Die geschätzte Lesezeit für den Prüfungsabschnitt beträgt 30-35 Minuten.
5.1. Überblick
Die TISAX-Registrierung ist Ihr zweiter Schritt. Hier erledigen Sie die meiste Arbeit der TISAX-Prüfung.
Die folgenden Abschnitte führen Sie durch die Prüfung:
Wir beginnen mit der Erläuterung, wie Sie die ISA-Selbsteinschätzung verwenden, um herauszufinden, ob Sie auf eine TISAX-Prüfung vorbereitet sind.
Dann beraten wir Sie, wie Sie einen unserer TISAX-Prüfdienstleister auswählen.
Anschließend beschreiben wir Ihren Weg durch den Prüfprozess.
Am Ende erklären wir Ihnen das „Prozessergebnis“: Ihr Prüfergebnis und die damit verbundenen TISAX-Labels.
5.2. Selbsteinschätzung auf Basis des ISA
Um für eine TISAX-Prüfung bereit zu sein, muss in erster Linie Ihr Informationssicherheitsmanagementsystem (ISMS) in Bestform sein. Um herauszufinden, ob Ihr ISMS dem erwarteten Reifegrad entspricht, müssen Sie eine Selbsteinschätzung auf Basis des ISA durchführen.
Der ISA ("Information Security Assessment") ist ein vom "Verband der Automobilindustrie e.V." (VDA) herausgegebener Kriterienkatalog. Es ist der Branchenstandard der Automobilindustrie für Informationssicherheits-Assessments.
In den folgenden Abschnitten geben wir Ihnen praktische Hinweise zur Durchführung einer Selbsteinschätzung auf Basis des ISA.
Die Erläuterungen, Beispiele und Screenshots in diesem Handbuch basieren Version 5 des ISA.
| Bitte beachten Sie: Informationen über Änderungen gegenüber vorigen Versionen des ISA finden Sie dessen Excel-Tabellenblatt „Änderungshistorie“. |
| Bitte beachten Sie: Informationen darüber, welche ISA-Version für Ihre Prüfung gilt, wenn der VDA eine neue Version veröffentlicht, finden Sie in Abschnitt 7.11, “Anhang: ISA-Lebenszyklus-Management”. |
5.2.1. Laden Sie das ISA-Dokument herunter
Starten Sie Ihre Selbsteinschätzung mit dem Download des ISA-Dokuments.
Sie können es auf unserer Website herunterladen:
enx.com/de-de/TISAX/downloads/
Direkter Excel-Datei-Download: portal.enx.com/isa5-de.xlsx
Das ISA-Dokument ist auch in englischer Sprache erhältlich:
enx.com/en-US/TISAX/downloads/
5.2.2. Das ISA-Dokument verstehen
Bevor Sie mit Ihrer Selbsteinschätzung beginnen, finden Sie hier einige Erklärungen, die hilfreich für Sie sein könnten. Diese stellen wir zusätzlich zu den offiziellen Erläuterungen und Definitionen im ISA-Dokument zur Verfügung, wobei der Schwerpunkt auf der Verwendung für TISAX-Prüfungen liegt.
5.2.2.1. Kriterienkataloge
Der ISA enthält derzeit drei „Kriterienkataloge“[13]:
| | |
|---|---|---|
1. | Informationssicherheit | Information Security |
2. | Prototypenschutz | Prototype Protection |
3. | Datenschutz | Data Protection |
Jeder Kriterienkatalog hat sein eigenes Excel-Tabellenblatt:
Abbildung 10. Screenshot: ISA-Kriterienkataloge als Excel-Tabellenblätter
Welcher Kriterienkatalog ist für Sie relevant? Das hängt von Ihrem Prüfziel ab.
Jedes Prüfziel definiert, welche Anforderungen aus welchem Kriterienkatalog gelten. Für einige Prüfungsziele gelten nur Anforderungen aus einem Kriterienkatalog, für andere gelten Anforderungen aus mehr als einem Kriterienkatalog.
Die vorgenannten Prüfziele sind diesen Kriterienkatalogen zugeordnet:
| Nr. | Prüfziel ( Assessment objective) | ISA-Kriterienkatalog(e) |
|---|---|---|
1. | Info high | Informationssicherheit |
2. | Info very high | Informationssicherheit |
3. | Confidential | Informationssicherheit |
4. | Strictly confidential | Informationssicherheit |
5. | High availability | Informationssicherheit |
6. | Very high availability | Informationssicherheit |
7. | Proto parts | Prototypenschutz |
8. | Proto vehicles | Prototypenschutz |
9. | Test vehicles | Prototypenschutz |
10. | Proto events | Prototypenschutz |
11. | Data | Informationssicherheit |
12. | Special data | Informationssicherheit |
Beispiel: Wenn Sie das Prüfziel „Datenschutz“ gewählt haben, müssen Sie die Fragen im Kriterienkatalog „Informationssicherheit“ UND im Kriterienkatalog „Datenschutz“ beantworten.
Sie haben vielleicht bemerkt, dass es mehr als ein Prüfziel pro Kriterienkatalog gibt. Wie finden Sie heraus, welche Anforderungen für welches Prüfziel gelten?
Die folgende Tabelle zeigt Ihnen die geltenden Anforderungen:
| Nr. | Prüfziel ( Assessment objective) | Geltende Anforderungen |
|---|---|---|
1. | Info high |
|
2. | Info very high |
|
3. | Confidential |
|
4. | Strictly confidential |
|
5. | High availability |
|
6. | Very high availability |
|
7. | Proto parts |
|
8. | Proto vehicles |
|
9. | Test vehicles |
|
10. | Proto events |
|
11. | Data |
|
12. | Special data |
|
| Bitte beachten Sie: Jede Anforderung in den beiden Spalten „Zusatzanforderungen bei hohen Schutzbedarf“ und „Zusatzanforderungen bei sehr hohen Schutzbedarf“ ist entweder mit einem „C“ wie in Confidentiality ( Wenn die obige Tabelle die Anforderungen in den beiden Spalten auf die mit einem der oben genannten Buchstaben gekennzeichneten Anforderungen eingrenzt, schließt dies immer auch die Anforderungen ein, die mit mehr als diesem Buchstaben gekennzeichnet sind. Beispiel: Alle Anforderungen, die mit „(C)“, „(C, I, A)“ oder „(C, I)“ gekennzeichnet sind, gelten dort, wo in der obigen Tabelle „C“ angegeben ist (z. B. im Prüfziel „Special data“). |
Der folgende Screenshot zeigt die Hauptelemente der Kontrollfragen im Kriterienkatalog „Informationssicherheit“. (Die anderen Kriterienkataloge haben nur eine Teilmenge dieser Elemente.) Wir erklären alle Elemente weiter unten.
Abbildung 11. Screenshot: Hauptelemente der Fragen im ISA-Kriterienkatalog „Informationssicherheit“
5.2.2.2. Kapitel
Jeder Kriterienkatalog fasst die Fragen in Kapiteln zusammen.
Beispiel: „2 Human Resources“
Die Gruppierung basiert auf den typischen Verantwortlichkeiten in einem Unternehmen. Diese Abteilungen werden in der Spalte "Üblicher Prozessverantwortlicher" angegeben ("HR" im obigen Beispiel).
5.2.2.3. Kontrollfragen
Die Fragen zu den einzelnen Kriterienkatalogen finden Sie in den jeweiligen Excel-Tabellenblättern.
Beispiel: „4.1.2 Inwieweit wird der Zugang von Benutzern zu Netzwerkdiensten, IT-Systemen und IT-Anwendungen gesichert?”
Die Kontrollfragen werden auch als „Controls“ bezeichnet. Das ist „Prüfdienstleister-Jargon“. Die ISO-Standards, auf denen der ISA aufbaut, verwenden den Begriff „Control“.
5.2.2.4. Formularfelder für die Selbsteinschätzung
Zwischen den Spalten „Reifegrad“ und „Kontrollfrage“ befinden sich Formularfelder, die Sie für eine Selbsteinschätzung ausfüllen müssen:
| Formularfeld | Zweck | Pflichtfeld? |
|---|---|---|
Beschreibung der Umsetzung | Hier sollten Sie kurz beschreiben, was Sie umgesetzt haben, um diese Frage in Ihrem Unternehmen zu beantworten. | Ja |
Referenz Dokumentation | Hier sollten Sie angeben, in welchen Dokumenten Sie die Umsetzung nachweisen. | Ja |
Feststellungen/Prüfergebnis | Hier können Sie alle Feststellungen aufschreiben, bei denen Ihrer Meinung nach eine Lücke zwischen dem, was sein sollte und dem, was ist, besteht. | Nein |
Nur die kurze Beschreibung Ihrer Umsetzung und der Verweis auf Ihre Dokumentation sind Pflichtangaben. Diese Informationen helfen unseren TISAX-Prüfdienstleistern, Ihr Unternehmen besser zu verstehen und die Prüfung vorzubereiten.
