TISAX vs. ISO27001 - CONSUVATION GmbH

CONSUVATION GmbH | Beratung mit Kompetenz
Willkommen bei CONSUVATION - wir leben erfolgreiche Beratung
Tilster Straße 6
71065 Sindelfingen
        Deutschland
Telefon +49 (0) 7031.4181-860
contact(@)consuvation.com
Vorsprung durch Wissen

Direkt zum Seiteninhalt

TISAX vs. ISO27001

TISAX®
Geschäftsfeld ISMS nach Trusted Information Security Assessment eXchange Beratung und Lösungen
Wir bauen mit Ihnen schnell, pragmatisch und wirtschaftlich Ihr Managementsystem nach den Anforderungen von Trusted Information Security Assessment eXchange und dem VDA ISA Prüfungskatalog auf und begleiten Sie bis zum erfolgreichen Assessment und Ihrem geforderten Label. Auf Wunsch betreuen wir Sie auch in der Betriebsphase.
TISAX vs. ISO 27001

Unser Ansatz für TISAX vs. ISO 27001

TISAX ist mehr und anders als ISO 27001. TISAX hat mehr Anforderungsbereiche - im Bereich ISMS sowie zusätzliche Bereiche wie der Anbindung Dritter, Datenschutz und dem Prototypenschutz. TISAX ist kein internationaler Standard, sondern ein Branchenstandard für die Automobilbranche. Für Zulieferer der OEM ist es ein gesetzter Standard und diese werden nicht darum herum kommen, TISAX einzuführen.
Cybersecurity TISAX
Wir haben verschiedene Lösungen zur Umsetzung von TISAX entwickelt:

      • eine "Out oft the Box-Lösung" für kleine Unternehmen zum monatlichen Pauschalpreis von 299 €
      • eine "Baukastenlösung" für mittlere und größere Unternehmen
      • ein Beratungsmodell mit Projektplanung, Aktivitätenplänen und möglichen Lösungskomponenten aus unserem TX-Baukasten
      • ein e-Learning Modell für die Durchführung der notwendigen Schulungen
      • ein Dokumentenmanagementsystem zur Dokumentenlenkung der notwendigen TiSAX Dokumenation

      • NEU: wir unterstützen sie als "Managed Service Provider für TISAX" und führen Ihre komplette Lieferantenprüfung für TISAX für Sie durch. Hierfür haben wir eine Risikobeurteilung für Lieferanten entwickelt und einen Prozess, natürlich mit Prozessbeschreibung, Dokumenation und Nachweisen im Reifegrad 3.
      • Optional übernehmen wir auch andere Prozesse, wie zum Beispiel Auditmanagement oder die Betreuung ihres ISMS nach TISAX in unsere Hände.                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       
Wenn das Unternehmen TISAX umsetzen muss
Benötigt man eine gute pragmatische Lösung
Mit einem TX®
Portal gehts halt einfach schneller und einfacher
Auf der vorherigen Seite haben wir erklärt, was TISAX bedeutet und was es für eine Zielsetzung hat. Viele fragen sich nun wo ist der Unterschied zwischen TISAX zu einer ISO27001 (ISO27002)?
WAS IST ISO 27001?
WELCHER ANSATZ HAT TISAX?
TISAX VDA ISA FRAGEBOGEN
TISAX ZERTIFIZIERING/
ASSESSMENT

ISO 27001


ISO 27001 ist eine international anerkannte Norm für ein Informationssicherheitssystem (ISMS). Sie wurde herausgegeben von der ISO - International Organization for Standardization in Genf. Grundlage war der British Standard (BS) 7799 aus England.

Die ISO 27001 ist weltweit anerkannt, um ein ISMS nachzuweisen. Es ist eine ganze ISO 270xx Normenfamilie entstanden - welche verschiedene Bereiche wie z.B. Netzwerksicherheit oder ISMS in Branchen detaillierter regelt. Die Umsetzung der ISO 27001 Anforderungen kann sich das Unternehmen durch eine externe Zertifizierung bestätigen lassen. Hierbei ist Zertifizierung Grundlage der Norm Teil ISO 27001, welcher die Anforderungen an das ISMS formuliert.

