Wie führt man ein Self-Assessment für TISAX® durch?

Self Assessment für TISAX

Ihr Unternehmen hat sich nun für eine TISAX® Zertifizierung entschieden. Vielleicht sind Sie sogar verpflichtet, eine TISAX® Zertifizierung durchzuführen. 

In beiden Fällen: Willkommen im Club! TISAX® ist ein sehr umfangreiches Thema, daher würde ich Ihnen empfehlen, mit diesem Blog-Beitrag zu beginnen, wenn Sie neu in TISAX® sind.

In diesem Beitrag werden wir uns, nachdem wir einige Grundlagen behandelt haben, auf die Durchführung eines Self-Assessment für TISAX® konzentrieren. Dieser Blog-Beitrag richtet sich also an Unternehmen, die in ihrem TISAX® Zertifizierungsprozess schon weiter fortgeschritten sind. Zum Beispiel Unternehmen, die sich bereits für eine TISAX® Zertifizierung entschieden haben oder schnellstmöglich das TISAX® Label erreichen müssen.

Wie sieht eine typische Roadmap für TISAX® aus?

Diese Frage wird sehr häufig gestellt, daher möchten wir mit der Roadmap für TISAX® beginnen. Nachdem Sie sich für die TISAX® Zertifizierung entschieden haben, sollten Sie mit der Registrierung im ENX TISAX® Portal beginnen.

Die Registrierungsgebühr beträgt ca. 405€ (Stand August 2023). Nach der Registrierung erhalten Sie Ihren SCOPE-ID. Wir gratulieren Ihnen, dass Sie den ersten Schritt zu Ihrer TISAX® Zertifizierung erfolgreich abgeschlossen haben. 👏

TISAX® Self-Assessment
TISAX® Zertifizierungsstufen

Nach diesem Schritt müssen Sie die Prüfungsgesellschaft auswählen. Wir empfehlen Ihnen jedoch dringend, Ihre Vorbereitungen abzuschließen, bevor Sie sich für einen Prüfungstermin entscheiden. Warum ist das so? Wenn Sie sich nicht sicher sind, wie fit Sie für Ihre Prüfung sind, dann tun Sie zwei Dinge. Erstens setzen Sie sich selbst unter Zeitdruck. Zweitens riskieren Sie einen reibungslosen Ablauf der Prüfung, wenn Sie die Vorbereitung auslassen. Deshalb: Vorbereitung zuerst!

Sie können Ihren Prüfungsgesellschaft aus einer Liste von Unternehmen auswählen. Beispiele für solche Gesellschaften sind DEKRA, TÜV, KPMG, etc. Sie können sich Angebote von verschiedenen Prüfern einholen. Entscheiden Sie dann, welcher am besten zu Ihnen passt. Nach Ihrer Entscheidung bittet die Prüfungsgesellschaft Sie, einen Prüfungstermin und ein Kick-off-Meeting zu vereinbaren. Wir empfehlen, zwischen dem Audit und dem Kick-off-Meeting genügend Zeit einzuplanen.

Wie bereiten Sie sich auf Ihre TISAX® Zertifizierung vor?

Sie müssen Ihre Hausaufgaben machen, bevor Sie den Audit-Termin festlegen. Die Vorbereitungszeit hängt vom ISMS-Reifegrad Ihres Unternehmens ab. Wir empfehlen, sich ausreichend Zeit für die Vorbereitung zu nehmen. Vermeiden Sie es daher, das Audit überstürzt anzugehen. Lassen Sie uns in die Vorbereitungsschritte eintauchen.