Es gibt weitere optionale Spalten, um Sie bei Ihrer Selbsteinschätzung zu unterstützen:
Maßnahmen/Empfehlungen (Spalte R)
Datum der Feststellung (Spalte S)
Datum der Erledigung (Spalte T)
Verantwortliche Abteilung (Spalte U)
Kontakt (Spalte V)
| Wichtiger Hinweis: Wenn Sie die heruntergeladene Excel-Datei öffnen und eines der Kriterienkatalog-Tabellenblätter auswählen (z. B. Informationssicherheit), werden Sie wahrscheinlich nicht sofort die Formularfelder für die Selbsteinschätzung sehen. Um sie anzuzeigen, müssen Sie auf die Gruppierungsschaltfläche für die Ebene „2“ klicken[14]. Sie finden die Schaltfläche ein wenig oberhalb und links von Zelle C1. Dadurch wird die Ansicht erweitert, um die Formularfelder für die Selbsteinschätzung anzuzeigen. Ein weiterer Tipp ist, mit den Pfeiltasten nach unten zu scrollen. Da die Zellen sehr groß sind, kann das Scrollen mit dem Scrollbalken sehr gute feinmotorische Fähigkeiten erfordern. Wenn Sie die Scroll-Funktion Ihres Zeigegeräts verwenden, könnten Sie außerdem unfreiwillig einige der größeren Zellen „überspringen“. |
5.2.2.5. Ziel
Rechts der Spalte „Kontrollfrage“ befindet sich die Spalte „Ziel“ (Spalte J). Deren Inhalt beschreibt, was Sie in Bezug auf diesen Aspekt Ihres Informationssicherheitsmanagements erreichen müssen.
Beispiel (zur Kontrollfrage 4.1.2): „Um die Berechtigung für den physischen Zutritt wie auch elektronischen Zugang zu prüfen, werden oft Identifikationsmittel wie Schlüssel, Sichtausweise oder kryptographische Tokens verwendet. Die Schutzmerkmale sind nur dann verlässlich, wenn der Umgang mit solchen Identifikationsmitteln adäquat gehandhabt wird.“
5.2.2.6. Anforderungen
Um das Ziel zu erreichen, wird von Ihnen erwartet, diese Anforderungen zu erfüllen.
Die Anforderungen sind über vier Spalten verteilt:
Anforderungen (muss) (Spalte K)
Anforderungen (sollte) (Spalte L)
Zusatzanforderungen bei hohem Schutzbedarf (Spalte M)
Zusatzanforderungen bei sehr hohem Schutzbedarf (Spalte N)
Sie müssen alle Anforderungen bis zu dem Schutzbedarf erfüllen, den Sie erreichen müssen (welchen Sie aus Ihrem Prüfziel ableiten können).
Für einige Prüfziele gilt nur eine Teilmenge der Anforderungen. Weitere Informationen zu den geltenden Anforderungen finden Sie in Tabelle 8, “Geltung der Anforderungen für die Prüfziele” in Abschnitt 5.2.2.1, “Kriterienkataloge” und insbesondere im Hinweis am Ende des Abschnitts.
Weitere Informationen zu den ISA-Definitionen der Anforderungsstufen "muss" und "soll" finden Sie unter "Schlüsselbegriffe" im Excel-Tabellenblatt "Definitionen".
| Wichtiger Hinweis: Es ist sehr wichtig, dass Sie verstehen, dass Sie jede Anforderung im Kontext und im Sinne des Ziels interpretieren müssen. Selbst wenn Sie eine Anforderung buchstabengetreu erfüllen, ist das keine Garantie dafür, dass der Prüfdienstleister bestätigt, dass Sie sie im Kontext und im Sinne des Ziels (Spalte J) erfüllen. Die Anforderungen und deren Formulierung basieren auf einer theoretischen Umsetzung durch ein fiktionales Durchschnittsunternehmen unbekannter Größe. Der Prüfdienstleister muss immer das Ziel gegen die einzigartige Umsetzung in Ihrem Unternehmen abwägen. Was für das durchschnittliche Unternehmen angemessen ist, kann in Ihrer speziellen Situation nicht ausreichend sein. Weitere Informationen finden Sie in Abschnitt 5.2.5, “Befassen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung”. |
5.2.2.7. Reifegrade
Der ISA verwendet das Konzept der „Reifegrade“, um die Qualität aller Aspekte Ihres Informationssicherheitsmanagementsystems zu bewerten. Je ausgereifter Ihr Informationssicherheitsmanagementsystem ist, desto höher wird Ihr Reifegrad sein.
Der ISA unterscheidet sechs Reifegrade. Die detaillierte Definition finden Sie im Excel-Tabellenblatt „Reifegrade“. Für eine konsolidierte Sicht auf die Reifegrade zitieren wir aus den Kurzbeschreibungen des ISA:
| Reifegrad | In einem Wort | Beschreibung |
|---|---|---|
Unvollständig | Es gibt keinen Prozess, es wird keinem Prozess gefolgt oder der Prozess ist nicht geeignet, um das Ziel zu erreichen. | |
1 | Durchgeführt | Es wird einem nicht oder unvollständig dokumentierten Prozess gefolgt („informeller Prozess“) und es existieren Indizien, dass er sein Ziel erreicht. |
2 | Gesteuert | Es wird einem Prozess gefolgt, der seine Ziele erreicht. Prozessdokumentation und Prozessdurchführungsnachweise sind vorhanden. |
3 | Etabliert | Es wird einem Standardprozess gefolgt, der in das Gesamtsystem integriert ist. Abhängigkeiten zu anderen Prozessen sind dokumentiert und geeignete Schnittstellen geschaffen. Es existieren Nachweise, dass der Prozess über einen längeren Zeitraum nachhaltig und aktiv genutzt wurde. |
4 | Vorhersagbar | Es wird einem etablierten Prozess gefolgt. Die Wirksamkeit des Prozesses wird durch Erheben von Kennzahlen kontinuierlich überwacht. Es sind Grenzwerte definiert, bei denen der Prozess als nicht hinreichend wirksam angesehen wird und angepasst werden muss. (Key Performance Indicators) |
5 | Optimierend | Es wird einem vorhersagbaren Prozess gefolgt, bei dem die kontinuierliche Verbesserung wesentliches Ziel ist. Die Verbesserung wird von dedizierten Ressourcen aktiv vorangetrieben. |
Sie müssen den Reifegrad Ihres Informationssicherheitsmanagementsystems für jede Frage bewerten.
Geben Sie Ihren Reifegrad in der Spalte „Reifegrad“ (Spalte E) ein.
Abbildung 12. Screenshot: Beispiel für die Reifegrade-Auswahl im ISA-Dokument (Excel-Tabellenblatt „Informationssicherheit“)
Weitere Informationen zu den Zielreifegraden und deren Auswirkungen auf Ihr Prüfergebnis finden Sie in Abschnitt 5.2.4, “Interpretieren Sie das Ergebnis der Selbsteinschätzung”.
Mit diesem besseren Verständnis sind Sie nun bereit, mit der Selbsteinschätzung zu beginnen.
5.2.3. Führen Sie die Selbsteinschätzung durch
Öffnen Sie die Excel-Datei und gehen Sie alle Kontrollfragen der einzelnen Kriterienkataloge durch, die für Ihr(e) Prüfziel(e) gelten, und ermitteln Sie den Reifegrad, der dem aktuellen Stand Ihres Informationssicherheitsmanagementsystems entspricht. Tun Sie dies nach bestem Wissen und Gewissen. Es gibt kein Richtig oder Falsch in diesem Stadium.
Nachdem Sie die Selbsteinschätzung abgeschlossen haben, sollte die Spalte „Ergebnis“ (H) im Excel-Tabellenblatt „Ergebnisse (ISA5)“ vollständig ausgefüllt sein, entweder mit Zahlen (0-5) oder „n.a.“ (wie in „not applicable“).
Abbildung 13. Screenshot: Beispiel für „Ergebnisse (ISA5)“-Tabellenblatt im ISA-Dokument
Wenn Sie Fragen zum ISA haben, sprechen Sie uns bitte an.
5.2.4. Interpretieren Sie das Ergebnis der Selbsteinschätzung
Die nächsten fünf Unterabschnitte erklären, wie Sie das Ergebnis Ihrer Selbsteinschätzung analysieren und interpretieren können. Die Analyse zeigt Ihnen, ob Sie für eine TISAX-Prüfung bereit sind oder (noch) nicht.
5.2.4.1. Analyse
Ihr Ergebniswert fasst das Ergebnis der Selbsteinschätzung zusammen.
Das Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad „) finden Sie im Excel-Tabellenblatt „Ergebnisse (ISA5)“ (Zelle D6). Wir werden die „Kürzung“ gleich erklären.
Abbildung 14. Screenshot: Ihr Ergebnis und das maximale Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“, Zelle D6 und G6)
Um das Ergebnis Ihrer Selbsteinschätzung und Ihren Ergebniswert zu verstehen und anschließend zu interpretieren, müssen Sie zwischen zwei Analyse-Ebenen unterscheiden:
Frage-Ebene
Auf dieser Ebene finden Sie alle Fragen. Für jede Frage gibt es einen Zielreifegrad und Ihren Reifegrad.Ergebnis-Ebene
Auf dieser Ebene finden Sie das Gesamtergebnis, das die Ergebnisse aller Fragen zusammenfasst. Es gibt ein maximales Ergebnis und Ihr Ergebnis.
