Sie möchten mit Ihrem Unternehmen die TISAX-Zertifizierung bestehen?
Als Softwareentwicklungs- und Beratungsunternehmen verbinden wir Geschäftsprozesse mit Privacy By Design. Wir bringen das fachliche Know-how mit, welches Sie benötigen.
Rufen Sie uns direkt an und wir besprechen, wie wir Sie im Detail unterstützen können. Vereinbaren Sie dazu einen kostenlosen Beratungstermin.
Lassen Sie uns zunächst die Begrifflichkeit klären. Oft kommt es nämlich vor, dass Informationssicherheit und Datenschutz als Synonyme verwendet oder ihre Anwendungsgebiete verwechselt werden.
Die beiden Themen greifen ineinander, dabei ist die Informationssicherheit umfassender und lässt sich als übergeordnetes Thema bezeichnen, welches einige Punkte des Datenschutzes aufgreift.
Im Detail beschrieben bedeuten die beiden Begriffe folgendes:
Bei der Informationssicherheit geht es um die Integrität, die Vertraulichkeit und Verfügbarkeit von Informationen im Unternehmen. Dabei können Unternehmen nach den eigenen Interessen Konzepte aufstellen und diese durchsetzen. Die Daten im System sollen auf diese Weise vor Zugriffen durch Unbefugte und vor Manipulation geschützt werden.
Beim Datenschutz spielen ausschließlich Daten mit Personenbezug eine Rolle. Die Anforderungen hierbei sind gesetzlich vorgeschrieben, so dass sich Unternehmen an strikte Vorgaben halten müssen. Diese wurden zuletzt durch die Einführung der DSGVO verschärft.
Da im Umgang mit Kunden, Mandanten oder Patienten oftmals personenbezogene Daten erhoben und gespeichert werden, greifen die Anforderungen von Datensicherheit und Datenschutz gleichermaßen.
Informationssicherheit und Datenschutz verfolgen zu 80% die gleichen Ziele. Der Unterschied liegt in der Datenminimierung (Datenschutz) und Datensammlung (Informationssicherheit).
Die große Herausforderung ist das Einhalten von gesetzlichen Vorgaben, gegenüber dem Durchsetzen von Eigeninteressen des Unternehmens.
Als new direction beraten wir vor allem KMU-Unternehmen zur zielführenden Umsetzung der Informationssicherheit.
Wird über Informationssicherheit gesprochen, kommt immer die Norm ISO 27001 ins Spiel. Diese kann grundsätzlich für jedes Unternehmen angewandt werden, doch in der Automobilindustrie wurde die Anwendung nochmal spezifiziert.
TISAX, steht für Trusted Information Security Assessment Exchange und ist eine seit 2017 durch den Branchenverband VDA eingeführter Standard der Informationssicherheit im deutschen Automobilsektor.
Von der ISO/IEC 27001 zur TISAX Zertifizierung
Die Anforderungen an den Produktschutz in der deutschen Automobilindustrie sind durch die ISO-Norm nicht berücksichtigt. Das bezieht sich insbesondere auf den Schutz von Designs, Prototypen und Fahrzeugkomponenten.
Mit der TISAX lassen sich auch diese Bereiche abdecken. Zudem hat die TISAX-Zertifizierung ein einfacheres Prüfverfahren, als die ISO-Norm in Kombination mit weiteren Tests.
Das TISAX-Modell zeichnet sich demnach durch folgende Punkte aus:
So funktioniert das TISAX-Verfahren
Als Lieferant melden Sie sich auf der TISAX-Plattform der ENX Association an und geben Ihr Assessment-Level, also mit oder ohne Prototypenschutz usw. an. Über die Plattform können Sie im späteren Verlauf Ihre Ergebnisse einsehen. Die Plattform dient der Kontrolle, so dass die Prüfungen rechtens ablaufen.
Die Überprüfung wird von einem akkreditierten Prüfdienstleister durchgeführt.
