TISAX® und ISO 27001: Unterschiede und Gemeinsamkeiten

TISAX und ISO 27001
Checkliste ISO 27001

In diesem Blogbeitrag wollen wir TISAX® mit ISO27001 vergleichen, tief in beide Normen eintauchen und die Ergebnisse für Sie zusammenfassen. Dabei werden wir nicht nur auf die Unterschiede eingehen, sondern auch Gemeinsamkeiten und Synergien zwischen den beiden Standards aufzeigen. Hier ist ein umfassender Vergleich zwischen TISAX® und ISO 27001.

Was sind die Hauptunterschiede zwischen TISAX® und ISO27001?

Obwohl TISAX® ursprünglich von ISO 27001 abgeleitet wurde, sind die beiden Normen völlig unabhängig voneinander. Es gibt auch keine Abhängigkeiten in Bezug auf die Anwendung, Anforderungen, Audits und Zertifizierungen. Mit anderen Worten, wenn Sie TISAX® oder ISO 27001 haben, ersetzt das eine nicht das andere.

In diesem Sinne haben wir eine Liste der Unterschiede als Zusammenfassung zusammengestellt. Im weiteren Verlauf dieses Beitrags werden wir jedoch auf die Einzelheiten der einzelnen Punkte eingehen:

  • ISO 27001 ist eine Zertifizierung, TISAX® ist ein Label.
  • ISO 27001 ist international, TISAX® ist noch nicht international.
  • TISAX® wird in der Automobilindustrie eingesetzt, während ISO 27001 in allen Branchen angewendet werden kann.
  • In TISAX® wird das gesamte Unternehmen bewertet. Bei ISO 27001 können Produktionslinien einzeln bewertet werden.
  • TISAX® Katalog verlangt den Reifegrad jeder einzelnen Kontrolle, ISO 27001 misst den Reifegrad nicht.
  • Re-Auditstruktur ist anders. Das TISAX® Re-Audit findet nach 3 Jahren statt, ISO 27001 hingegen jährlich.
  • Da TISAX® automobilspezifisch ist, beinhaltet es Details wie Prototypenschutz, Datenschutz (was viel strenger ist als ISO 27001, vor allem, wenn Assessment Level 3 angestrebt wird)
  • TISAX® hat von Anfang an 9 Monate Zeit, um alle größeren und kleineren Unstimmigkeiten zu beseitigen.
  • TISAX® hat eine eingeschränkte Auswahl für Auditoren im Vergleich zu ISO 27001.

Um die Unterschiede zu vereinfachen, haben wir sie in 2 Gruppen unterteilt: strukturelle und technische Unterschiede.

Strukturelle Unterschiede

Strukturelle Unterschiede sind die Unterschiede in Bezug auf den Prozess, den Kontext und die Definition der Audits. Wie bereits erwähnt, ist ISO 27001 eine Zertifizierung für Informationssicherheit. TISAX® wird jedoch als Label vergeben. Unternehmen, die über TISAX® verfügen, sind im ENX-Portal aufgelistet, das dem Zweck von TISAX® dient. Wenn Sie mehr darüber erfahren möchten, finden Sie hier einen vorgeschlagenen Blog Post.

Außerdem ist die ISO, daher der Name, eine internationale Norm. TISAX® hingegen ist eine Forderung des VDA, der hauptsächlich deutsch ist. Dennoch glauben wir, dass TISAX® sich zum europäischen Standard für Informationssicherheit in der Automobilindustrie entwickelt. Warten wir ab und sehen wir weiter. TISAX® ist ein branchenspezifisches Label, während ISO 27001 auf alle Branchen angewendet werden kann. Darüber hinaus kann ISO 27001 auf eine Produktionseinheit oder eine Abteilung angewendet werden. Für TISAX hingegen muss das gesamte Unternehmen – mit der Möglichkeit, Standorte zu wählen – auditiert werden.

Schließlich ist die Struktur der Re-Auditierung unterschiedlich. ISO 27001 erfordert ein jährliches Audit, während die TISAX®-Re-Zertifizierung nach 3 Jahren erfolgt.

ISO 27001 Zertifizierung
ISO 27001 Zertifizierung Ablauf

Technische Unterschiede

ISO 27001 hat 114 Kontrollen, die als Grundlage für die Bewertung verwendet werden. Diese Kontrollen haben jedoch keinen gemessenen Reifegrad. In TISAX® werden Reifegrade definiert und als Kriterien für das Erreichen des Gütesiegels verwendet. Es gibt 6 Reifegrade in TISAX®, von 0 bis 5. Ein Durchschnitt von 3 ist erforderlich, um das Siegel zu erhalten. Für einige Kontrollen ist jedoch ein Reifegrad von mindestens 2 erforderlich.