Die folgende Abbildung zeigt die Analyse-Ebenen:
Abbildung 15. Analyse des Ergebnisses der Selbsteinschätzung auf Frage-Ebene und Ergebnis-Ebene
Die folgende Abbildung zeigt Ihnen, wo Sie die Ergebnisse auf der Ergebnis-Ebene auf der Frage-Ebene finden:
Abbildung 16. Ergebnis-Ebene und Frage-Ebene im Excel-Tabellenblatt „Ergebnisse (ISA5)“
Die nächste Abbildung zeigt eine vereinfachte Darstellung der Analyse-Ebenen, den ISA-Zielvorgaben und Ihrer eigenen Ergebnisse:
Abbildung 17. Die Vorgaben und Ihr Ergebnis auf Frage- und Ergebnis-Ebene
In den folgenden Abschnitten finden Sie eine detaillierte Erläuterung zum Ergebnis und seiner Analyse.
5.2.4.2. Der Zielreifegrad (auf Frage-Ebene)
Der ISA definiert für jede Frage einen „Zielreifegrad“ von 3.
Weitere Informationen zur Definition der einzelnen Reifegrade finden Sie in Abschnitt 5.2.2, “Das ISA-Dokument verstehen”.
Der ISA definiert die Zielreifegrade im Excel-Tabellenblatt „Ergebnisse (ISA5)“ (ab Spalte G, Zeile 22; siehe Abbildung unten).
Abbildung 18. Die Zielreifegrad-Definitionen im Excel-Tabellenblatt „Ergebnisse (ISA5)“
5.2.4.3. Ihr Ergebnis (auf Frage-Ebene)
Um TISAX-Labels zu erhalten, benötigen Sie in der Regel Reifegrade für jede Frage, die gleich dem oder höher als der Zielreifegrad sind.
Beispiel: Wenn der Zielreifegrad für Frage X „3“ ist, sollte Ihr Reifegrad für diese Frage „3“ oder höher sein. Wenn Ihr Reifegrad für diese Frage unter „3“ liegt, erhalten Sie möglicherweise keine TISAX-Labels.
Dies muss für jede Frage einzeln erfolgen. Wenn der Zielreifegrad für zwei Fragen „3“ ist, können Sie einen Reifegrad von „2“ in einer Frage nicht mit einem Reifegrad von „4“ in der anderen Frage ausgleichen.
Das ISA-Dokument übernimmt automatisch Ihre Reifegrade aus dem Excel-Tabellenblatt „Informationssicherheit“ (Spalte E) in das Excel-Tabellenblatt „Ergebnisse (ISA5)“ (ab Spalte H, Zeile 23):
Abbildung 19. Ihr Reifegrad im Excel-Tabellenblatt „Ergebnisse (ISA5)“
Ihr Reifegrad unterliegt einer Berechnung, bevor das ISA-Dokument ihn in Ihrem Ergebniswert zusammenfasst. Im Prinzip wird Ihr Reifegrad auf den Zielreifegrad „gekürzt“. Dies wird gemacht, damit Fragen, bei denen Ihr Reifegrad über dem Zielreifegrad liegt, keine Fragen kompensieren, bei denen Ihr Reifegrad unter dem Zielreifegrad liegt.
So berechnet es der ISA Ihr Ergebnis auf der Frage-Ebene:
Es nimmt Ihren Reifegrad und vergleicht ihn mit dem Zielreifegrad der Frage.
Liegt Ihr Reifegrad über dem Zielreifegrad, wird er auf den Zielreifegrad „gekürzt“.
Liegt Ihr Reifegrad unter oder ist gleich dem Zielreifegrad, passiert für diese Frage nichts.
Beispiel (siehe Abbildung unten): Der Zielreifegrad ist „3“. Ihr Reifegrad ist „4“. Ihr „gekürztes Ergebnis“ für diese Frage ist „3“.
Abbildung 20. Kürzungsberechnung Ihres Ergebnisreifegrads
Die folgende Abbildung zeigt, dass der ISA Ihren Reifegrad kürzt, wenn er über dem Zielreifegrad liegt (die Farben Grün, Orange und Rot passen zu den in der Spalte „Ergebnis“ verwendeten Farben, siehe Abbildung 19, “Ihr Reifegrad im Excel-Tabellenblatt „Ergebnisse (ISA5)“”).
Abbildung 21. Illustration der Kürzung mit den Farben, die im Excel-Tabellenblatt „Ergebnisse (ISA5)“ benutzt werden
Im Folgenden finden Sie eine weitere Möglichkeit, die Reifegrade auf Frage-Ebene zu betrachten. Die Farben der Kreise zeigen den Zielreifegrad oder den „Abstand“ dazu an (Beispiel: der Kreis ist Orange, wenn der Reifegrad „-1“ unter dem Zielreifegrad liegt). Die Häkchen zeigen Ihren Reifegrad an.
Abbildung 22. Reifegrade auf Frage-Ebene
| Bitte beachten Sie: Es ist möglich, eine TISAX-Prüfung erfolgreich zu bestehen, auch wenn Sie nicht bei allen Fragen den Zielreifegrad erreichen. Die entscheidende Frage in solchen Fällen ist, ob Sie ein relevantes Risiko haben. Wenn Ihr Reifegrad unter dem Zielwert liegt, aber kein Risiko besteht, kann dies dennoch ausreichend sein. |
5.2.4.4. Das Ziel (auf Ergebnis-Ebene)
Der ISA definiert einen „idealen“ Gesamtreifegrad — das „maximale Ergebnis“ (oder „Maximal erreichbar“, Zelle G6).
Abbildung 23. Das maximale Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“)
Theoretisch ist dieser Gesamtreifegrad der Durchschnitt aller Zielreifegrade (auf Frage-Ebene). Das ergäbe ein maximales Ergebnis von „3,0“.
Er ist aber nur „3,0“, wenn alle Fragen auf Ihre Situation zutreffen. Sobald eine Frage nicht auf Ihre Situation zutrifft, ändert sich der Durchschnitt und das maximale Ergebnis ist niedriger als „3,0“.
Eine Darstellung von weiter oben aufgreifend (Abbildung 22, “Reifegrade auf Frage-Ebene”) können Sie unten sehen, was in den Mittelwert für das maximale Ergebnis einfließt:
Abbildung 24. Das maximale Ergebnis (auf Ergebnis-Ebene)
5.2.4.5. Ihr Ergebnis (auf Ergebnis-Ebene)
Ihr Gesamtergebnis („Ergebnis mit Kürzung auf Zielreifegrad“, Zelle D6):
fasst den Gesamtreifegrad Ihres Informationssicherheitsmanagementsystems zusammen.
ist der Durchschnitt aller Ihrer Reifegrade (auf Frage-Ebene).
kann kleiner oder gleich dem maximalen Ergebnis sein.
sollte so nahe wie möglich am maximalen Ergebnis liegen. Je mehr Ihr Ergebnis unter dem maximalen Ergebnis liegt, desto unwahrscheinlicher ist es, dass Sie in der Lage sind, TISAX-Labels zu erhalten.
Abbildung 25. Ihr Ergebnis (Excel-Tabellenblatt „Ergebnisse (ISA5)“)
Wieder eine weiter oben gezeigte Darstellung aufgreifend (Abbildung 22, “Reifegrade auf Frage-Ebene”) können Sie unten sehen, was in den Mittelwert für Ihr Ergebnis einfließt:
Abbildung 26. Ihr Ergebnis (auf Ergebnis-Ebene)
Ihr Ergebnis sagt Ihnen, ob Sie:
für eine TISAX-Prüfung bereit sind.
mit TISAX-Labels rechnen können.
Liegt Ihr Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) unter „3,0“, dann erreicht Ihr Reifegrad zumindest für eine Frage nicht den Zielreifegrad. In diesem Fall müssen Sie wahrscheinlich Ihr Informationssicherheitsmanagementsystem verbessern, bevor Sie für Ihre TISAX-Prüfung bereit sind.
| Bitte beachten Sie: Für das Gesamtergebnis gibt es formale Grenzen für einen akzeptablen „Abstand“ zwischen Ihrem Ergebnis und dem maximalen Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“). Wenn Ihr Ergebnis mehr als:
|
| Wichtiger Hinweis: Ein Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) von „3“ ist keine Garantie dafür, dass Sie die TISAX-Prüfung ohne negative Feststellungen bestehen. Bitte beachten Sie, dass der Prüfdienstleister bestimmte Aspekte möglicherweise anders sieht als Sie. |
5.2.4.6. Sind Sie bereit?
Der Zweck der obigen Analyse ist festzustellen, ob Sie für eine TISAX-Prüfung bereit sind.
Sie sind definitiv für eine TISAX-Prüfung bereit, wenn Ihr Ergebnis („Ergebnis mit Kürzung auf Zielreifegrad“) (nahezu) bei „3,0“ liegt. In diesem Fall sind alle Werte in der Spalte „Ergebnisse“ (H) grün (kein Orange, kein Rot).
