TISAX® Fragenkatalog VDA ISA Version 6.0

GAP Analyse für TISAX
GAP Analyse für TISAX

Der TISAX® Fragenkatalog nach VDA ISA zur Informationssicherheit wurde aktualisiert auf Version 6.0. Dieses Update bringt wichtige Änderungen und Ergänzungen mit sich, um den neuesten Anforderungen innerhalb der Automobilindustrie an die Informationssicherheit gerecht zu werden. Organisationen sollten die neuen Anforderungen sorgfältig prüfen und umsetzen, um ihre Informationssicherheit zu gewährleisten. Dies könnte durch ein umfassendes information security assessment erfolgen.

Was ist der VDA ISA Fragenkatalog nach TISAX®?

Der VDA ISA Katalog Version 6.0 ist ein Fragenkatalog, der vom Verband der Automobilindustrie entwickelt wurde, um Hersteller und Zulieferer in der Automobilindustrie auf deren Umgang mit sensiblen Informationen zu prüfen.

Dieser Katalog basiert auf dem Standard ISO 27001 für ein Informationssicherheits-Managementsystem (ISMS) und dient als Prüfziel für die Zertifizierung nach TISAX®. Der Auditor stellt dabei sicher, dass die Mindestanforderungen erfüllt sind und eine kontinuierliche Verbesserung im Umgang mit Informationen gewährleistet ist. 

Die Kontrollfragen des Fragenkatalogs werden ab April 2024 in Version 6.0 abgefragt, um den Schutzbedarf zu ermitteln. Anforderungen für hohen und sehr hohen Schutzbedarf werden dabei besonders berücksichtigt. Für Unternehmen ist es wichtig, die neuen Anforderungen zu verstehen und umzusetzen, damit ihre Daten angemessen geschützt werden. Er ist beim VDA oder der ENX Association erhältlich.

Der neu aufgelegte TISAX® Fragenkatalog in der Version 6 (vorher Version 5)

Seit dem 1. April 2024 ist der VDA-ISA Katalog auf Version 6 aktualisiert worden. Diese Aktualisierung bringt neue Labels und Assessments nach TISAX® mit sich. Die Version 5.0 oder 5.1 ist für neue Beauftragungen nicht mehr gültig.

Die VDA ISA Katalog 6.0 Änderungen zum TISAX® Fragekatalog

Die Änderungen am ISA Katalog 6.0 bringen einige Neuerungen mit sich. Automobilhersteller und Zulieferer der Automobilindustrie VDA müssen sich auf die neuen Anforderungen an die Informationssicherheit der VDA ISA vorbereiten. Der ISA 6 enthält aktualisierte Prüfziele und einen neuen Anforderungskatalog, um den TISAX® Standard zu erfüllen. Die aktuelle Version des ISA-Katalog 6.0 ersetzt die Version 5.1 und definiert einen Prüf- und Austauschmechanismus für die Informationssicherheit ISO 27001.

TISAX® VDA-ISA 5.1 vs. 6.0 – Wie unterscheiden sich die Versionen?

Die wesentlichen Unterschiede und Änderungen zwischen den Versionen 5.1 und 6 sind folgende:

  • Ausweitung des Geltungsbereichs: Neue Labels für Availibility und Confidentiality wurde hinzugefügt.
  • Neue Kontrolle: In der neuen Version 6.0 werden neue Kontrolle für Incident Managment, Crisis Management, Back-Up/Recovery und Business Continutity Management hinzugefügt.
  • Verbesserung der Interoperabilität: Die Version 6.0 soll dafür sorgen, dass verschiedene Anwendungen und Systeme besser miteinander kompatibel sind, um einen reibungslosen Austausch von Daten zu gewährleisten.
  • Implementierung von Industrie 4.0-Technologien (IOT/OT): Die Kontrollen von TISAX® sind nun stärker auf IOT/OT ausgerichtet, um die strengeren Cybersicherheitsanforderungen zu erfüllen. 
  • Datenschutzkatalog: Dieser wurde vollständig überarbeitet und nun beinhaltet insgesamt 12 Kontrolle die untergruppte verteilt
  • Neue Verweise:  Es wird auf die ISO/IEC 27001:2022, BSI Grundschutz, ISA/IEC 62443 und das NIST Cyber Security Framework Version 1.11 verwiesen. 
  • Führende Sprache ist jetzt Englisch

Was sind die TISAX® Assessment Level und Reifegrade?

