"TISAX®" ist ein wechselseitig anerkannter Prüfungsstandard für Informationssicherheit in der Automobilbranche. Der VDA (Verband der Automobilindustrie) hat einen Fragebogen zur Informationssicherheit (ISA – Information Security Assessment) entwickelt und mit Beginn 2017 TISAX® als verbindlichen Prüfungsstandard für alle TISAX registrierten Unternehmen definiert. Viele OEMs und Zulieferer setzen ein gültiges TISAX® Label als Bedingung der Zusammenarbeit voraus.

Die ENX® Association stellt die Plattform für den gegenseitigen Austausch der Prüfergebnisse zur Verfügung. Sie ist die führende Organisation, lässt Prüfdienstleister zu und überwacht die Qualität der Durchführung und der Assessment-Ergebnisse.

Grundsätzlich ergeben sich die folgenden mögliche Kosten:

• Teilnahme TISAX® (Anmeldung ENX®) 
• Jährliche Teilnahmegebühr
• Analyse / Planung Analyse des IST Standes, Identifikation von notwendigen Maßnahmen, Projekt- und Ressourcenplanung
• Projektumsetzung Umsetzung von Maßnahmen, Implementierung des ISMS, Erstellung von Dokumenten, Erarbeiten von Prozessen, Projektmanagement
• Physische/bauliche Maßnahmen Ggf. bauliche Veränderungen, Zutrittsschutz, Schließsysteme, sofern notwendig: Kameraüberwachung, Perimetersicherung/Zäune usw.
• Investitionen in IT-Lösungen z.B. IT-Sicherheitslösungen, Multi-Faktor-Authentifizierung, Verschlüsselungslösungen, Mobile Device Management, Event Logging, System-Audits/PEN-/Stress-Tests
• Prüfdienstleister, Voraudit, Audit, Corrective Action Plan Assessment, Follow UP usw.
• Ressourcen für den Betrieb des ISMS 
• ISMS Steering Committee, ISB (Informationssicherheitsbeauftragter), interne und externe Audits usw.

Abhängig vom Unternehmensgröße, -aufbau und Reifegrad in Ihrer Organisation können Sie sich an folgenden unverbindlichen Richtwerten orientieren.

Unternehmen mit 10 bis 100 Mitarbeiter und einem Standort

Management: 10-30 MT 

IT: 20-40 MT

Organisation/ Einkauf/ HR: 5-10 MT

Unternehmen mit 100 bis 1000 Mitarbeiter und mehreren Standorten

Management: 40-80 MT 

IT: 40-80 MT

Organisation/ Einkauf/ HR: 10-20 MT

Hinzu kommen Aufwände für ggf. notwendige bauliche Veränderungen und ggf. Aufwände für Ihren DSB.

VDA ISA Katalog 

ENX®-TISAX® Teilnehmerhandbuch:

- Online

- Pdf

ENX®-Portal

ENX®-Teilnahme Preisliste

Je nach Geltungsbereich und Schutzbedarf finden unterschiedliche Module bei der Zertifizierung ihre Anwendung. Es wird unterschieden zwischen den Basismodulen zu Informationssicherheit: 

  1. Informationen mit "Hohem" Schutzbedarf ugs. „vertraulich“

  2. Informationen mit "Sehr Hohem" Schutzbedarf ugs. „streng vertraulich“/ „geheim“

Die Zusatzmodule zum Prototypenschutz:

  3. Prototypenschutz Komponenten und Bauteile

  4. Prototypenschutz Fahrzeuge

  5. Prototypenschutz Erprobungsfahrzeuge

  6. Prototypenschutz Veranstaltungen und  Film- und Fotoshootings von Prototypen

Die Zusatzmodule zur Anbindung an Dritte:

  7. Anbindung an Dritte Hoher Schutzbedarf

  8. Anbindung an Dritte Sehr Hoher Schutzbedarf

Die Module zum Datenschutz:

  9. Datenschutz (nach DSGVO)

10. Datenschutz (mit besonderem Schutzbedarf)

• Vermeidung von zukünftigen Kosten durch saubere Prozesse und gesenkte Ausfallwahrscheinlichkeit
• Senkung des Haftungsrisikos
• Frühzeitiges Erkennen von Risiken und schnellere Reaktion auf aktuelle Bedrohungen (Schadsoftware, Trojaner, Viren, Cyberattacken, Industriespionage)
• Schutz von Investitionen in Produkte und Know-how
• Stärkung und Erhaltung der Marktposition und Sicherung von Wettbewerbsvorteilen
• Einhaltung gesetzlicher Vorlagen und Kundenanforderungen
• Erhöhung der Transparenz Ihrer IT

Oft ist zunächst der Vertrieb mit der Anforderung konfrontiert und häufig landet das Projekt fälschlicherweise bei der IT-Abteilung / IT-Leitung.

Informationssicherheit IST NICHT GLEICH IT-Sicherheit!

Verantwortlich ist das Management oder der Managementbeauftragte (MMB). Es handelt sich um eine Anforderung, die ALLE BEREICHE des Unternehmens umfasst, insbesondere

• Management
• IT-Sicherheit
• Organisation
• Physische Sicherheit (Facility, Produktion)
• Lieferanten- Partnermanagement
• Datenschutz

Technische Anforderungen ergeben sich abhängig vom Geltungsbereich (Scope) und Schutzbedarf (hoch, geheim, Prototypenschutz usw.).

Besonderes Augenmerk wird auf Lösungen gesetzt, welche die Sicherheit und Transparenz der IT erhöhen. D.h. Verschlüsselung, Authentifizierung (z.B. 2-Faktor), Logging und Reporting, Monitoring und Inventarisierung. Zusätzlich sind unterstützende Systeme hilfreich, welche Unternehmensprozesse automatisieren (z.B. Ticketsystem, automatische Workflows, DMS).

Im Rahmen der physischen Sicherheit werden Zutrittsschutz, Gelände- und Gebäudesicherheit, Einhaltung von Sicherheitszonen, Sichtschutz, Alarmierung und ggf. Kameraüberwachung betrachtet.

EXTERN

Sie benötigen Hilfe bei der objektiven Beurteilung Ihres aktuellen Reifegrades und des Geltungsbereiches. Hierfür führen wir bei Ihnen eine SCOPE- und GAP Analyse durch.

Sie benötigen konkret formulierte Maßnahmen (TOMs), um die Anforderungen zu erfüllen. Basierend auf unserer Erfahrung empfehlen wir pragmatische und angemessene Maßnahmen, um eine Übererfüllung und unnötige Kosten für Sie zu vermeiden. Hierfür erstellen wir einen verständlichen Maßnahmenplan, der Sie durch das gesamte Projekt begleitet.

Sie benötigen ein abgestimmtes Rahmenwerk an Richtlinien, Prozessen, Anweisungen und Dokumenten, um ein lebensfähiges Managementsystem zu etablieren. Hierfür bieten wir Ihnen ein umfangreiches Dokumenten- und Toolset.

INTERN

Sie bestimmen ein internes Steering Komitee/ Lenkungskreis und übernehmen die Projektleitung und Umsetzung der Maßnahmen.

Sie stellen aus Ihrer Organisation einen Informationssicherheitsbeauftragten (ISB) welcher zukünftig den Betrieb des ISMS unterstützt.

Ihre IT-Abteilung implementiert notwendige Lösungen und erstellt eine umfassende IT-Dokumentation über die verwendete IT-Infrastruktur und Prozesse.

Ihre Fachabteilungen befüllen die Dokumentation mit Leben und setzen die Prozessbeschreibungen um.