Da es sich bei TISAX® um einen Standard der Automobilindustrie handelt, umfasst er auch den Schutz von Prototypen, und der Datenschutzteil von TISAX® ist weitaus umfassender und eingeschränkter als der von ISO 27001, insbesondere für die Bewertungsstufe 3.

Ein weiterer technischer Unterschied ist, dass TISAX® ab dem Tag des ersten Audits eine 9-monatige Frist für die Umsetzung der im Audit festgelegten Maßnahmen hat. Werden diese Maßnahmen nicht innerhalb der 9 Monate umgesetzt, muss die Antragsphase für das Siegel neu gestartet werden. Nachstehend finden Sie den Zeitplan für das TISAX®-Projekt.

TISAX® und ISO 27001
TISAX® Audit-Prozess

Ähnlichkeiten zwischen TISAX® und ISO 27001

Zunächst einmal ist TISAX® von ISO 27001 abgeleitet. Der Kontrollkatalog von TISAX® ist in Anhang A der ISO 27001 verankert. Daher können wir ohne weiteres sagen, dass der Grundgedanke und das Ziel recht ähnlich sind. Zweitens: Unabhängig davon, welches Audit das Unternehmen erfolgreich durchläuft, ist das Niveau der Informationssicherheit nahezu identisch. In diesem Sinne sind beide Gütesiegel dazu da, einen hohen Standard der Informationssicherheit zu gewährleisten.

Wenn Sie mit dem ISO-PDCA-Kreislauf (Plan, Do, Check, Act) vertraut sind, verlangt auch TISAX® einen kontinuierlichen Verbesserungsprozess, wobei die Ziele nahezu identisch sind. Wir glauben, dass ein kontinuierlicher Verbesserungsprozess nicht nur für die Informationssicherheit, sondern auch für die anderen Prozesse des Unternehmens von entscheidender Bedeutung ist.

Ersetzen sich TISAX® und ISO 27001?

Nein, ganz bestimmt nicht. TISAX® und ISO 27001 schließen sich nicht gegenseitig aus. Daher können Sie je nach den Bedürfnissen Ihres Unternehmens, Ihrer Branche und Ihren Zielen zwischen zwei Labels wählen. Kann man nicht beides gleichzeitig haben? Ja, das können Sie. Mehr dazu weiter unten.

Ist es sinnvoll, zwei Zertifikate gleichzeitig zu haben?

Die Antwort ist, es kommt darauf an 🙂  Ja, ich weiß, es ist keine richtige Antwort. Aber wenn Sie ausschließlich Dienstleistungen erbringen oder Waren für die Automobilindustrie produzieren, dann könnte TISAX allein für Ihre Zwecke ausreichen. Es schadet nicht, beides zu haben, denn wenn Sie das eine vor dem anderen haben, können Sie sich den Aufwand für Audits sparen. In diesem Fall schlagen wir vor, das TISAX®-Zeichen vor ISO27001 zu haben.

Zusammenfassung

ISO 27001 hat 114 Kontrollen, TISAX® für die Informationssicherheit hat ca. 70. Daher kann man ohne weiteres behaupten, dass sich beide Normen recht ähnlich sind. Außerdem sind die Kontrollen von TISAX® von ISO 27001 abgeleitet. Je nach den Bedürfnissen, Zielen und der Branche Ihres Unternehmens können Sie zwischen den beiden Labels wählen. Im besten Fall können Sie beide haben.

Sie sind sich nicht sicher, wo Sie anfangen sollen oder welches Sie wählen sollen? Wir sind hier, um Ihnen zu helfen. Sie können mit uns Kontakt aufnehmen hier.

TISAX® ist eine eingetragene Marke der ENX Association. Die 360 Digitale Transformation steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt.

Über den Autor

TISAX® und ISO 27001

Can Adiguzel ist der Gründer von 360 Digital Transformation. Er ist TISAX-Berater und ISO 27001 Lead Auditor. Er ist seit mehr als 11 Jahren im IT-Projektmanagement tätig. Seine Leidenschaft ist die Informationssicherheit für den Mittelstand und er hilft dem Mittelstand bei der Bewältigung seiner Herausforderungen im Bereich der Informationssicherheit mit einem praxisnahen Beratungsansatz.