Andernfalls müssen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung weiter befassen (siehe Abschnitt 5.2.5, “Befassen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung”).
Die Abbildung unten zeigt das ISA-Spinnennetzdiagramm aus dem Excel-Tabellenblatt „Ergebnisse (ISA5)“. Die grüne Linie markiert den Zielreifegrad pro Kapitel. Wenn Ihre Reifegrade auf oder über dieser Linie liegen, sind Sie bereit für eine TISAX-Prüfung. Wenn sie unterhalb dieser Linie liegen, reicht dies möglicherweise nicht aus, um TISAX-Labels zu erhalten.
Abbildung 27. Screenshot: Erfüllung der Zielreifegrade im ISA-Spinnennetzdiagramm (Excel-Tabellenblatt „Ergebnisse (ISA5)“)
Wenn Sie das ISA-Spinnennetz auf die Frage-Ebene „entfalten“, erhalten Sie eine ähnliche Grün/Rot-Darstellung auf der Frage-Ebene:
Abbildung 28. „Entfalten“ des ISA-Spinnennetzdiagramms
5.2.5. Befassen Sie sich mit dem Ergebnis Ihrer Selbsteinschätzung
Das Ergebnis Ihrer Selbsteinschätzung kann zeigen, dass Sie Ihr Informationssicherheitsmanagementsystem verbessern müssen, bevor Sie bereit sind, TISAX-Labels zu erhalten.
Bei einigen Lücken zwischen Ihrem Reifegrad und dem Zielreifegrad wissen Sie vielleicht schon, wie Sie diese schließen können. Für andere benötigen Sie möglicherweise externe Beratung. In diesem Fall können Sie sich von unseren TISAX-Prüfdienstleistern beraten lassen. TISAX gestattet ihnen diese Beratung, verpflichtet sie aber nicht zur Beratung. Bitte beachten Sie, dass Prüfdienstleister, die für Sie beratend tätig sind, keine TISAX-Prüfungen mehr für Sie durchführen können.
| Wichtiger Hinweis: Sich vor der Prüfung nicht richtig mit dem Ergebnis der Selbsteinschätzung auseinander zu setzen ist für viele Unternehmen ein großer Stolperstein. Bitte unterschätzen Sie nicht den Aufwand, Ihr Informationssicherheitsmanagementsystem den Anforderungen entsprechend zu gestalten. Viele Unternehmen müssen ausdrücklich ein umfangreiches Projekt aufsetzen, um sich auf eine TISAX-Prüfung vorzubereiten. |
| Bitte beachten Sie: Wenn Sie auf der Suche nach externer Hilfe sind, um den TISAX-Prozess zu durchlaufen, werden Sie feststellen, dass verschiedene Unternehmen Beratungs- und Schulungsdienste anbieten. Alle diese Unternehmen sind nicht mit uns verbunden. Stand heute:
|
| Bitte beachten Sie: |
5.3. Auswahl eines Prüfdienstleisters
Nur von uns zugelassene Prüfdienstleister können TISAX-Prüfungen durchführen[15]. TISAX-Prüfdienstleister dürfen für Sie nur dann TISAX-Prüfungen durchführen, wenn sie zuvor keine Beratungsaufträge bei Ihnen hatten.
Alle unsere TISAX-Prüfdienstleister sind verpflichtet, TISAX-Prüfungen ausschließlich für solche Unternehmen durchzuführen, die registrierte TISAX-Teilnehmer sind.
| Wichtiger Hinweis: Sobald Sie einen TISAX-Prüf-Scope registriert haben, sollten Sie unsere Prüfdienstleistern ansprechen. Sie haben eine gewisse Vorlaufzeit, was ihre Verfügbarkeit angeht. Eine Kontaktaufnahme nach Abschluss Ihrer Vorbereitungen könnte zu einer unnötigen Verzögerung führen. |
| Bitte beachten Sie: Jeder Prüf-Scope durchläuft einen Lebenszyklus. Zu diesem Zeitpunkt muss Ihr Prüf-Scope den Status „Approved“ oder „Registered“ haben. Weitere Informationen zum Status eines Prüf-Scopes finden Sie in Abschnitt 7.5.5, “Prüf-Scope-Status „Warten auf Ihre Zahlung“ (Awaiting your payment)”. |
5.3.1. Ansprechpartner
Sobald Sie einen TISAX-Prüf-Scope registriert haben, können Sie alle TISAX-Prüfdienstleister ansprechen und Angebote anfordern. Deren Ansprechpartner finden Sie in der Bestätigungs-E-Mail, die Sie erhalten haben[16] (siehe Abschnitt 4.5.8, “Bestätigungs-E-Mail”).
| Bitte beachten Sie: Bitte fordern Sie Angebote von unseren TISAX-Prüfdienstleistern erst an, NACHDEM Sie sich registriert haben. Die Prüfdienstleister kontrollieren, ob eine Registrierung vorhanden ist. Sie müssen Anfragen ohne Registrierung ablehnen. Aus diesem Grund erhalten Sie die Ansprechpartner der Prüfdienstleister nur in der Bestätigungs-E-Mail (und nicht über unsere öffentliche Website). |
5.3.2. Abdeckung
Obwohl derzeit viele Prüfdienstleister-Ansprechpartner in Deutschland angesiedelt sind, ist es wichtig zu verstehen, dass alle unsere Prüfdienstleister grundsätzlich dazu in der Lage sind, TISAX-Prüfungen weltweit durchzuführen. Die meisten von ihnen haben in vielen Ländern sogar eigene Mitarbeiter.
Auf unserer Website bieten wir Ihnen eine Seite an, auf der Sie Ihr Land auswählen und dann sehen können, welcher Prüfdienstleister über lokale Vertriebsmitarbeiter und/oder lokale Auditoren verfügt ( enx.com/de-de/TISAX/xap/).
5.3.3. Angebote anfordern
Damit unsere TISAX-Prüfdienstleister den zu erwartenden Prüfaufwand genau ermitteln können, sollten Sie immer Ihr „TISAX Scope Excerpt“ zur Verfügung stellen.
Abbildung 29. Miniaturansicht eines „TISAX Scope Excerpt“ (erste Seite)
Weitere Informationen finden Sie in Abschnitt 4.5.8, “Bestätigungs-E-Mail”.
| Bitte beachten Sie: Unparteilichkeit ist ein wesentliches Merkmal unserer TISAX-Prüfdienstleister. Sie werden sicherstellen, dass kein Interessenkonflikt besteht. Sie möchten das gegebenenfalls bei der Anfrage bedenken. Wenn Ihr Unternehmen in irgendeiner Weise mit einem Prüfdienstleister verbunden ist, können Sie nicht erwarten, von ihm geprüft zu werden. |
5.3.4. Beurteilen der Angebote
Sie können zwischen allen unseren TISAX-Prüfdienstleistern frei wählen. Sie sind alle an den gleichen Vertrag gebunden. Sie alle führen die Prüfungen nach den gleichen Kriterien und mit den gleichen Prüfmethoden durch. In Bezug auf das Prüfergebnis gibt es keinen Unterschied, egal für welchen Prüfdienstleister Sie sich entscheiden. Ihr Prüfergebnis wird von allen TISAX-Teilnehmern akzeptiert.
Neben offensichtlichen Faktoren wie Preis, Ruf und Sympathie gibt es bei einem Angebot einige Aspekte, auf die Sie achten können:
Verfügbarkeit:
Wie schnell kann der Prüfprozess beginnen? Dies kann ein wichtiger Aspekt sein, wenn eine TISAX-Prüfung für Sie dringend ist.Reisekosten für Vor-Ort-Termine:
Prüfdienstleister mit Niederlassungen in Ihrem Land haben möglicherweise geringere Reisekosten.Sprache:
Werden Sie und jeder andere Befragte in Ihrem Unternehmen in der Lage sein, mit dem Auditor in Ihrer Muttersprache zu kommunizieren?Angebotsumfang:
Welche Prüfungen sind enthalten?
Weitere Informationen zu Prüfungen finden Sie in Abschnitt 5.4.3, “TISAX-Prüfungstypen”.
In der Regel beinhalten die Angebote eine Erstprüfung und die Maßnahmenplanprüfung. Da der Aufwand für Follow-up-Prüfungen schwer vorhersehbar ist, werden sie in der Regel erst nach Abschluss der anderen Prüfungen angeboten.
