Wie führt man ein TISAX® Self-Assessment durch?

TISAX Logo TISAX Audit TISAX Self Assessment

Ihr Unternehmen hat sich nun für eine TISAX® Zertifizierung entschieden. Vielleicht sind Sie sogar verpflichtet, eine TISAX® Zertifizierung durchzuführen. 

In beiden Fällen: Willkommen im Club! TISAX® ist ein sehr umfangreiches Thema, daher würde ich Ihnen empfehlen, mit diesem Blog-Beitrag zu beginnen, wenn Sie neu in TISAX® sind.

In diesem Beitrag werden wir uns, nachdem wir einige Grundlagen behandelt haben, auf die Durchführung eines TISAX® Self-Assessment konzentrieren. Dieser Blog-Beitrag richtet sich also an Unternehmen, die in ihrem TISAX® Zertifizierungsprozess schon weiter fortgeschritten sind. Zum Beispiel Unternehmen, die sich bereits für eine TISAX® Zertifizierung entschieden haben oder schnellstmöglich das TISAX® Label erreichen müssen.

Wie sieht eine typische TISAX® Roadmap aus?

Diese Frage wird sehr häufig gestellt, daher möchten wir mit der TISAX® Roadmap beginnen. Nachdem Sie sich für die TISAX® Zertifizierung entschieden haben, sollten Sie mit der Registrierung im ENX TISAX® Portal beginnen.

Die Registrierungsgebühr beträgt ca. 400€ (Stand August 2021). Nach der Registrierung erhalten Sie Ihren SCOPE-ID. Wir gratulieren Ihnen, dass Sie den ersten Schritt zu Ihrer TISAX® Zertifizierung erfolgreich abgeschlossen haben. 👏

TISAX® Self-Assessment
TISAX® Zertifizierungsstufen

Nach diesem Schritt müssen Sie die Prüfungsgesellschaft auswählen. Wir empfehlen Ihnen jedoch dringend, Ihre Vorbereitungen abzuschließen, bevor Sie sich für einen Prüfungstermin entscheiden. Warum ist das so? Wenn Sie sich nicht sicher sind, wie fit Sie für Ihre Prüfung sind, dann tun Sie zwei Dinge. Erstens setzen Sie sich selbst unter Zeitdruck. Zweitens riskieren Sie einen reibungslosen Ablauf der Prüfung, wenn Sie die Vorbereitung auslassen. Deshalb: Vorbereitung zuerst!

Sie können Ihren Prüfungsgesellschaft aus einer Liste von Unternehmen auswählen. Beispiele für solche Gesellschaften sind DEKRA, TÜV, KPMG, etc. Sie können sich Angebote von verschiedenen Prüfern einholen. Entscheiden Sie dann, welcher am besten zu Ihnen passt. Nach Ihrer Entscheidung bittet die Prüfungsgesellschaft Sie, einen Prüfungstermin und ein Kick-off-Meeting zu vereinbaren. Wir empfehlen, zwischen dem Audit und dem Kick-off-Meeting genügend Zeit einzuplanen.

Wie bereiten Sie sich auf Ihre TISAX® Zertifizierung vor?

Sie müssen Ihre Hausaufgaben machen, bevor Sie den Audit-Termin festlegen. Die Vorbereitungszeit hängt vom ISMS-Reifegrad Ihres Unternehmens ab. Wir empfehlen, sich ausreichend Zeit für die Vorbereitung zu nehmen. Vermeiden Sie es daher, das Audit überstürzt anzugehen. Lassen Sie uns in die Vorbereitungsschritte eintauchen.

Eine GAP-Analyse ist wie ein Röntgenbild für Ärzte. Sie bestimmt den Reifegrad Ihres Unternehmens. Sie zeigt auch, in welchen Bereichen sich Ihr Unternehmen verbessern muss, um die TISAX® Zertifizierung zu erhalten. Hier sehen Sie, wie eine GAP-Analyse aussieht:

  • Fragebogen zur physischen Sicherheit
  • ISMS-Struktur
  • Technische Sicherheit
  • Self-Assessment

In diesem Blog-Beitrag erhalten Sie detaillierte Informationen über das TISAX Self-Assessment. Daher werden wir nur diesen Aspekt der GAP-Analyse behandeln. Das Ergebnis der GAP-Analyse wird durch Ihre ISMS-Struktur, Ihr Dokumentenmanagementsystem (DMS), Ihre Dokumentationsrichtlinien, Ihre Sicherheitsrichtlinien, Ihren Netzwerkplan usw. beeinflusst.