Die ISO 27001 hat einen Anhang A, in welchem in den Teilen A5 bis A18 Anforderungen an Maßnahmen in verschiedenen Gebieten wie Physischer Sicherheit, ISMS Organisation, Zugriffsregelungen etc. formuliert werden. Dieser Anhang ist grundsätzlich nicht Bestandteil einer Zertifizierung. Da aber die ISO27001 ein Risikomanagement für Informationsicherheit als zentraler Bestandteil hat - in welchem Bedrohungen und Schwachstellen bewertet werden und hierfür die Risikogegenmaßnahmen auf Basis des Anhang A zur Bewältigung herangezogen werden, wird der Anhang A in den Teilen, wo er zum Bestandteil der Erklärung der Anwendbarkeit (SOA) geworden ist, somit zum Zertifizierungsgegenstand. Unternehmen haben bei der ISO27001 eine Erklärung zu Anwendung abzugeben. Und in dieser muss das Unternehmen die umgesetzten Maßnahmenempfehlungen des Anhang A auflisten, die somit zum Zertifizierungsgegenstand werden.

Das Zertifikat referenziert auf die Erklärung der Anwendbarkeit der ISO27001. Prüfungsorganisationen können sich hierfür bei der jeweilig nationalen Akkreditierungsstelle - in Deutschland bei der DAKKS akkreditieren lassen oder bieten die Zertifizierung als nicht akkreditierte Zertifizierungsgesellschaft an - was grundsätzlich erlaubt und möglich ist.

Zur ISO 27001 gibt es einen weiteren Normenteil, die ISO 27002. Die ISO 27002 nimmt sich den Anhang A5 - A18 der ISO 27001 und erläutert diesen näher - bietet somit Lösungen zu den Anforderungen an. Dabei geht die ISO 27002 nicht so tief wie andere Standards in diesem Gebiet. Der BSI Grundschutz oder NIST (USA) gehen hier viel tiefer und bieten direkte Lösungsansätze.




Betrachtet man die Entwicklung der ISO 27001 Zertifizierungen nach Ländern, dann fällt auf, dass Niederlande ca. 1000 Zertifikate hält, England über 4.500. Die Klasse bis 5.000 Zertifikate pro Land erfüllt u.a. China/Hongkong, Indien, UK - alles wird mit Japan übertroffen, wo bereits fast 10.000 Zertifikate vergeben sind.




TISAX

Der Verband der Automobilindustrie e.V. (VDA) hatte schon in dem Arbeitskreis "Integraler Informationsschutz mit IT Sicherheit, Prototypenschutz und Risk Management im Jahre 2005 die ISO27001_VDA_14516 ISO_IEC TR entwickelt.
Zielsetzung war die ISO 27001 um die Anforderungen für den Produktschutz in der deutschen Automobilindustrie spezifisch zu ergänzen. Dabei ging es um die Informationssicherheit, den besonderen Schutz des Designs und der Innovation im Bereich der Entwicklung oder Testbetrieb von Prototypen oder Fahrzeugkomponenten sowie der Aufbau von Designmodellen zu schützen. Car-Clinicen, Fotoshootings und Event-Marketing waren damals nicht berücksichtigt. In den vergangenen 10 Jahren sind so unterschiedliche VDA ISA-Fragekataloge (Prüfungskataloge) des VDA entstanden, die alle auf der ISO 27001 beruhten und von den VDA-Mitgliedsunternehmen (z.B. OEM) angewendet wurden, um Lieferanten in diesem Feld zu prüfen. So konnte es vorkommen, dass ein Lieferant sich mehreren Audits durch unterschiedliche OEM oder Kunden in einem Jahr unterziehen musste.

