TISAX-Zertifizierung: Sicher ist man nur gemeinsam!

Daten sind das wertvollste Gut des 21. Jahrhunderts. Es existieren Geschäftsmodelle, die nur deshalb aufgebaut sind, um mit Daten zu handeln. „Knowledge is the solution!“, wie wir bei MS POS gerne zu sagen pflegen. Daten sind also nicht nur ein wertvolles, sondern auch ein begehrenswertes Gut. Als IT-Verantwortlicher in einem Unternehmen steht man daher vor einer großen Herausforderung. Wie kann man sicherstellen, dass mit Daten richtig umgegangen wird und diese geschützt sind? Und selbst wenn man in puncto Cyber-Security gut aufgestellt ist – was ist mit Kunden und Lieferanten, mit denen man als Unternehmen Daten teilt? Hierzu werfen wir einen Blick auf die Automobilindustrie, deren Verband sich 2017 auf einen einheitlichen Standard geeinigt hat, den so genannten Trusted Information Security Assessment Exchange, kurz: TISAX.

Was ist TISAX?

Daten- und Informationssicherheit sind der zentrale Knackpunkt jeden IT-Administrators. Leider kann man aber nur verwalten und kontrollieren, was in den eigenen Wänden passiert. Sobald Daten an Dritte übermittelt werden und diese dort nicht genauso gut geschützt sind, verliert man die Kontrolle. Deshalb hat der VDA (Verband der Automobilindustrie) einen Standard namens TISAX erarbeitet. TISAX ist eine abgeleitete Form des ISO2700X Standards. Jedes Unternehmen kann sich einer Prüfung nach VDA ISA (ISA = Information Security Assessment) unterziehen und erhält bei Bestehen die TISAX Zertifizierung. Diese Zertifizierung kann anschließend einem Geschäftspartner vorgezeigt werden, damit dieser sicherstellen kann, dass alle Daten entsprechend geschützt sind. Das Zertifikat ist im Onlineportal der ENX Association hinterlegt und kann zur Einsicht freigegeben werden. Im ENX Portal wird dabei nicht zwischen Lieferanten und Kunden unterschieden. Jeder gilt als TISAX-Teilnehmer und es bleibt jedem selbst überlassen, in welchem Umfang und mit wem man seine Prüfungsergebnisse teilt.

Die Prüfziele

Der wichtigste Schritt bei der Definition des Scopes ist die Auswahl der Prüfziele. Die Prüfziele bestimmen die Anforderungen, die Ihr Informationssicherheitsmanagementsystem (ISMS) erfüllen muss und richten sich nach der Art der zu verarbeitenden Daten.

Die aktuellen Prüfziele sind:

  1. Informationen mit hohem Schutzbedarf
  2. Informationen mit sehr hohem Schutzbedarf
  3. Schutz von Prototypen-Bauteilen und -Komponenten
  4. Schutz von Prototypenfahrzeugen
  5. Umgang mit Erprobungsfahrten
  6. Schutz von Prototypen während Veranstaltungen und Film- und Fotoshootings
  7. Datenschutz
  8. Datenschutz bei besonderen Kategorien personenbezogener Daten

Prüfziele sind voneinander abhängig. So können z.B. nicht „Informationen mit sehr hohem Schutzbedarf“ geprüft werden ohne auch „Informationen mit hohem Schutzbedarf“ zu prüfen.

Assessment-Level

Oft kommt es vor, dass ein Partner für die Zertifizierung ein bestimmtes Assessment-Level (AL) fordert. Daher sind die Prüfziele jeweils einem sogenannten „Assessment-Level“ zugeordnet. Es existieren Level 1 – 3.

3 ist das höchste und damit sicherste Level, das auch wir als MS POS GmbH anstreben. Für ein AL3 finden die Interviews in jedem Fall persönlich statt und es wird eine Vor-Ort-Prüfung durchgeführt.

Die Prüfung

Nach der Anmeldung und vor der Prüfung müssen noch zwei wichtige Dinge geklärt werden: Der Prüfdienstleister und die Selbsteinschätzung.

Der Aufwand der Prüfung selbst ist abhängig vom Umfang, Anzahl der Standorte, dem angestrebten AL und natürlich der Gründlichkeit der Vorbereitung. Für einen Standort mit 5-25 Mitarbeitern sollte ein Werktag ausreichend sein. Werden Mängel festgestellt, müssen diese behoben werden und es findet eine Nachprüfung statt. Der gesamte Prüfprozess darf eine Dauer von 9 Monaten nicht überschreiten.

Nach erfolgreicher Prüfung wird ein TISAX-Label ausgestellt. Dieses Label ist drei Jahre gültig und kann mit anderen TISAX-Teilnehmern über die ENX Plattform geteilt werden.

Im Moment setzen wir uns selbst intensiv mit dem Thema TISAX auseinander.

Für mehr Informationen zur TISAX – Zertifizierung können Sie einen Blick ins Handbuch der ENX Association werfen, dort ist der komplette Prozess sehr anschaulich erklärt!

//neu.ms-pos.net/wp-content/uploads/2020/06/MS-POS-Logo-weiß-transparent-1.png
MS POS - Kassensysteme für Retail und Gastronomie 
de_DEDE