Eine GAP-Analyse ist wie ein Röntgenbild für Ärzte. Sie bestimmt den Reifegrad Ihres Unternehmens. Sie zeigt auch, in welchen Bereichen sich Ihr Unternehmen verbessern muss, um die TISAX® Zertifizierung zu erhalten. Hier sehen Sie, wie eine GAP-Analyse aussieht:

  • Fragebogen zur physischen Sicherheit
  • ISMS-Struktur
  • Technische Sicherheit
  • Self-Assessment

In diesem Blog-Beitrag erhalten Sie detaillierte Informationen über das Self-Assessment für TISAX. Daher werden wir nur diesen Aspekt der GAP-Analyse behandeln. Das Ergebnis der GAP-Analyse wird durch Ihre ISMS-Struktur, Ihr Dokumentenmanagementsystem (DMS), Ihre Dokumentationsrichtlinien, Ihre Sicherheitsrichtlinien, Ihren Netzwerkplan usw. beeinflusst.

TISAX® erfordert eine bestimmte Struktur und klar definierte Richtlinien. Daher ist es von entscheidender Bedeutung, dass diese bereits vorhanden sind. Wenn dies noch nicht möglich ist, hilft Ihnen die Durchführung einer Self-Assessment für TISAX® dabei, herauszufinden, in welchen Bereichen Ihr Unternehmen mehr Vorbereitung benötigt. Und welche Anforderungen ein Muss sind.

Was sind die Bestandteile des Self-Assessment für TISAX®?

Self-Assessment für TISAX® ist ein Katalog des VDA (Verband der Automobilindustrie). Der Katalog besteht aus Fragen zur Informationssicherheit, zum Prototypenschutz und zum Datenschutz. Bitte beachten Sie jedoch, dass nicht alle drei Bereiche für alle TISAX® Zertifizierungsstufen relevant sind.

Das Self-Assessment wird auch als Audit-Dokumentation zur Verfügung gestellt. Daher ist es wichtig, sie gründlich durchzuführen. Wir empfehlen, die Selbstbewertung zweimal durchzuführen, und zwar vor dem Projektstart, und dann darauf aufzubauen. So kann die endgültige Version des Self-Assessment ohne zusätzlichen Aufwand erstellt werden.

Deckblatt

Zunächst müssen Sie mit dem Deckblatt beginnen. Hier geben Sie grundlegende Informationen über Ihr Unternehmen an. Zum Beispiel Ihre Scope-ID* und DUNS-Nummer**.

* Sie erhalten Ihre SCOPE-ID, sobald Sie sich auf der ENX-Plattform registriert haben.

**Sie erhalten Ihre DUNS-Nummer über diesen Link.

Reifegrad und Definitionen

Danach können wir beginnen zu erklären, wie wir mit den Abschnitten vorgehen. Jeder Abschnitt enthält unterschiedliche Fragen. Sie müssen diese Fragen entsprechend dem Reifegrad Ihres Unternehmens beantworten. Daher müssen Sie wissen, was mit Reifegrad gemeint ist.

Der Reifegrad wird in den Reifegradstufen des Katalogs erklärt. Nach dem VDA gibt es sechs Reifegrade von 0 bis 5:

  • Unvollständig
  • Durchgeführt
  • Gesteuert
  • Etabliert
  • Vorhersagbar
  • Optimierend

Es ist auch ratsam, die Definitionen zu lesen, bevor Sie mit der Beantwortung der Fragen fortfahren. So können Sie die Logik des VDA-Katalogs gut verstehen.

Informationssicherheit

In jedem Abschnitt gibt es mehrere Fragen zur Bestimmung Ihres Reifegrades. Im Bereich der Informationssicherheit gibt es verschiedene Kategorien. Als Ergebnis Ihrer Bewertung werden Sie in diesen Kategorien eingestuft:

  • Information Security Policies and Organisation
  • Human Resources
  • Physical Security and Business Continuity
  • Identity and Access Management
  • IT Security/Cyber Security
  • Supplier Relationships
  • Compliance
  • Prototypenschutz (stammt aus dem Abschnitt Prototypenschutz)

Wie definiere ich meinen Reifegrad während des Self-Assessment für TISAX®?

Um Ihren Reifegrad zu bestimmen, müssen Sie zunächst die „Muss“- und „Soll“-Anforderungen der Kontrollfragen beachten. Wenn Sie Ihren Reifegrad verbessern wollen, müssen diese Anforderungen vorhanden sein. Natürlich hängt Ihr Reifegrad davon ab, inwieweit Sie diese Anforderungen erfüllt haben.