Entwicklung eines TISAX Verfahrens

Um dieses ISA-Prüf-Verfahren zu vereinfachen und Mehrfachprüfungen abzuschaffen, hat der Arbeitskreis des VDA den TISAX (Trusted Information Security Assessment Exchange) - ein Prüf- und Austauschmechanismus entwickelt.
Dieser wurde von Mai 2016 bis 2017 als Konzeption in einer Pilotphase getestet und noch 2017 in den Betrieb überführt. Als Betreiber wurde, die im Jahre 2000 auf Betreiben des VDA gegründete ENX Association - als neutrale Partei mit der Durchführung von TISAX betraut.

In dem Verfahren meldet sich nun der Lieferant auf der TISAX Plattform des ENX an und hinterlegt dort sein erreichtes Level der TISAX Überprüfung. Die Überprüfung erfolgt durch bei der ENX zugelassenen Prüfungsorganisationen. Die ENX ist aber keine nationale anerkannte Normungs- bzw. Akkreditierungsstelle im Sinne der ISO Normen Umsetzung! Die TISAX Zertifikate (TISAX Labels) haben eine Laufzeit von 3 Jahren - wie ISO Zertifikate auch. Es erfolgen jedoch keine Jahresaudits wie bei der ISO27001.


TISAX Teilnehmer Entwicklung

TISAX VDA ISA Fragekatalog

In dem VDA ISA Fragekatalog (Prüfungskatalog) Version 4.0.3 vom 15.02.2018 wurden die Prüfungsgebiete Informationssicherheit, 23. Anbindung Dritter, 24. Datenschutz und 25. Prototypenschutz als Prüfungsinhalt festgelegt. Dabei erfolgt die Prüfung der Informationssicherheit entlang der Anforderungen ISO 27001 / ISO 27002 und ISO 27017 (Anforderungen Sicherheit in der Cloud) und es wird im TISAX VDA ISA Fragekatalog direkt auf die Norm referenziert. Grundsätzlich umfasst die TISAX Anforderung jedoch auch ein vollständiges ISMS - wie bei der ISO 27001.

In mach einem Beitrag über TISAX wird dargestellt, dass die ISO über ca. 120 Maßnahmeanforderungen im Anhang A hat und TISAX nicht einmal 60. Das ist so nicht korrekt, da TISAX teilweise in einem Prüfungspunkt mehrere ISO 27001 Anforderungen zusammen gefasst hat.

In dem VDA ISA Fragekatalog (Prüfungskatalog) Version 4.0.4 vom 12.06.2018 werden die Prüfungsgebiete Informationssicherheit, 23. Anbindung Dritter, und 25. Prototypenschutz als Prüfungsinhalt festgelegt. Der Datenschutz fehlt in dieser Version. Der Datenschutz wurde kurzfristig zurückgezogen, da dieser Teil nicht mehr der aktuellen Rechtslage entspricht. Hierbei gilt weiterhin die vollständige Umsetzung der Anforderungen des Datenschutzes - nach dem Update des Arbeitskreises Datenschutz, wird dieser Prüfungskatalog wieder aufgenommen werden.

UPDATE: Überarbeitung VDA ISA Fragekatalog ist nun geschehen und der Datenschutz befindet sich wieder im VDA ISA Fragebogen Version 4.0.5 (2019-07).

Bei der Überprüfung wird bei TISAX die Umsetzung und die Prozesse in Level 0-5 geprüft - quasi nach einem Reifegradmodell wie in COBIT, ISO15504 oder CMM, bewertet.