Die Reifegrade des ISA Katalogs sind folgendermaßen definiert:

0 – unvollständig
Es fehlt an einem vollständigen Prozess. Es wird keinem definierten Prozess gefolgt oder der Prozess ist nicht effektiv, um das angestrebte Ziel zu erreichen.

1 – durchgeführt
Es wird einem nicht offiziell dokumentierten Prozess gefolgt („informeller Prozess“) und es gibt Hinweise darauf, dass das Ziel erreicht wird.

2 – gesteuert
Ein Prozess wird verfolgt, der erfolgreich seine Ziele erreicht. Es gibt Dokumentationen und Nachweise zur Prozessdurchführung.

3 – etabliert
Ein Standardprozess wird eingehalten, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind festgehalten und passende Schnittstellen geschaffen. Es gibt Nachweise, dass der Prozess über längere Zeit erfolgreich genutzt wurde.

4 – vorhersagbar
Ein bewährter Prozess wird befolgt und regelmäßig wird die Effektivität dieses Prozesses durch die Erfassung von Kennzahlen überwacht. Es sind bestimmte Werte festgelegt, bei denen der Prozess als ineffektiv betrachtet wird und entsprechend angepasst werden muss.

5 – optimierend
Es wird ein strukturierter Prozess verfolgt, bei dem die kontinuierliche Verbesserung als entscheidendes Ziel angestrebt wird. Spezielle Ressourcen treiben aktiv die Verbesserung voran.

Wie wird der TISAX® Fragenkatalog zur Bestimmung des Reifegrades verwendet?

Wie bereits erwähnt, gibt es 6 verschiedene Reifegrade, die im TISAX®-Teilnehmerhandbuch definiert sind. Bei der Durchführung der GAP-Analyse müssen Sie Ihr Unternehmen, Ihre Prozesse, Richtlinien und Dokumentation bewerten. So können Sie Ihren Reifegrad entsprechend bestimmen. Wenn Sie sich nicht sicher sind, bietet die Einstufung in eine niedrigere Stufe immer eine Sicherheitsmarge. 

Am Ende des Tages wird der Prüfer die Kontrollen objektiv beurteilen. Wenn eine Kontrolle nicht vollständig angewandt wird oder kritische Voraussetzungen fehlen, führt dies zu einem niedrigen Reifegrad. Ein Reifegrad von 0 oder 1 für TISAX® ist beim Umgang mit Informationen mit hohen Schutzanforderungen nicht akzeptabel. Dies betrifft auch Aspekte wie den Prototypenschutz und den Datenschutz. Sie müssen also nicht nur darauf achten, dass Sie im Durchschnitt einen Reifegrad von 3 erreichen, sondern auch die Reifegrade 0 und 1 vermeiden.

Die Informationssicherheit in der Automobilindustrie mit dem ISO Anforderungskatalog und einer Gap-Analyse meistern

Die Durchführung einer Gap Analyse mit Hilfe des VDA ISA Fragenkatalogs zielt darauf ab, den aktuellen Zustand der Informationssicherheitspraktiken eines Unternehmens zu bewerten und die Lücken (Gaps) zwischen den vorhandenen Maßnahmen und den Anforderungen von TISAX® Level 2 oder 3 zu identifizieren.

