TISAX® Ziele. Doch damit ist es noch nicht getan. Es folgt ein Workshop-Review.

Agenda

Benötigen Sie weitere Informationen?

Kein Problem! Buchen Sie ein unverbindliches und kostenloses Gespräch mit uns, um zu sehen, ob wir der richtige Partner für Sie sind. 

 TISAX® ist eine eingetragene Marke der ENX Association. Die 360 Digitale Transformation steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt.