Wie wird eine GAP-Analyse durchgeführt: TISAX® Fragenkatalog?

GAP Analyse für TISAX

Vielleicht haben Sie schon einmal den Begriff GAP-Analyse gehört und fragen sich, welche Rolle sie für TISAX® spielt. Oder Sie wissen sehr wohl, was eine GAP-Analyse ist, sind sich aber nicht sicher, wie Sie sie für Ihr TISAX®-Projekt nutzen können. In beiden Fällen sind Sie herzlich eingeladen, unseren neuen Blogbeitrag zur GAP-Analyse zu lesen: TISAX® Fragenkatalog.

Was ist eine GAP-Analyse: TISAX® Fragenkatalog? – Warum ist sie wichtig?

Gute Fragen. Beginnen wir mit der Definition einer GAP-Analyse. Sie ist eine häufig verwendete Methode, meist von Beratern. Ziel der GAP-Analyse ist es, die Lücke zwischen der Soll-Situation und der Ist-Situation zu finden. Erst dann kann der Projektplan skizziert und die notwendigen Korrekturmaßnahmen geplant werden.

Wenn Sie nicht wissen, wo Sie stehen, wird es schwierig sein, die Aktionen und Maßnahmen zu definieren, die Sie ergreifen müssen, um Ihre Ziele zu erreichen. Das Gleiche gilt für das Erreichen Ihres TISAX® Labels. Im TISAX®-Fragenkatalog sind die Kontrollen in die folgenden Abschnitte unterteilt: Informationssicherheitsrichtlinien und -organisation, Personalwesen, physische Sicherheit und Geschäftskontinuität, Identitäts- und Zugangsmanagement, IT-Sicherheit/Cybersicherheit, Lieferantenbeziehungen und Compliance.

Jede dieser Kontrollen sollte im Hinblick auf den Reifegrad eingestuft werden. Die Reifegrade für TISAX® können zwischen 0 und 5 liegen. Ein Reifegrad von 0 ist “unvollständig”, während ein Reifegrad von 6 eine Optimierung bedeutet. Unvollständig bedeutet natürlich, dass fast keine Maßnahmen ergriffen werden. Bei der Optimierung hingegen werden die Prozesse beschrieben, ausgeführt und entsprechend dokumentiert. Wenn Sie mehr über die Reifegrade von TISAX® erfahren möchten, können Sie unseren Blogbeitrag hier lesen.

Sobald Sie Ihre Reifegrade für jede der TISAX®-Kontrollen festgelegt haben, können Sie nun die Korrekturmaßnahmen und -aktionen definieren. Dadurch erhalten Sie eine klare Vorstellung davon, wie viele Ressourcen in das Projekt investiert werden müssen.

Was sind die Vorteile der GAP-Analyse?

Eine gründlich durchgeführte GAP-Analyse verschafft Ihnen eine klare Vorstellung davon, wo Ihr TISAX®-Projekt steht. Sie verhindert damit, dass Sie beliebige Ressourcen für Ihr TISAX®-Projekt veranschlagen. Andererseits hilft sie Ihnen, die Stärken und Schwächen Ihres Unternehmens in Bezug auf die verschiedenen TISAX®-Bereiche (siehe oben) zu reflektieren. Zum Beispiel können Ihre physischen Sicherheitsmaßnahmen gut umgesetzt werden. Darüber hinaus können Ihre HR-Prozesse vorhanden sein und reibungslos funktionieren. Eine GAP-Analyse hilft Ihnen jedoch zu erkennen, dass Ihre IT-Sicherheitsprozesse nicht ausgereift genug sind, so dass Sie eine Verbesserung in Betracht ziehen könnten.

Um das TISAX®-Label zu erhalten, müssen Sie als Faustregel mindestens die Reifegradstufe 3 erreichen. Allerdings gibt es auch Ausnahmen von dieser Regel. Dennoch ist der Reifegrad ein guter Indikator für den verbleibenden Aufwand Ihres Unternehmens bis zum Audit.

Selbst wenn Sie sich dazu entschließen, Ihr TISAX®-Projekt nicht weiterzuführen, können Sie sich einen guten Überblick über den Stand der Informations- und physischen Sicherheit in Ihrem Unternehmen verschaffen. Sie können Ihre Prozesse jederzeit entsprechend verbessern.

Wie das Ergebnis der GAP-Analyse: TISAX® Fragenkatalog aussieht?