Somit kann man sagen, dass der VDA mit ENX und dem Prüfungsverfahren TISAX eine parallele Zertifizierungswelt für Informationssicherheit in der Automobilindustrie installiert hat. Dieser umfasst grundsätzlich einmal die Anforderungen der ISO 27001 ergänzt um weitere spezielle Prüfungsfelder. TISAX ist aber ein Prüfbescheinigung der Automobilindustrie. Ein grundsätzlicher Unterschied besteht auch in der Betrachtung der Informationssicherheit. ISO27001 hat den Fokus auf die eigene Informationssicherheit (auch mit der Regelung zu Prozessen außerhalb des eigenen ISMS und beigestellter Dokumente von Dritter). TISAX hat aber einen sehr großen Focus auf die Sicherheit der Informationen von Dritter im eigenen ISMS. Dies ist auch innerhalb der Risikoanalyse abzubilden.

TISAX ist keine ISO Norm und hat derzeit keine internationale Anerkennung außerhalb der Automobilbranche - es dient der Lieferantenzulassung im Automobilbereich, um die erweiterten Anforderungen im Bereich Anbindung Dritter und Prototypenschutz auf einer einheitlichen Basis nachzuweisen. Dafür wurde vom Arbeitskreis auch erweiterte Anforderungen (auch welche die als MUSS umzusetzen sind) ergänzt. Damit werden über die Anforderungen der ISO27001 hinausgehende Anforderungen in bestimmten Teilen formuliert. Mit dem Reifegrad Konzept versucht TISAX den Unternehmen eine Hilfestellung für die Umsetzung der Anforderungen zu geben. Zielsetzung von TISAX ist auch die internationale Anerkennung zu verstärken, d.h. derzeit sind ja schon OEM wie Renault auf EU Ebene eingebunden und durch die internationalen Produktionsstandorte reichen TISAX Audits schon heute in Ländern wie Spanien oder Polen und bis nach CHINA. Zukünftig soll TISAX aber auch bei USA OEM eingeführt werden.

Eine ISO27001 ist jedoch ein international anerkannter Nachweis ohne Branchenbezug, der weltweit anerkannt wird. Die zwei Prüfgebiete Anbindung Dritter und Prototypenschutz sind dabei nicht Prüfungsinhalt. Bei einer ISO Zertifizierung wird auch nicht ein Umsetzungsreifegrad (Level) geprüft, sondern ob die Anforderungen erfüllt sind - also ein ja oder nein. Das Prüfungsverfahren ist somit härter!

Der VDA hat das Thema im Bereich der Lieferantenzulassung für seine Mitglieder schon seit langen Jahren bearbeitet. Das Bundesamt für Sicherheit (BSI) mit dem Grundschutz und später mit dem Grundschutz auf Basis der ISO 27001 und BSI-Zertifizierung auf Basis ISO27001 vornehmlich für den Öffentlichen Dienst ebenso.
In letzter Zeit beobachtet man in Deutschland unterschiedliche Bemühungen, die Sicherheit für die Informationsverarbeitung zu verbessern. So schließen sich nun auch Unternehmen wie BASF, Allianz, Bayer in Arbeitsgesellschaften zusammen, um die Sicherheit gemeinsam in Deutschland zu verbessern und Ressourcen zu schonen.

In wieweit hier Zertifikate untereinander anerkannt werden, bleibt zu beobachten. Derzeit gibt es nur eine ISO27001, die international weltweit anerkannt wird.
TISAX ist wie gesagt, ein Prüfungsstandard der Automobilindustrie, der hauptsächlich für die Lieferantenzulassung genutzt wird. BMW und VW machen dies ab 2018 zur Bedingung. Andere werden sicherlich folgen.

Es ist aber sicherlich nicht so, wie im Internet auf manchen Seiten dargestellt wird, dass TISAX nun die ISO27001 ersetzt oder ein besserer Weg sei. Vielleicht besser gesagt ist es so, dass wer eine ISO27001 bereits hat - der hat normalerweise einen kurzen Weg zur TISAX (er hat ja schon ein ISMS umgesetzt, was aber ergänzt und angepasst werden muss).