Da es viele Kontrollfragen mit jeweils mehreren Anforderungen gibt, ist es ratsam, sich etwas Zeit für die Bewertung zu nehmen. Es lohnt sich, in das Verständnis der Kriterien zu investieren, um in Zukunft eine reibungslose Prüfung durchführen zu können. Wir empfehlen daher dringend, die Selbstbewertung zu Beginn des Projekts durchzuführen.

Schließlich müssen Sie die Referenz Dokumentation ausfüllen (Spalte G). Diese Spalte kann durch Angabe des Links zur Referenz Dokumentation in Ihrem ISMS-System ausgefüllt werden. Alternativ können Sie auch den Namen der dokumentierten Datei in die entsprechende Kontrollfrage eingeben.

Hier können Sie die neueste Version des VDA-Katalogs herunterladen, die am 21. April 2021 veröffentlicht wurde.

TISAX® Self-Assessment
Quelle: https://portal.enx.com/isa5-de.xlsx

Was sind die Erfolgskriterien des Self-Assessment für TISAX®?

Erstens sollte der Durchschnitt aller Reifegrade mindestens 3 betragen, was allein aber noch keine Garantie für Ihr Zertifikat ist. Zweitens sollten Sie keine 0 oder 1 als Note haben. Unvollständig oder Durchgeführt als Reifegrad ist also ein No-Go für TISAX®.

Deshalb ist es wichtig, dass Sie eine Self-Assessment für TISAX® durchführen, bevor Sie Ihren Prüfungstermin festlegen. Sie werden nicht nur sehen, wo Ihr Verbesserungspotenzial liegt. Sie können auch einen Notfallplan aufstellen, um sicherzustellen, dass Sie für Ihr Audit bereit sind.

Schließlich bietet die Self-Assessment für TISAX® einen guten Anhaltspunkt für den Fall, dass Ihr Unternehmen einer der oben genannten Kategorien Priorität einräumt. Natürlich können Sie sich immer noch verbessern.

Was kostet das Self-Assessment für TISAX®?

Wie hoch eigentlich sind die Kosten für die TISAX® Zertifizierung vorher? Bevor wir über die Kosten des Self-Assessment für TISAX® sprechen, möchten wir Ihnen eine grobe Vorstellung von der Zertifizierung geben. Hier ist eine Kostenaufstellung, die Sie verwenden können:

  • ENX-Registrierung ca. 405€ (Stand: August 2023)
  • Auditorenkosten ab 5.000€ (je nach Prüfungsgesellschaft und Assessment-Level)
  • TISAX® Beratung (Bereitstellung eines Expertenteams für ein reibungsloses Audit) ab 20.000€

Die oben genannten Preise sind ungefähre Angaben, die wir auf dem Markt erfahren haben. Die Kosten können je nach Anzahl der Standorte, der vorhandenen Infrastruktur und dem TISAX® Reifegrad (d.h. dem Ergebnis Ihres Self-Assessment für TISAX®) variieren.

Schlusswort

Die Vorbereitung auf Ihr TISAX® Audit ist ein langwieriger, zeitaufwändiger Prozess. Er erfordert auch harte Arbeit. Doch die Vorteile der TISAX® Zertifizierung überwiegen den Aufwand. Daher ist es ratsam, schon zu Beginn einen Experten an Bord zu holen.

Alternativ können Sie auch einen Workshop mit uns buchen, um Ihre Roadmap für TISAX® zu definieren. Haben Sie weitere Fragen? Bitte kontaktieren Sie uns!

TISAX® ist eine eingetragene Marke der ENX Association. Die 360 Digitale Transformation steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt.

NEWSLETTER ANMELDEN

No SPAM, we promise!

TISAX® Self-Assessment

Can Adiguzel is the founder of 360 Digital Transformation. He is in IT-Project Management more than 11 years. He is passionate about Information Security for Mittelstand and helps Mittelstand to overcome their Information Security challenges using a hands-on consulting approach.