So kann dieser Prozess mit Hilfe des ISA Fragenkatalog im Detail ablaufen

  1. Vorbereitung: Zunächst einmal sollte das Unternehmen den VDA ISA Fragebogen beschaffen und gründlich durchgehen, um ein Verständnis für die darin enthaltenen Anforderungen zu entwickeln. Achten Sie darauf, dass alle relevanten Bereiche abgedeckt sind, einschließlich Datenschutz, physische Sicherheit, IT-Sicherheit, Notfallmanagement usw.
  2. Gap-Analyse durchführen: Mit dem Fragenkatalog ausgestattet, kann das Unternehmen eine systematische Überprüfung seiner aktuellen Informationssicherheitspraktiken durchführen. Dies beinhaltet die Bewertung der vorhandenen Prozesse, Richtlinien, Technologien und Kontrollen im Vergleich zu den Anforderungen des VDA ISA Fragenkatalogs.
  3. Identifizierung von Lücken: Während der Gap-Analyse werden wahrscheinlich Bereiche identifiziert, in denen das Unternehmen nicht den Anforderungen entspricht. Diese Lücken können in Form fehlender Richtlinien, unzureichender technischer Sicherheitsmaßnahmen, mangelnder Schulungen der Mitarbeiter oder anderer Defizite auftreten.
  4. Priorisierung und Planung: Nachdem die Lücken identifiziert wurden, ist es wichtig, sie nach ihrer Dringlichkeit und ihrem potenziellen Risiko zu priorisieren. Unternehmen sollten einen Aktionsplan entwickeln, um diese Lücken zu schließen, einschließlich der Zuweisung von Ressourcen, Festlegung von Fristen und Überwachung des Fortschritts. Ein regelmäßiges internes Audit könnte ebenfalls hilfreich sein.

Ein externes Consulting kann bei diesem Prozess sehr hilfreich sein:

  • Expertenwissen: Ein externer Berater mit Erfahrung für die Vorbereitung auf die TISAX®-Zertifizierung und dem Umgang mit dem VDA ISA Fragenkatalog kann wertvolles Fachwissen und Einblicke bieten. Er stellt sicher, dass die Gap-Analyse gründlich und umfassend durchgeführt wird. Er bietet Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX®.
  • Objektivität: Ein externes Consulting kann eine objektive Perspektive einbringen und helfen, potenzielle Lücken oder Schwachstellen zu identifizieren, die intern möglicherweise übersehen wurden.
  • Beschleunigung des Prozesses: Durch die Zusammenarbeit mit einem erfahrenen Berater kann der Prozess der Gap-Analyse beschleunigt werden, da dieser bereits über bewährte Methoden und Werkzeuge verfügt.
  • Vorbereitung auf die Zertifizierung: Ein externer Berater kann das Unternehmen dabei unterstützen, einen klaren Aktionsplan zu entwickeln, um die identifizierten Lücken zu schließen und sich effektiv auf die TISAX®-Zertifizierung vorzubereiten.

Insgesamt spielt der VDA ISA Fragenbogen eine zentrale Rolle bei der Durchführung einer Gap-Analyse für das Erreichen des TISAX® Labels. Die Einbindung eines externen Beraters kann den Prozess effizienter und effektiver gestalten. Damit ein Unternehmen die zugehörigen Anforderungen zur Informationssicherheit erfüllt, gibt es hier einen ausführlichen Artikel zur Durchführung einer Gap-Analyse mit den Fragen des Kriterienkatalogs.

Buchen Sie einen Workshop bei uns und sparen Sie Zeit und Geld

Wir wollen nicht angeben, aber wir bieten einen TISAX® Workshop an, bei dem wir Sie bei Ihrer GAP-Analyse unterstützen. Am Ende des Workshops erhalten Sie nicht nur die Ergebnisse, sondern auch Ihre TISAX® Roadmap, einen umfassenden Projektplan, der auf Ihr Unternehmen zugeschnitten ist. Hier finden Sie die Details zu unserem Workshop zu TISAX®.

Externe Hilfe wird auch den Zeitaufwand für die GAP-Analyse verringern. Ein eintägiger Workshop mit Vorbereitung und einem Abschlussbericht kann ab 3.000 € geschätzt werden.

Zusammenfassung

Ob Sie die GAP-Analyse selbst durchführen wollen oder sich externe Hilfe ins Boot holen, der Nutzen der GAP-Analyse ist enorm: TISAX® Fragenkatalog is enormous. Und gleichzeitig entscheidend für den Erfolg Ihres TISAX® Projekts!

TISAX® ist eine eingetragene Marke der ENX Association. Die 360 Digitale Transformation steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt.

Über den Autor

TISAX® Fragenkatalog

Can Adiguzel ist der Gründer von 360 Digital Transformation. Er ist TISAX-Berater und ISO 27001 Lead Auditor. Er ist seit mehr als 11 Jahren im IT-Projektmanagement tätig. Seine Leidenschaft ist die Informationssicherheit für den Mittelstand und er hilft dem Mittelstand bei der Bewältigung seiner Herausforderungen im Bereich der Informationssicherheit mit einem praxisnahen Beratungsansatz.