Letztendlich wird es auf das Vertrauen ankommen. Sie müssen ein Vertrauensverhältnis zu Ihrem Prüfdienstleister aufbauen, da er einen tiefen Einblick in Ihr Unternehmen bekommen wird.
| Bitte beachten Sie: |
| Bitte beachten Sie: Wir würden Ihnen gerne einen Anhaltspunkt geben, wie viel unsere Prüfdienstleister für die Prüfung berechnen. Aber wir bitten um Verständnis, dass wir Ihnen diese Information nicht geben können. Die Kosten hängen von zu vielen Faktoren ab. Außerdem sind unsere Prüfdienstleister in ihrer kaufmännischen Kalkulation frei. Wir können Ihnen jedoch einige grobe Schätzungen nennen, wie viele Manntage unsere Prüfdienstleister Ihnen in Rechnung stellen werden. Für ein durchschnittliches kleines Unternehmen mit einem Standort sollten Sie mit dreieinhalb bis vier Manntagen für eine Prüfung im Assessment-Level2 und fünf bis sechs Manntagen für eine Prüfung im Assessment-Level3 rechnen. |
| Bitte beachten Sie: Jede Prüfung durchläuft einen Lebenszyklus. Weitere Informationen zum Status einer Prüfung finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”. |
Nachdem Sie sich für einen unserer TISAX-Prüfdienstleister entschieden haben, können Sie endlich den TISAX-Prüfprozess anstoßen.
5.4. TISAX-Prüfprozess
5.4.1. Überblick
Der TISAX-Prüfprozess besteht aus mehreren Typen von Prüfungen. In den meisten Fällen wird es mehr als eine Prüfung geben.
Sie sollten den Prüfprozess als eine verschachtelte Folge von Schritten betrachten:
Sie bringen Ihr Informationssicherheitsmanagementsystem in Bestform.
Der Prüfdienstleister prüft, ob Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt. Vielleicht findet er Lücken.
Anschließend schließen Sie die Lücken innerhalb von definierten Zeiträumen.
Der Prüfdienstleister prüft dann erneut, ob Sie die Lücken geschlossen haben.
Diese Schritte werden abwechselnd so lange durchgeführt, bis alle Lücken geschlossen sind.
Wichtig dabei ist zu verstehen, dass Sie jeden Teilschritt im Prüfprozess einleiten. Der gesamte Prüfprozess unterliegt Ihrer Kontrolle. Und natürlich liegt es in Ihrer Hand, die Prüfungsverfahren zu stoppen und zu beenden, wann immer Sie wollen.[17]
Der TISAX-Prüfprozess hat die folgende Makrostruktur:
Kick-off-Meeting
Sie und der Prüfdienstleister planen die Einzelheiten des PrüfprozessesAssessment-Phase 1
Der Prüfdienstleister prüft Ihre SelbstauskunftAssessment-Phase 2
Der Prüfdienstleister führt die Prüfung(en) durch
5.4.2. Kick-off-Meeting
Der TISAX-Prüfprozess beginnt mit dem Kick-off-Meeting. Hier werden die Einzelheiten des Prüfprozesses geplant. In der Regel findet das Kick-off-Meeting als Telefonkonferenz statt. Der Prüfdienstleister führt Sie durch den Termin.
Auf der Tagesordnung stehen unter anderem die folgenden Themen:
Wer sind die Teilnehmer des Termins?
Wer ist das zu prüfende Unternehmen?
Wie läuft der TISAX-Prüfprozess ab?
Was ist der Prüf-Scope und ist er der richtige?
Gibt es keine Interessenkonflikte?
Wie sieht eine gute Selbsteinschätzung aus?
Wer ist für was verantwortlich?
Wie wird kommuniziert?
Wann findet die Prüfung statt (und weitere Zeitplanung)?
Wer muss an der/den Prüfung(en) teilnehmen?
An wen können Sie sich bei Beschwerden wenden?
Der Zeitraum zwischen Ende des Kick-off-Meetings und der Abgabe Ihrer Selbsteinschätzung beträgt typischerweise ein bis drei Monate. Aber auch sechs Monate sind nicht ungewöhnlich. Der Zeitraum hängt vom Stand Ihrer Vorbereitung ab. TISAX schreibt keine Fristen für diesen Zeitraum vor. Sie können sich so viel Zeit nehmen, wie Sie brauchen, um Ihre Selbsteinschätzung zu erstellen und sich auf die Prüfung vorzubereiten.
5.4.3. TISAX-Prüfungstypen
Der TISAX-Prüfprozess besteht aus diesen drei Typen von TISAX-Prüfungen:
Erstprüfung
Maßnahmenplanprüfung
Follow-up-Prüfung[18]
Die Erstprüfung wird immer stattfinden. Die beiden anderen TISAX-Prüfungen können stattfinden und das gegebenenfalls mehrfach. Sie werden entweder stattfinden:
bis Sie alle Lücken geschlossen haben
oder Sie den TISAX-Prüfprozess verlassen
oder Sie erreichen den maximalen Zeitraum von neun Monaten nach Ende der Abschlussbesprechung der Erstprüfung (woraufhin eine erneute Erstprüfung erforderlich wird).
Sämtliche TISAX-Prüfungen werden in den nächsten Abschnitten beschrieben.
| Bitte beachten Sie: Jede Prüfung durchläuft einen Lebenszyklus. Weitere Informationen zum Status einer Prüfung finden Sie in Abschnitt 7.6, “Anhang: „Assessment status“ (Prüfungs-Status)”. |
5.4.4. TISAX-Prüfungselemente
Jede TISAX-Prüfung besteht aus den folgenden Elementen:
Offizielle Eröffnungsbesprechung[19][20]
Sie beabsichtigt, alle organisatorischen Themen abzudecken.
Sie muss nicht unbedingt als persönliches Treffen stattfinden.
Die Themen können in einem Durchgang oder über mehrere Termine verteilt behandelt werden.
Sie ist ein „logischer Container“ für alle organisatorischen Vor-Prüfungsthemen
Prüfverfahren
Ihr Prüfdienstleister prüft alle Anforderungen.
Die Auswahl der Prüfmethoden richtet sich nach dem jeweiligen Assessment-Level.
Offizielle Abschlussbesprechung[21]
Sie bildet den Abschluss einer TISAX-Prüfung.
Der Prüfdienstleister stellt seine Feststellungen vor.
Der Prüfdienstleister gibt das Prüfergebnis bekannt.
Sie muss nicht unbedingt als persönliches Treffen stattfinden.
Sie ist ein „logischer Container“ für alle organisatorischen Nach-Prüfungsthemen.
Nach der „Abschlussbesprechung“ erstellt und sendet Ihnen der Prüfdienstleister den Entwurf des aktualisierten „TISAX Assessment Berichts“. Sie können Einwände erheben, wenn Sie der Meinung sind, dass der Prüfdienstleister etwas falsch verstanden hat.[22] Anschließend erstellt der Prüfdienstleister den abschließenden „TISAX Assessment Bericht“.
Alle diese Elemente werden in den nächsten Abschnitten beschrieben.
5.4.5. Zur Übereinstimmung mit den Anforderungen („Konformität“)
Bevor wir den TISAX-Prüfprozess weiter skizzieren, möchten wir Ihnen ein Schlüsselkonzept erläutern, das für Ihr Verständnis der nächsten Abschnitte wesentlich ist.
Ziel einer TISAX-Prüfung ist es, festzustellen, ob Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt. Der Prüfdienstleister prüft, ob Ihr Informationssicherheitsmanagementsystem mit den Anforderungen übereinstimmt ( to conform).
Schritt 1: Die Prüfungen werden für jede anzuwendende Anforderung einzeln durchgeführt.
Wenn Ihre Herangehensweise mit sämtlichen Anforderungen übereinstimmt, bestehen Sie die Prüfung und erhalten die TISAX-Labels, die Ihren Prüfzielen entsprechen.
Alles unterhalb der vollen oder idealen Übereinstimmung mit den Anforderungen wird als „Feststellung“ ( finding) bezeichnet. TISAX unterscheidet vier Arten von Feststellungen:
| Nr. | Art | Definition | Reaktion | Beispiele |
|---|---|---|---|---|
1. | Hauptabweichung | Eine Hauptabweichung:
| Sie müssen:
|
|
2. | Nebenabweichung | Eine Nebenabweichung:
| Sie müssen:
|
|
3. | Beobachtung | Eine Beobachtung ist eine Nichteinhaltung der Anforderungen oder Ihrer eigenen Richtlinien, die kein unmittelbares Risiko für Ihre Informationssicherheit verursacht, dies aber in der Zukunft tun könnte. | Sie müssen:
| n/a |
4. | Identifiziertes Verbesserungspotential | Eine Abweichung, die nicht zu den vorgenannten Arten zählt und kein Risiko für Ihre Informationssicherheit darstellt, aber offensichtlich Raum für Verbesserungen bietet. | Sie können entscheiden, ob oder wie Sie mit dieser Art Feststellung umgehen. | n/a |
Schritt 2: Alle Ergebnisse des vorherigen Schrittes „pro Anforderung“ werden in das Gesamtprüfergebnis einbezogen.
Das Gesamtprüfergebnis kann sein:
Konform (
conform)
Das Gesamtprüfergebnis ist „Konform“. Alle Anforderungen sind erfüllt.Nebenabweichend (
minor non-conform)
Das Gesamtprüfergebnis ist „Nebenabweichend“, wenn Sie mindestens eine Nebenabweichung für eine Anforderung haben.Hauptabweichend (
major non-conform)
Das Gesamtprüfergebnis ist „Hauptabweichend“, wenn Sie mindestens eine Hauptabweichung für eine Anforderung haben.
(Ohne einen genehmigten Maßnahmenplan führt jede Abweichung zu einem „Hauptabweichend“-Gesamtprüfergebnis.)