TISAX® erfordert eine bestimmte Struktur und klar definierte Richtlinien. Daher ist es von entscheidender Bedeutung, dass diese bereits vorhanden sind. Wenn dies noch nicht möglich ist, hilft Ihnen die Durchführung einer TISAX® Self-Assessment dabei, herauszufinden, in welchen Bereichen Ihr Unternehmen mehr Vorbereitung benötigt. Und welche Anforderungen ein Muss sind.

Was sind die Bestandteile des TISAX® Self-Assessment?

TISAX® Self-Assessment ist ein Katalog des VDA (Verband der Automobilindustrie). Der Katalog besteht aus Fragen zur Informationssicherheit, zum Prototypenschutz und zum Datenschutz. Bitte beachten Sie jedoch, dass nicht alle drei Bereiche für alle TISAX® Zertifizierungsstufen relevant sind.

Das Self-Assessment wird auch als Audit-Dokumentation zur Verfügung gestellt. Daher ist es wichtig, sie gründlich durchzuführen. Wir empfehlen, die Selbstbewertung zweimal durchzuführen, und zwar vor dem Projektstart, und dann darauf aufzubauen. So kann die endgültige Version des Self-Assessment ohne zusätzlichen Aufwand erstellt werden.

Deckblatt

Zunächst müssen Sie mit dem Deckblatt beginnen. Hier geben Sie grundlegende Informationen über Ihr Unternehmen an. Zum Beispiel Ihre Scope-ID* und DUNS-Nummer**.

* Sie erhalten Ihre SCOPE-ID, sobald Sie sich auf der ENX-Plattform registriert haben.

**Sie erhalten Ihre DUNS-Nummer über diesen Link.

Reifegrad und Definitionen

Danach können wir beginnen zu erklären, wie wir mit den Abschnitten vorgehen. Jeder Abschnitt enthält unterschiedliche Fragen. Sie müssen diese Fragen entsprechend dem Reifegrad Ihres Unternehmens beantworten. Daher müssen Sie wissen, was mit Reifegrad gemeint ist.

Der Reifegrad wird in den Reifegradstufen des Katalogs erklärt. Nach dem VDA gibt es sechs Reifegrade von 0 bis 5:

  • Unvollständig
  • Durchgeführt
  • Gesteuert
  • Etabliert
  • Vorhersagbar
  • Optimierend

Es ist auch ratsam, die Definitionen zu lesen, bevor Sie mit der Beantwortung der Fragen fortfahren. So können Sie die Logik des VDA-Katalogs gut verstehen.

Informationssicherheit

In jedem Abschnitt gibt es mehrere Fragen zur Bestimmung Ihres Reifegrades. Im Bereich der Informationssicherheit gibt es verschiedene Kategorien. Als Ergebnis Ihrer Bewertung werden Sie in diesen Kategorien eingestuft:

  • Information Security Policies and Organisation
  • Human Resources
  • Physical Security and Business Continuity
  • Identity and Access Management
  • IT Security/Cyber Security
  • Supplier Relationships
  • Compliance
  • Prototypenschutz (stammt aus dem Abschnitt Prototypenschutz)

Wie definiere ich meinen Reifegrad während des TISAX® Self-Assessment?

Um Ihren Reifegrad zu bestimmen, müssen Sie zunächst die „Muss“- und „Soll“-Anforderungen der Kontrollfragen beachten. Wenn Sie Ihren Reifegrad verbessern wollen, müssen diese Anforderungen vorhanden sein. Natürlich hängt Ihr Reifegrad davon ab, inwieweit Sie diese Anforderungen erfüllt haben.

Da es viele Kontrollfragen mit jeweils mehreren Anforderungen gibt, ist es ratsam, sich etwas Zeit für die Bewertung zu nehmen. Es lohnt sich, in das Verständnis der Kriterien zu investieren, um in Zukunft eine reibungslose Prüfung durchführen zu können. Wir empfehlen daher dringend, die Selbstbewertung zu Beginn des Projekts durchzuführen.

Schließlich müssen Sie die Referenz Dokumentation ausfüllen (Spalte G). Diese Spalte kann durch Angabe des Links zur Referenz Dokumentation in Ihrem ISMS-System ausgefüllt werden. Alternativ können Sie auch den Namen der dokumentierten Datei in die entsprechende Kontrollfrage eingeben.

Hier können Sie die neueste Version des VDA-Katalogs herunterladen, die am 21. April 2021 veröffentlicht wurde.

TISAX® Self-Assessment
Quelle: https://portal.enx.com/isa5-de.xlsx

Was sind die Erfolgskriterien des TISAX® Self-Assessment?