Die new direction unterstützt Sie bei der Wahl eines geeigneten Prüfdienstleisters.
Die Prüfung findet anschließend in zwei Schritten statt. Anhand des TISAX-Fragenkataloges wird eine Dokumentenprüfung (nicht vor Ort) durchgeführt. Das anschließende Assessment findet je nach Schutzbedarfskategorie vor Ort statt.
Anhand eines Zwischenberichts werden mögliche Lücken besprochen und Maßnahmen zur Schließung vereinbart.
Sofern Maßnahmen notwendig sind, wird ein Zeitraum vereinbart, in welchem die einzelnen Schritte umzusetzen sind. Nach Schließung der Lücken wird eine erneute Bedarfsprüfung veranstaltet.
Das Ergebnis und der Abschlussbericht werden in der TISAX-Plattform hochgeladen. Dort können Sie diese als Lieferant einsehen. Die Prüfung ist für 3 Jahre gültig. Mit der Zertifizierung können Sie im Markt als TISAX-geprüfter Anbieter auftreten, das Siegel bzw. Prüflabel verwenden. Ihr Vorteil: sie sichern sich einen Wettbewerbsvorteil bei der Vergabe von Aufträgen und erhalten von Anfang an einen Vertrauensvorschuss in die Geschäftsbeziehungen.
Fragenkatalog: Das sind die Anforderungen von TISAX
Dabei wird die Umsetzung mittels eines Reifegrad-Modells bewertet. Dieses Modell reicht von Level 0 bis Level 5 und geht dabei auf die einzelnen Anforderungen ein.
Basierend auf der ISO 27001:2013 mit zusätzlichen Controls für die Überprüfung des Information Security Management Systems (ISMS) wird der Fragenkatalog stets weiterentwickelt und aktualisiert.
Den vollständigen Katalog können Sie sich bei der VDA herunterladen und bereits ein erstes Self-Assessment durchführen.
TISAX Workshop - Garantiert zur bestandenen Zertifizierung
Dauerhafte Begleitung mit unserer TISAX Beratung
Vereinbaren Sie für ein erstes Kennenlernen gerne ein unverbindliches Beratungsgespräch, in dem wir die gemeinsam ersten Schritte zu einer erfolgreichen Zertifizierung gehen.
Seit Mai 2018 gilt die neue europaweite Datenschutzgrundverordnung. Diese verschärft gegenüber dem bis dahin geltenden Bundesdatenschutzgesetz den Umgang mit personenbezogenen Daten.
Zusammengefasst kommt es für Unternehmen bei der Einhaltung der DSGVO auf folgende Punkte an:
Die DSGVO schreibt vor, dass es für Unternehmen, die personenbezogene Daten (von Mitarbeitern oder Kunden) automatisiert verarbeiten, Pflicht ist, einen Datenschutzbeauftragten zu bestellen. Die Ausnahme betrifft kleine Unternehmen. Diese Vorschrift gilt erst sofern mehr als 9 Personen im Unternehmen regelmäßig mit personenbezogenen Daten zu tun haben.
In größeren Unternehmen muss entweder ein Datenschutzbeauftragter intern benannt oder ein externer Datenschutzbeauftragter bestellt werden.
Zu den Aufgaben eines Datenschutzbeauftragten zählen:
Sofern Sie als Unternehmen einen Datenschutzbeauftragten bestellen müssen, haben Sie zwei Möglichkeiten:
Neben dem Fachwissen hat die zweite Möglichkeit eines externen Datenschutzbeauftragten weitere Vorteile für Ihr Unternehmen:
Wir betreuen Sie zum Thema Datenschutz
Neben unserem Wissen zur Informationssicherheit haben wir bei der new direction auch die Expertise zum Thema Datenschutz. Das bietet Ihnen die Möglichkeit, alles aus einer Hand zu bekommen.
Sichern Sie sich Ihr unverbindliches Erstgespräch und wir beraten Sie, welche Anforderungen für Ihr Unternehmen umgesetzt werden müssen.