Ist das Gesamtprüfergebnis:
„Nebenabweichend“, können Sie temporäre TISAX-Labels erhalten, bis alle Abweichungen beseitig sind.
„Hauptabweichend“, müssen Sie das entsprechende Problem zuerst lösen, bevor Sie TISAX-Labels erhalten können.
Mit angemessenen Kompensationsmaßnahmen und Abhilfemaßnahmen, die vom Prüfdienstleister genehmigt wurden, ist es möglich, Ihr Gesamtprüfergebnis von „Hauptabweichend“ auf „Nebenabweichend“ zu ändern und somit temporäre TISAX-Labels zu erhalten.
Es ist wichtig zu verstehen, dass sich Ihr Gesamtprüfergebnis im Laufe des gesamten TISAX-Prüfprozesses verbessert.
Ein stark vereinfachtes Beispiel: Möglicherweise haben Sie nach der Erstprüfung ein Gesamtprüfergebnis von „Hauptabweichend“. Danach mindern Sie das entsprechende Risiko. Damit ändert sich Ihr Gesamtergebnis von „Hauptabweichend“ auf „Nebenabweichend“. Und ist das Risiko dann beseitigt, ist Ihr endgültiges Gesamtergebnis „Konform“.
All dies wird im Folgenden näher erläutert. Weitere Informationen zu den TISAX-Labels finden Sie weiter unten in Abschnitt 5.4.14, “TISAX-Labels”.
5.4.6. Ihre Vorbereitung auf den TISAX-Prüfprozess
Der Prüfdienstleister bereitet die Prüfung auf Basis Ihrer Selbsteinschätzung vor. Bedenken Sie daher, dass Sie Ihre Selbsteinschätzung vorab Ihrem Prüfdienstleister zur Verfügung stellen müssen. Die genauen Abgabetermine werden im Kick-off-Meeting vereinbart.
Eine gute Vorbereitung des Prüfdienstleisters reduziert den Zeitaufwand für die Prüfung. Neben der Selbsteinschätzung wird er vor der Prüfung auch darin referenzierte Unterlagen anfordern. Das kann eine Dokumentation sein, auf die Sie in der Selbsteinschätzung verwiesen haben, sowie weitere Dokumentation, die der Prüfdienstleister für relevant hält.
Auf der Grundlage dieser Informationen plant Ihr Prüfdienstleister das Prüfverfahren.
5.4.7. Erstprüfung
Dies ist die erste TISAX-Prüfung und markiert den offiziellen Beginn des TISAX-Prüfprozesses.
| Wichtiger Hinweis: Die Erstprüfung markiert den Beginn von zwei wichtigen Zeiträumen:
Beide Zeiträume starten beide am Tag der Abschlussbesprechung. |
| Bitte beachten Sie: Neben den beiden oben beschriebenen Zeiträumen gibt es keine weiteren zeitlichen Beschränkungen. Beispielsweise starten weder der Abschluss der Online-Registrierung noch die Kontaktaufnahme mit unseren Prüfdienstleistern oder gar für die Durchführung des Kick-off-Meetings irgendwelche Fristen. Es bleibt Ihnen überlassen, mit der Erstprüfung zu beginnen. |
5.4.7.1. Die erste offizielle Eröffnungsbesprechung
Wie alle TISAX-Prüfungen beginnt die Erstprüfung mit einer offiziellen Eröffnungsbesprechung. Die offizielle Eröffnungsbesprechung findet in der Regel als Telefon- oder Webkonferenz statt. Für kleine Firmen, möglicherweise mit etwas Erfahrung aus anderen Audits, dauert es nicht lange.
Der Zweck dieser Besprechung ist:
die Überprüfung der Voraussetzungen für die Prüfung
die Vorstellung des Prüfungsprojektleiters und des Prüfungsteams
die Planung der Prüfung
5.4.7.2. Prüfverfahren
Gemäß dem vorbereiteten Plan führt der Prüfdienstleister die Erstprüfung durch. Wie dies im Detail aussieht, hängt von Ihren Prüfzielen ab. Die Prüfung besteht hauptsächlich aus Telefonkonferenzen, Vor-Ort-Interviews und Vor-Ort-Prüfungen in unterschiedlicher Tiefe[23].
Der Prüfdienstleister stellt alle seine Feststellungen im Rahmen der Erstprüfung vor.
5.4.7.3. Abschlussbesprechung
In der Abschlussbesprechung fasst Ihr Prüfdienstleister alle seine Feststellungen noch einmal zusammen.
5.4.7.4. „TISAX Assessment Bericht“
Nach der Abschlussbesprechung erstellt und schickt Ihnen der Prüfdienstleister den Entwurf des „TISAX Assessment Berichts“. Sie können Einwände erheben, wenn Sie der Meinung sind, dass der Prüfdienstleister etwas falsch verstanden hat.[24] Anschließend erstellt der Prüfdienstleister den abschließenden „TISAX Assessment Bericht“.
In dieser Phase wird das aktuelle Gesamtprüfergebnis entweder:
„Konform“, oder
„Hauptabweichend“ sein
Nicht behandelte (Neben-)Abweichungen führen immer zu einem Gesamtprüfergebnis von „Hauptabweichend“. Ihr Gesamtprüfergebnis kann nur dann „Nebenabweichend“ sein, wenn Sie Maßnahmen definiert haben, die zur Beseitigung der Nebenabweichung(en) führen.
Informationen dazu, wie Sie das erreichen, finden Sie in Abschnitt 5.4.9.4, “Temporäre TISAX-Labels”.
Wenn Ihr Gesamtprüfergebnis bereits bei der Erstprüfung „Konform“ ist, können Sie den restlichen Teil des Prüfungsabschnitts überspringen und mit dem Austausch Ihres Ergebnisses fortfahren.
Wenn Ihr Gesamtprüfergebnis „Hauptabweichend“ ist, ist es Ihre nächste Aufgabe, einen Plan zu erarbeiten, wie die Feststellungen zu behandeln sind und wie etwaige Lücken, die der Prüfdienstleister gefunden hat, geschlossen werden können. Der Plan wird offiziell als „Maßnahmenplan“ ( „corrective action plan“) benannt.
| Bitte beachten Sie: Wenn Sie sich vor Beginn der Prüfung einer Situation bewusst sind, die zu einer Abweichung führen wird, und die Sie vor der Prüfung nicht beseitigt bekommen, können Sie bereits eine Abhilfemaßnahme (einschließlich eines Umsetzungsdatums) planen und diese dem Prüfdienstleister während der Prüfung vorlegen. Dies könnte theoretisch zu einem Gesamtprüfergebnis „Nebenabweichend“ führen. Dies wäre jedoch eine seltene Situation. |
5.4.8. Vorbereitung des Maßnahmenplans
Ihr Maßnahmenplan ( „corrective action plan“) legt fest, wie Sie mit den Feststellungen der Erstprüfung umgehen wollen. Ihr Prüfdienstleister wird Ihren „Maßnahmenplan“ daraufhin prüfen, ob er angemessen ist (siehe nächster Abschnitt).
Für die Erstellung Ihres „Maßnahmenplan“ sollten Sie die folgenden Anforderungen berücksichtigen:
Feststellung
Sie müssen angeben, an welche Feststellung sich die Maßnahme richtet.
Ursache
Sie müssen die Ursache der Feststellung identifizieren und angeben.
Abhilfemaßnahmen
Für jede Abweichung müssen Sie eine oder mehrere Abhilfemaßnahmen definieren, die Maßnahmen zur Beseitigung der Abweichung umsetzen.
Umsetzungsdatum
Sie müssen für jede Abhilfemaßnahme ein Umsetzungsdatum festlegen.
Die Umsetzungsfrist sollte ausreichend Zeit für eine gründliche Umsetzung der Maßnahmen bieten.
Kompensationsmaßnahmen
Für alle Abweichungen, die kritische Risiken verursachen, müssen Sie Kompensationsmaßnahmen definieren, die sich mit den Abweichungen befassen, bis die Abhilfemaßnahmen umgesetzt sind.
Umsetzungszeitraum
Für alle Abhilfemaßnahmen, deren Umsetzung länger als drei Monate dauert, müssen Sie die Umsetzungsfrist begründen.
Für alle Abhilfemaßnahmen, die länger als sechs Monate dauern, müssen Sie zusätzlich den Nachweis erbringen, dass eine schnellere Umsetzung nicht möglich ist.
Die Umsetzungsfrist für jegliche Abhilfemaßnahmen darf nicht länger als neun Monate sein.
Sobald Ihr Maßnahmenplan vollständig ist, können Sie die „Maßnahmenplanprüfung“ anfordern.
| Wichtiger Hinweis: Wir empfehlen, so schnell wie möglich mit der Umsetzung zu beginnen. Das Ergebnis der „Maßnahmenplanprüfung“ muss nicht abgewartet werden. |
| Bitte beachten Sie: TISAX stellt nur inhaltliche Anforderungen, nicht aber an die Form der Maßnahmenpläne. |
5.4.9. Maßnahmenplanprüfung
Ziel der „Maßnahmenplanprüfung“ ist es, sicherzustellen, dass Ihr „Maßnahmenplan“ (siehe oben) die TISAX-Anforderungen erfüllt.
Sie reichen Ihren „Maßnahmenplan“ bei Ihrem Prüfdienstleister ein. Ihr Prüfdienstleister prüft den Plan entsprechend den Anforderungen (siehe unten). Erfüllt Ihr Plan die Anforderungen, erstellt Ihr Prüfdienstleister den aktualisierten „TISAX Assessment Bericht“.
Diese Prüfung dauert üblicherweise nicht lange. In den meisten Fällen handelt es sich dabei um eine Telefonkonferenz oder eine Webkonferenz. Manchmal wird es auch nur per E-Mail gemacht.
5.4.9.1. Gründe für die Maßnahmenplanprüfung
Gründe für eine „Maßnahmenplanprüfung“ sind:
Verbleibende Abweichungen nach einer
Erstprüfung
Follow-up-Prüfung
Scope-Erweiterungsprüfung
Ein „Maßnahmenplan“, der bereits geprüft wurde, aber die Anforderungen nicht erfüllte.
Die Einflussfaktoren, auf denen die Berechnung der Umsetzungsfristen eines Maßnahmenplans basieren, haben sich geändert.
5.4.9.2. Kombination mit Erstprüfung
Die „Maßnahmenplanprüfung“ ist nicht unbedingt ein eigenständiges Ereignis. Sie haben die Möglichkeit, Ihren „Maßnahmenplan“ bereits während der Abschlussbesprechung bei der Erstprüfung vorzulegen. Der Prüfdienstleister kann dann direkt die „Maßnahmenplanprüfung“ durchführen.
Wenn Sie die „Maßnahmenplanprüfung“ mit der Erstprüfung kombinieren und Ihr „Maßnahmenplan“ die Anforderungen erfüllt, können Sie mit dem Prüfdienstleister vereinbaren, dass Sie keinen Prüfbericht zur Erstprüfung benötigen. Stattdessen würde Ihr Prüfdienstleister lediglich den Prüfbericht zur „Maßnahmenplanprüfung“ erstellen. Mit diesem Bericht können Sie temporäre TISAX-Labels direkt erhalten.
5.4.9.3. Anforderungen an den Maßnahmenplan
Der Prüfdienstleister bewertet Ihren „Maßnahmenplan“ anhand der folgenden Anforderungen:
Maßnahmen sind angemessen
Der Prüfdienstleister wird die Angemessenheit einer Maßnahme danach beurteilen, ob sie die Ursache für die Abweichung beseitigt.
Kritische Risiken werden durch geeignete Kompensationsmaßnahmen entschärft[25]
Umsetzungsfristen sind angemessen
Umsetzungsfristen beginnen am Tag des Abschlusses der Erstprüfung.
Keine Umsetzungsfrist ist länger als:
drei Monate ohne zusätzliche Begründung
sechs Monate ohne zusätzliche Begründung und Nachweise
neun Monate
5.4.9.4. Temporäre TISAX-Labels
Wenn Ihr Gesamtprüfergebnis „Nebenabweichend“ ist, erhalten Sie temporäre TISAX-Labels.
Der Vorteil von temporären TISAX-Labels ist, dass Ihr Partner sie in der Regel unter der Bedingung akzeptiert, dass Sie später dauerhafte TISAX-Labels erhalten. Dies kann Ihnen helfen, wenn der Nachweis der Wirksamkeit Ihres Informationssicherheitsmanagementsystems gegenüber Ihrem Partner dringend ist.
Die Voraussetzung für temporäre TISAX-Labels ist ein Prüfbericht einer Maßnahmenplanprüfung mit dem Gesamtprüfergebnis „Nebenabweichend“.
Temporäre TISAX-Labels sind gleichwertig mit permanenten TISAX-Labels. Der einzige Unterschied ist die kürzere Gültigkeitsdauer der temporären TISAX-Labels.
Temporäre TISAX-Labels können bis zu neun Monate nach der Abschlussbesprechung der Erstprüfung gültig sein. Die Gültigkeitsdauer der temporären TISAX-Label richtet sich nach der längsten Umsetzungsfrist der Abhilfemaßnahmen.
Beispiele:
Sie haben nur eine Abweichung. Sie müssen eine Richtlinienüberprüfung durchführen. Die zugehörige Umsetzungsfrist beträgt zwei Monate.
Dann sind Ihre temporären TISAX-Labels zwei Monate lang gültig.Sie haben die Abweichung der zuvor genannten Richtlinienüberprüfung. Darüber hinaus müssen Sie als Abhilfemaßnahme eine neue Außenmauer errichten. Aufgrund der Zeit, die es braucht, um die erforderlichen Genehmigungen von der Gemeinde zu erhalten, beträgt die damit verbundene Umsetzungsfrist acht Monate.
Dann sind Ihre temporären TISAX-Labels acht Monate lang gültig.
Weitere Informationen zu den Anforderungen an die Umsetzungsfristen finden Sie in Abschnitt 5.4.9.3, “Anforderungen an den Maßnahmenplan”.
| Bitte beachten Sie: Die „Maßnahmenplanprüfung“ ist optional. Sie können direkt zur Follow-up-Prüfung übergehen, sofern Sie:
|
Nachdem Sie alle Maßnahmen abgeschlossen haben, sollten Sie die Follow-up-Prüfung beantragen.
5.4.10. Follow-up-Prüfung
Ziel der Follow-up-Prüfung ist es, zu bewerten, ob alle zuvor festgestellten Abweichungen beseitigt sind. Normalerweise beantragen Sie die Follow-up-Prüfung in der Regel, sobald Sie sicher sind, dass alle Abweichungen beseitigt sind.
Aber Sie können so viele Follow-up-Prüfungen durchführen, wie Sie benötigen. Wenn Ihr Prüfdienstleister im Rahmen einer Follow-up-Prüfung noch bestehende oder gar neue Abweichungen bescheinigt, aktualisieren Sie einfach Ihren Maßnahmenplan und starten diesen Teil des Prüfprozesses erneut.
Diese Prüfung kann sowohl ein persönliches Treffen als auch eine Telefon- oder Webkonferenz sein.
5.4.10.1. Zeitplanung
Ihr Prüfdienstleister kann jede Follow-up-Prüfung innerhalb von bis zu neun Monaten nach Abschluss der Erstprüfung durchführen[26].
5.4.10.2. Voraussetzungen
Wenn Sie keine temporären TISAX-Labels benötigen, können Sie direkt eine Follow-up-Prüfung beantragen. Sie brauchen keine „Maßnahmenplanprüfung“ vor einer Follow-up-Prüfung.
5.4.10.3. Ablauf von temporären TISAX-Labels
Falls Sie temporäre TISAX-Labels benötigen, sollten Sie sicherstellen, dass keine Lücke bis zum Erhalt der permanenten TISAX-Labels besteht. Wir empfehlen Ihnen daher, Ihre Follow-up-Prüfung rechtzeitig vor dem spätest möglichen Termin[27] zu beantragen. Der Grund dafür ist, dass Sie genügend Pufferzeit haben möchten, um kleinere Feststellungen, die bei einer Follow-up-Prüfung festgestellt wurden, anzugehen.
5.4.11. TISAX-Prüfprozessdiagramm
Die vorherigen Abschnitte sind nun im folgenden Prozessdiagramm zusammengefasst:
Abbildung 30. TISAX-Prüfprozessdiagramm (Teil 1/2)
Abbildung 31. TISAX-Prüfprozessdiagramm (Teil 2/2)
5.4.12. Assessment-ID
Jede TISAX-Prüfung eines Prüf-Scopes wird durch eine „Assessment-ID“ identifiziert. Diese ID bezieht sich auf Ihr Prüfergebnis und den entsprechenden „TISAX Assessment Bericht“.
So sieht die Assessment-ID aus:
Abbildung 32. Format der Assessment-ID
Die Assessment-ID wird üblicherweise verwendet, wenn Ihr Prüfdienstleister mit Ihnen kommuniziert.
5.4.13. „TISAX Assessment Bericht“
Der „TISAX Assessment Bericht“ ( TISAX assessment report):
wird nach jeder TISAX-Prüfung aktualisiert und ausgestellt.
dokumentiert die Feststellungen Ihres Prüfdienstleisters.
enthält das Gesamtprüfergebnis (Konform, Nebenabweichend, Hauptabweichend).
enthält alle weiteren Informationen zu Ihrer TISAX-Prüfung (z. B. Prüfziel, Scope, beteiligte Personen und Standorte).
Der „TISAX Assessment Bericht“ kann (je nach Prüfungstyp) folgendermaßen aussehen:
„TISAX Assessment Bericht“ Erstprüfung
„TISAX Assessment Bericht“ Maßnahmenplanprüfung
„TISAX Assessment Bericht“ Follow-up-Prüfung[28]
Der „TISAX Assessment Bericht“ hat immer den gleichen Aufbau[29]. Ihr Prüfdienstleister erweitert ihn einfach nach jedem Prüfungstyp. Das bedeutet, dass Sie sich nur mit der letzten Version des „TISAX Assessment Berichts“ beschäftigen müssen, da er immer den Inhalt seiner älteren Version(en) enthält.