Erstens sollte der Durchschnitt aller Reifegrade mindestens 3 betragen, was allein aber noch keine Garantie für Ihr Zertifikat ist. Zweitens sollten Sie keine 0 oder 1 als Note haben. Unvollständig oder Durchgeführt als Reifegrad ist also ein No-Go für TISAX®.

Deshalb ist es wichtig, dass Sie eine TISAX® Self-Assessment durchführen, bevor Sie Ihren Prüfungstermin festlegen. Sie werden nicht nur sehen, wo Ihr Verbesserungspotenzial liegt. Sie können auch einen Notfallplan aufstellen, um sicherzustellen, dass Sie für Ihr Audit bereit sind.

Schließlich bietet die TISAX® Self-Assessmenteinen guten Anhaltspunkt für den Fall, dass Ihr Unternehmen einer der oben genannten Kategorien Priorität einräumt. Natürlich können Sie sich immer noch verbessern.

Muss ich TISAX® Self-Assessment in Excel ausführen?

Das kommt darauf an. Wenn Sie noch ganz am Anfang Ihrer Reise zur TISAX-Zertifizierung stehen, könnte es verwirrend sein, die komplizierte Excel-Datei zu verwenden. Deshalb haben wir eine Online-Alternative für Sie vorbereitet. Sie können die Self-Assessment ganz einfach durchführen und sehen, wo Sie auf Ihrer TISAX® Reise stehen. Sie erhalten auch einen Bericht, der angibt, in welchen Kategorien Sie sich verbessern müssen.

Wenn Sie in Ihrer TISAX® Reise jedoch bereits fortgeschritten sind, müssen Sie den detaillierten Fragebogen ausfüllen und als Audit-Dokumentation einreichen. Dies kann jedoch für die meisten Unternehmen immer noch mühsam sein. Wenn Sie sich mit dem TISAX® Self-Assessment nicht wohl fühlen, können Sie jederzeit einen Experten hinzuziehen.

Was kostet das TISAX® Self-Assessment?

Wie hoch eigentlich sind die Kosten für die TISAX® Zertifizierung vorher? Bevor wir über die Kosten des TISAX® Self-Assessment sprechen, möchten wir Ihnen eine grobe Vorstellung von der Zertifizierung geben. Hier ist eine Kostenaufstellung, die Sie verwenden können:

  • ENX-Registrierung ca. 400€ (Stand: August 2021)
  • ISMS (Information Security Management System) zwischen 0* – 3000€ pro Jahr
  • Auditorenkosten ab 5.000€ (je nach Prüfungsgesellschaft)
  • TISAX® Beratung (Bereitstellung eines Expertenteams für ein reibungsloses Audit) ab 12.000€
  • TISAX® Prozessmanagement-Tool ab 7.000€ pro Jahr für 5 Benutzer – dies wird nach dem Label empfohlen

*Es gibt auch kostenlose Tools wie Nextcloud.

Die oben genannten Preise sind ungefähre Angaben, die wir auf dem Markt erfahren haben. Die Kosten können je nach Anzahl der Standorte, der vorhandenen Infrastruktur und dem TISAX® Reifegrad (d.h. dem Ergebnis Ihres TISAX® Self-Assessments) variieren.

Die Durchführung eines TISAX-Self-Assessment ist übrigens immer kostenlos. Wie bereits erwähnt, können Sie es selbst in Excel oder über unsere Online-Plattform durchführen: E-Flow.

Schlusswort

Die Vorbereitung auf Ihr TISAX® Audit ist ein langwieriger, zeitaufwändiger Prozess. Er erfordert auch harte Arbeit. Doch die Vorteile der TISAX® Zertifizierung überwiegen den Aufwand. Daher ist es ratsam, schon zu Beginn einen Experten an Bord zu holen.

Alternativ können Sie auch einen Workshop mit uns buchen, um Ihre TISAX® Roadmap zu definieren. Haben Sie weitere Fragen? Bitte kontaktieren Sie uns!

TISAX® ist eine eingetragene Marke der ENX Association. Die 360 Digitale Transformation steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt.

NEWSLETTER ANMELDEN

No SPAM, we promise!

TISAX® Self-Assessment

Can Adiguzel is the founder of 360 Digital Transformation and host of The Digital Mittelstand podcast. He is in Digital Transformation projects for more than 8 years. He is passionate about Digital Transformation for Mittelstand and helps Mittelstand to overcome their Digital Transformation challenges by optimizing, digitalizing, and automating processes.