Und wer TISAX macht, der hat fast schon ein vollständiges ISMS nach ISO27001 erarbeitet, welches er sich normalerweise ohne viel zusätzlichen Aufwand mit einem international anerkannten ISO27001 Zertifizierung bestätigen lassen könnte. Ist er ein Automobillieferant hat er zusätzlich einen nun notwendigen Nachweis für den Prototypenschutz und Anbindung Dritter um eine Lieferantenzulassung zu erreichen.

Das nutzt derzeit aber nur einem Lieferanten in der Automobilindustrie etwas - für die Lieferantenzulassung. In anderen Branchen sieht es anders aus.
AUSBLICK

Kontaktinformationen
+49 (0) 7031.4181-860
contact(@)consuvation.com
CONSUVATION GmbH
Tilsiter Straße 6
71065 Sindelfingen
Deutschland
MONTAG-FREITAG 09:00 - 17:00
SAMSTAG-SONNTAG geschlossen
Bildnachweise für diese Seite:
pixabay.com | Lizenztyp: Pixabay License | Freie kommerzielle Nutzung - Kein Bildnachweis nötig
stock.adobe.com für Risikomanagement-Kompass (AdobeStock_87309059)
consuvation.com
--------------------------------------------------------------------------------------------
Markenhinweise auf dieser Seite:
TISAX ® ist eine eingetragene Marke der ENX Association
ISO ® ist eine eingetragene Marke der International Organization for Standardization
ONR ®, ÖNORM ® und ASI ® sind eingetragene Marken des Österreichischen Normungsinstitut
DIN ® ist eine eingetragene Marke des Deutsches Institut für Normung
 
Bei der Nennung von Marken handelt es sich ausschließlich um eine Bestimmungsangabe zur Erklärung von Nutzungsmöglichkeiten der von CONSUVATION angebotenen Dienstleistungen oder Produkte. Es besteht keinerlei Geschäfts- oder Handelsbeziehungen zwischen CONSUVATION und dem Markeninhaber - dies ist auch in keinerlei Weise beabsichtigt., Sollte eine derartige Beziehung bestehen, wird auf diese hingewiesen. Eine weitere Möglichkeit für die Nennung von Marken kann in der redaktionellen Verwendung begründet sein.




 Bitte Kontakt zu Beratung aufnehmen
 Bitte Kontakt zu TX Portal Lösung aufnehmen
 Bitte Kontakt zu Schulungen aufnehmen
 Bitte Kontakt zu IS Beauftragter aufnehmen
 Flyer - TISAX pragmatisch einführen
 Whitepaper - TISAX - Bedeutung und Umsetzung


(Bitte Pflichtfelder* ausfüllen)

CONSUVATION GmbH
Tilsiter Straße 6
71065 Sindelfingen
Deutschland
+49 (0) 7031.4181-860
contact(@)consuvation.com
MONTAG-FREITAG
09:00  - 17:00
SAMSTAG -SONNTAG
geschlossen
CONSUVATION GmbH  | CONSUVATION Akademie
(c) CONSUVATION GmbH
Hier finden Sie Informationen
zu unserem Unternehmen
Hier finden Sie Informationen zum
Datenschutz
Hier können Sie direkt mit uns
Kontakt aufnehmen

Wir erfüllen folgende Normen: ISO 9001, ISO 14001, ISO 27001, ISO 31000 / ONR 49001 und ISO 22301

Die Übermittlung Ihrer  Daten in unseren Kontaktformularen erfolgt verschlüsselt. Wollen Sie das  Kontaktformular nicht nutzen wollen, können Sie uns gerne auch direkt eine Email senden oder anrufen. Wir verarbeiten Ihre Daten aus dem Kontaktformular oder Email ausschließlich zur Bearbeitung Ihrer Anfrage und gegeben diese nicht an Dritte weiter. Dabei halten wir die Anforderungen der Datenschutz Grundverordnung (DS GVO) und BDSG-neu ein.
Zurück zum Seiteninhalt