Um die GAP-Analyse zu starten, müssen Sie jede Kontrolle durchgehen, die im VDA TISAX® Fragenkatalog aufgeführt ist. Bitte beachten Sie, dass es “Muss”- und “Sollte”-Anforderungen gibt, sowie spezifische Anforderungen für “Informationssicherheit hoch” und “Info sehr hoch”. Daher ist die Voraussetzung für den Start Ihrer GAP-Analyse, dass Sie sich vergewissern;

  • Ihr Geltungsbereich und Ihre Standorte
  • Ihre TISAX®-Bewertungsstufe (AL2 oder AL3)
  • Benötigt Ihr Kunde Info High oder Info Very High?
  • Werden zusätzliche Module wie Datenschutz oder Prototypenschutz benötigt?

Es ist ratsam, mit Ihrem Kunden im Voraus zu vereinbaren, was von Ihnen erwartet wird. Nur dann können Sie solide Ergebnisse der GAP-Analyse erhalten. Wenn Sie die Anforderungen des Kunden nicht kennen, können Sie trotzdem eine Selbsteinschätzung vornehmen, um eine ungefähre Vorstellung zu erhalten. Mehr über TISAX® Self-Assessment erfahren Sie in diesem Blogbeitrag.

Bearbeiten Sie die Kontrollen und füllen die jeweiligen Reifegrade aus, schon erhalten Sie die ersten Ergebnisse. In der großen Exceldatei – VDA ISA Fragenkatalog – können Sie auch die grafische Darstellung der Analyse sehen.

TISAX® Fragenkatalog
Source: VDA ISA Fragenkatalog

Was soll ich mit dem Ergebnis tun? – Interpretation der Ergebnisse

Bevor wir uns mit der Interpretation der Ergebnisse befassen, möchte ich betonen, dass es keine guten oder schlechten Ergebnisse gibt. Die Ergebnisse sind dazu da, Ihnen und Ihrer Organisation zu zeigen, wo Sie derzeit stehen. Sehr wichtig ist jedoch, die Ergebnisse objektiv zu betrachten. Wenn Sie Ihr Ziel, das TISAX® Label, erreichen wollen, ist es jetzt an der Zeit zu planen.

Nehmen wir an, Ihr Unternehmen verfügt über keinen Änderungsprozess und keine Dokumentation. Somit haben Sie sich selbst mit einem Reifegrad von 1 eingestuft. Wie wir aus den TISAX®-Leitlinien wissen, müssen wir mindestens einen Reifegrad von 3 anstreben. Werfen wir also einen Blick auf Reifegrad 3: Etabliert

Es wird ein in das Gesamtsystem integrierter Standardprozess verfolgt. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen sind geschaffen. Es liegt der Nachweis vor, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.

Es wird ein in das Gesamtsystem integrierter Standardprozess verfolgt. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen sind geschaffen. Es liegt der Nachweis vor, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde.

Quelle: ENX TISAX® Teilnehmerhandbuch

Was müssen Sie also jetzt tun? Ganz einfach. Erstens müssen Sie sicherstellen, dass Sie einen Änderungsprozess definiert haben und diesen in Ihre Systeme integrieren. Zweitens müssen Sie sicherstellen, dass nicht nur der Prozess selbst, sondern auch die Prozessinstanzen dokumentiert sind. Nicht zuletzt müssen Sie nachweisen können, dass Sie den Änderungsprozess angewandt und mit der entsprechenden Dokumentation durchgeführt haben. So können Sie beispielsweise einen Änderungsantrag für eine neue Software stellen, die Software prüfen, sie zu Ihrer Softwareliste (IT Assets) hinzufügen und die genehmigte Software freigeben. Alles dokumentiert. Voilá!

Wie wird der TISAX® Fragenkatalog zur Bestimmung des Reifegrades verwendet?

Wie bereits erwähnt, gibt es 6 verschiedene Reifegrade, die im TISAX®-Teilnehmerhandbuch definiert sind. Bei der Durchführung der GAP-Analyse müssen Sie Ihr Unternehmen, Ihre Prozesse, Richtlinien und Dokumentation bewerten. So können Sie Ihren Reifegrad entsprechend bestimmen. Wenn Sie sich nicht sicher sind, bietet die Einstufung in eine niedrigere Stufe immer eine Sicherheitsmarge. Es ist ratsam, den Reifegrad nicht höher einzuschätzen, was Sie wiederum daran hindern kann, notwendige Maßnahmen zu ergreifen.