Die ersten Abschnitte des „TISAX Assessment Berichts“ sind das, was Sie schließlich mit Ihrem Partner teilen.
Es ist eines der Hauptmerkmale von TISAX, dass Sie selbst entscheiden können, welche Teile des „TISAX Assessment Berichts“ Sie mit Ihrem Partner oder jedem anderen Teilnehmer teilen möchten. Die Struktur des „TISAX Assessment Berichts“ ist so konzipiert, dass sie diese Art des selektiven Teilens ermöglicht. Jeder Abschnitt erweitert den Detaillierungsgrad.
Der „TISAX Assessment Bericht“ ist folgendermaßen aufgebaut:
A. Informationen zum Assessment (
Assessment Related Information)
Firmenname, Prüf-Scope, Scope-ID, Assessment-ID, Assessment-Level, Prüfziel(e), Datum der Prüfung(en), Prüfdienstleister
Dieser Abschnitt enthält kein Prüfergebnis.B. Gesamtübersicht Prüfergebnisse (
Summarized Results)
Management-Zusammenfassung des Prüfergebnisses (Konform, Nebenabweichend, Hauptabweichend), Anzahl der Feststellungen, abstrakte Kategorisierung der resultierenden RisikenC. Zusammenfassung der Ergebnisse des Assessments (
Assessment Result Summary)
Zusammenfassung des Prüfergebnisses pro Kapitel (z. B. „9 Access Control“) und pro Kriterienkatalog (z. B. „Informationssicherheit“)D. Reifegrade gem. ISA (Ergebnis-Tab des ISA) (
Maturity Levels of ISA (Result Tab))
Reifegrad für jede AnforderungE. Detaillierte Ergebnisse zum Assessment (
Detailed Assessment Results)
Detaillierte Beschreibung aller Feststellungen, entsprechende Ergebnisse der Risikobewertung, erforderliche Maßnahmen, Umsetzungsfristen
Im Schritt „Austausch“ (siehe unten) entscheiden Sie, bis zu welcher Stufe Ihr Partner Zugriff auf den Inhalt Ihres „TISAX Assessment Berichts“ bekommen wird.
5.4.14. TISAX-Labels
Auf dieses Thema sind wir im Abschnitt der Vorbereitung der Registrierung kurz eingegangen: Was früher ein Prüfziel war, wurde nun zum TISAX-Label.
Abbildung 33. Prüfziele und TISAX-Labels
Die TISAX-Labels:
sind das Ergebnis des TISAX-Prüfprozesses.
fassen Ihr Prüfergebnis zusammen.
sind die Feststellung, dass Ihr Informationssicherheitsmanagementsystem eine definierte Zusammenstellung von Anforderungen erfüllt.
Die Verwendung von Prüfzielen erleichtert die TISAX-bezogene Kommunikation mit Ihrem Partner und Ihrem TISAX-Prüfdienstleister, da sie sich auf einen definierten Output des TISAX-Prüfprozesses beziehen.
5.4.14.1. Hierarchie der TISAX-Label
Die Zuordnung zwischen Prüfzielen und TISAX-Labels ist recht einfach. Aber es gibt noch einen weiteren wichtigen Aspekt: Einige TISAX-Labels sind hierarchisch verknüpft. Das heißt, wenn Sie ein bestimmtes TISAX-Label erhalten, erhalten Sie damit automatisch auch die TISAX-Labels „unterhalb“ dieses Labels.
Beispiel: War Ihr Prüfziel „Very high availability“, erhalten Sie das entsprechende TISAX-Label „Very high availability“. Da aber das Prüfziel „Very high availability“ eine Obermenge von „Very high availability“ ist, erhalten Sie automatisch auch das TISAX-Label „High availability“.
Diese Hierarchie gibt es derzeit bei folgenden TISAX-Labels:
“Info high” ist eine Obermenge von „Confidential“ und “High availability”.
“Info very high” ist eine Obermenge von „Strictly confidential“ und “Very high availability”.
„Strictly confidential“ ist eine Obermenge von „Confidential“.
„Very high availability“ ist eine Obermenge von „High availability“.
„Special data“ ist eine Obermenge von „Data“.
| Bitte beachten Sie: Sie können TISAX-Labels auch rückwirkend erhalten. Wenn wir ein neues Label einführen, das eine Teilmenge eines der TISAX-Labels ist, die Sie bereits erhalten haben, erhalten Sie automatisch das neue Label. Beispiel: Sie haben das TISAX-Label “Info high” zu einer Zeit erhalten, als es das Label “High availability” noch nicht gab. Als wir das Label High availability eingeführt haben, hat Ihnen unser System dieses Label automatisch zugewiesen. |
Sie können diese hierarchischen Beziehungen herleiten, indem Sie die geltenden Anforderungen, wie in Tabelle 8, “Geltung der Anforderungen für die Prüfziele” spezifiziert, vergleichen.
Dies mag nicht für jeden Teilnehmer wichtig erscheinen. Aber stellen Sie sich vor, ein Partner fordert Sie auf, das TISAX-Label „Very high availability“ und ein anderer das TISAX-Label „High availability“ vorzuweisen. Dann beide TISAX-Labels zu haben, macht es für alle einfacher, denn niemand muss verstehen, dass „High availability“ eine Teilmenge von „Very high availability“ ist. Dies gilt insbesondere für Partner, bei denen bestimmte TISAX-Labels Teil eines strikten Einkaufsprozesses sind. Sie werden sicher nicht erklären wollen, dass „Very high availability“ „besser“ als „High availability“ ist. Sie zeigen einfach alle Ihre TISAX-Labels und die Person, die die Auswertung durchführt, kann einfach die Anforderung „erfordert TISAX-Label ’High availability’“ abhaken.
5.4.14.2. Gültigkeitsdauer der TISAX-Labels
TISAX-Labels sind in der Regel drei Jahre lang gültig. Der Gültigkeitszeitraum beginnt am Ende des Prüfprozesses (noch vor der Ausgabe des „TISAX Assessment Berichts“).
Ihre Gültigkeitsdauer kann kürzer sein, wenn sich etwas Wesentliches im Hinblick auf den TISAX-Prüf-Scope ändert.
Beispiele: Umzug Ihres Unternehmens, neue Standorte (Anweisungen, was in solchen Fällen zu tun ist, finden Sie in Abschnitt 7.9.3.2, “Wie Sie die Änderung eines Standorts beantragen” und Abschnitt 7.9.3.4, “Wie Sie einen weiteren Standort hinzufügen”)
| Bitte beachten Sie: Sie können Ihre TISAX-Labels nur im ENX-Portal einsehen. Sie werden im „TISAX Assessment Bericht“ nicht erfasst. |
5.4.14.3. Erneuerung der TISAX-Labels
Um Ihre TISAX-Labels langfristig zu erhalten, müssen Sie sie alle drei Jahre erneuern[30].
Dazu müssen Sie im Wesentlichen den TISAX-Prozess erneut durchlaufen (einen Prüf-Scope registrieren, sich wieder nach TISAX prüfen lassen, Prüfergebnis teilen). Die Registrierung ist etwas einfacher, da Sie Ihr Unternehmen nicht neu als TISAX-Teilnehmer anlegen müssen. Und natürlich können Sie alle Ihre Ansprechpartner und Standorte, die bereits in der TISAX-Datenbank gespeichert sind, wiederverwenden.
| Wichtiger Hinweis: Bitte registrieren Sie einen NEUEN Prüf-Scope, BEVOR Sie sich an Ihren Prüfdienstleister wenden. Ihr Prüfdienstleister kann nur dann einen neuen Prüfprozess beginnen, wenn Sie eine neue Scope-ID angeben können. In den meisten Fällen ist die Registrierung eines neuen Prüf-Scopes einfach. Sie müssen lediglich einen neuen Scope-Namen vergeben, Ansprechpartner hinzufügen, das/die Prüfziel(e) auswählen und Standorte hinzufügen. Sie können Ansprechpartner und Standorte, die bereits im System vorhanden sind, aus jedem zuvor registrierten Prüf-Scope wiederverwenden. |
| Wichtiger Hinweis: Bitte verwenden Sie die vorhandenen Standort-Einträge, die Sie bei der Registrierung Ihres vorherigen Scopes erstellt und verwendet haben. Legen Sie keinen neuen Standort-Eintrag mit derselben Adresse an. |
| Wichtiger Hinweis: Falls es während der Beziehung mit Ihrem Partner die Anforderung gibt, jederzeit gültige TISAX-Labels zu haben, empfehlen wir Ihnen dringend, eine Erinnerung in Ihren Kalender aufzunehmen, die den Erneuerungsprozess rechtzeitig anstößt. Wir empfehlen, die Verlängerung mindestens ein Jahr vor Ablauf Ihrer TISAX-Labels zu beginnen. |
Nachdem Sie nun Ihre TISAX-Labels erhalten haben, können Sie zum letzten Schritt übergehen und sie mit Ihrem Partner teilen.