Am Ende des Tages wird der Prüfer die Kontrollen objektiv beurteilen. Wenn eine Kontrolle nicht vollständig angewandt wird oder kritische Voraussetzungen fehlen, führt dies zu einem niedrigen Reifegrad. In der Tat ist ein Reifegrad von 0 oder 1 für TISAX® nicht akzeptabel. Sie müssen also nicht nur darauf achten, dass Sie im Durchschnitt einen Reifegrad von 3 erreichen, sondern auch die Reifegrade 0 und 1 vermeiden.

Wie können Externe helfen, meinen Erfolg mit TISAX® Fragenkatalog zu beschleunigen?

Es gibt mehrere Möglichkeiten, wie externe (professionelle) Hilfe Ihren Erfolg mit der GAP-Analyse beschleunigen kann: TISAX® Fragenkatalog. Erstens werden die Ergebnisse und die Genauigkeit des durchschnittlichen Reifegrades verlässlich sein. Zweitens bringt ein externer Berater eine objektive Perspektive in die Analyse ein. Im Gegenzug vermeiden Sie, dass Sie Ihren Reifegrad überschätzen und damit die Wahrscheinlichkeit des Scheiterns erhöhen. Oder Sie unterschätzen Ihren Reifegrad und setzen deshalb zu viele Ressourcen für das Projekt ein.

In beiden Fällen ist es sehr hilfreich, wenn Sie bei der Durchführung Ihrer GAP-Analyse einen Fachmann hinzuziehen. Darüber hinaus wird Ihr Ergebnis besser ausfallen, wenn Sie die zu ergreifenden Maßnahmen definieren. So wird Ihre Ressourcenallokation entsprechend präzise und nicht willkürlich sein,

Wie aufwendig ist die GAP-Analyse?

Es gibt mehrere Möglichkeiten, wie externe (professionelle) Hilfe Ihren Erfolg mit der GAP-Analyse beschleunigen kann: TISAX® Fragenkatalog. Erstens werden die Ergebnisse und die Genauigkeit des durchschnittlichen Reifegrads zuverlässig sein. Zweitens bringt ein externer Berater eine objektive Perspektive in die Analyse ein. Im Gegenzug vermeiden Sie, dass Sie Ihren Reifegrad überschätzen und damit die Wahrscheinlichkeit des Scheiterns erhöhen. Oder Sie unterschätzen Ihren Reifegrad und setzen deshalb zu viele Ressourcen für das Projekt ein.

In beiden Fällen ist es sehr hilfreich, wenn Sie bei der Durchführung Ihrer GAP-Analyse einen Fachmann hinzuziehen. Darüber hinaus wird Ihr Ergebnis besser ausfallen, wenn Sie die zu ergreifenden Maßnahmen definieren. Auf diese Weise wird Ihre Ressourcenzuweisung entsprechend präzise und nicht willkürlich sein.

Wie aufwendig ist die GAP-Analyse?

Die Kosten der GAP-Analyse hängen von der Größe Ihres Unternehmens sowie von Ihrem Team ab. Wenn Sie die GAP-Analyse in Eigenregie durchführen wollen, müssen Sie den Zeitaufwand für das Verständnis des VDA ISA Questionerre selbst berücksichtigen. Darüber hinaus müssen Sie sicherstellen, dass Sie auch die Kontrollen und deren Auswirkungen verstehen. Sie können also grob mit 2 bis 4 Tagen rechnen, wenn 2 Mitarbeiter die Analyse durchführen.

Buchen Sie einen Workshop bei uns und sparen Sie Zeit und Geld

Wir wollen nicht angeben, aber wir bieten einen TISAX® Workshop an, bei dem wir Sie bei Ihrer GAP-Analyse unterstützen. Am Ende des Workshops erhalten Sie nicht nur die Ergebnisse, sondern auch Ihre TISAX® Roadmap, einen umfassenden Projektplan, der auf Ihr Unternehmen zugeschnitten ist. Hier finden Sie die Details zu unserem Workshop zu TISAX®.

Externe Hilfe wird auch den Zeitaufwand für die GAP-Analyse verringern. Ein eintägiger Workshop mit Vorbereitung und einem Abschlussbericht kann ab 3.000 € geschätzt werden.

Zusammenfassung

Ob Sie die GAP-Analyse selbst durchführen wollen oder sich externe Hilfe ins Boot holen, der Nutzen der GAP-Analyse ist enorm: TISAX® Fragenkatalog is enormous. Und gleichzeitig entscheidend für den Erfolg Ihres TISAX® Projekts!

TISAX® ist eine eingetragene Marke der ENX Association. Die 360 Digitale Transformation steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt.