Umfassende Informationen & Hilfe zum Datenschutz (DSGVO & BDSG-neu)
erhalten Sie auf unserer Spezialseite
Erfüllt ISO 9001 | ISO 27001 | ISO 22301 | DSGVO Siegel
         ISO 31000 i.V. mit ONR 49001

Wir helfen Ihnen - pragmatisch, kompetent und schnell

Direkt zum Seiteninhalt

TISAX vs. ISO27001

TISAX®
Auf der vorherigen Seite haben wir erklärt, was TISAX bedeutet und was es für eine Zielsetzung hat. Viele fragen sich nun wo ist der Unterschied zwischen TISAX zu einer ISO27001 (ISO27002)?

ISO27001 ist eine international anerkannte Norm für ein Informationssicherheitssystem (ISMS). Sie wurde herausgegeben von der ISO - International Organization for Standardization in Genf. Grundlage war der British Standard (BS) 7799 aus England.

Die ISO 27001 ist weltweit anerkannt, um ein ISMS nachzuweisen. Es ist eine ganze ISO 270xx Normenfamilie entstanden - welche verschiedene Bereiche wie z.B. Netzwerksicherheit oder ISMS in Branchen detaillierter regelt. Die Umsetzung der ISO 27001 Anforderungen kann sich das Unternehmen durch eine externe Zertifizierung bestätigen lassen. Hierbei ist Zertifizierunggrundlage der Normteil ISO 27001, welcher die Anforderungen an das ISMS formuliert.

Die ISO 27001 hat einen Anhang A, in welchem in den Teilen A5 bis A18 Anforderungen an Maßnahmen in verschiedenen Gebieten wie Physischer Sicherheit, ISMS Organisation, Zugriffsregelungen etc. formuliert werden. Dieser Anhang ist grundsätzlich nicht Bestandteil einer Zertifizierung. Da aber die ISO27001 ein Risikomanagement für Informationsicherheit als zentraler Bestandteil hat - in welchem Bedrohungen und Schwachstellen bewertet werden und hierfür die Risikogegenmaßnahmen auf Basis des Anhang A zur Bewältigung herangezogen werden, wird der Anhang A zumindest teilweise somit zum Zertifizierungsgegenstand. Unternehmen haben bei der ISO27001 eine Erklärung zu Anwendung abzugeben. Und in dieser muss das Unternehmen die umgesetzten Maßnahmenempfehlungen des Anhang A auflisten, die somit zum Zertifizierungsgegenstand werden. Das Zertifikat referenziert auf die Erklärung der Anwendbarkeit der ISO27001. Prüfungsorganisationen müssen sich hierfür bei der jeweilig nationalen Akkreditierungsstelle - in Deutschland bei der Dakks akkreditieren lassen oder bieten die Zertifizierung als nicht akkreditierte Zertifizierungsgesellschaft an - was grundsätzlich erlaubt und möglich ist.

Zur ISO27001 gibt es einen weiteren Normenteil, die ISO27002. Die ISO27002 nimmt sich den Anhang A5 - A18 der ISO27001 und erläutert diesen näher - bietet somit Lösungen zu den Anforderungen an. Dabei geht die ISO27002 nicht so tief wie andere Standards in diesem Gebiet. Der BSI Grundschutz oder NIST (USA) gehen hier viel tiefer und bieten direkte Lösungsansätze.

Der Verband der Automobilindustrie e.V. (VDA) hatte schon in dem Arbeitskreis "Integraler Informationsschutz mit IT Sicherheit, Prototypenschutz und Risk Managment im Jahre 2005 die ISO27001_VDA_14516 ISO_IEC TR entwickelt.

Zielsetzung war die ISO27001 um die Anforderungen für den Produktschutz in der deutschen Automobilindustrie spezifisch zu ergänzen. Dabei ging es um die Informationssicherheit, den besonderen Schutz des Design und der Innovation im Bereich der Entwicklung oder Testbetrieb von Prototypen oder Fahrzeugkomponenten sowie der Aufbau von Designmodellen zu schützen. Car-Clinicen, Fotoshootings und Event-Marketing waren damals nicht berücksichtigt.

In den vergangenen 10 Jahren sind so unterschiedliche ISA-Prüfungskataloge des VDA entstanden, die alle auf der ISO27001 beruhten und von den VDA-Mitgliedsunternehmen (z.B. OEM) angewendet wurden um Lieferanten in diesem Feld zu prüfen. So konnte es vorkommen, dass ein Lieferant sich mehreren Audits durch unterschiedliche OEM oder Kunden in einem Jahr unterziehen musste.

Um dieses ISA-Prüf-Verfahren zu vereinfachen und Mehrfachprüfungen abzuschaffen, hat der Arbeitskreis des VDA TISAX (Trusted Information Security Assessment Exchange) - ein Prüf- und Austauschmechanismus entwickelt. Dieser wurde von Mai 2016 bis 2017 als Konzeption in einer Pilotphase getestet und noch 2017 in den Betrieb überführt. Als Betreiber wurde die im Jahre 2000 auf betreiben des VDA gegründete ENX Association - als neutrale Partei mit der Durchführung von TISAX betraut.

In dem Verfahren meldet sich nun der Lieferant auf der TISAX Plattform des ENX an und hinterlegt dort sein erreichtes Level der TISAX Überprüfung. Die Überprüfung erfolgt durch bei der ENX zugelassenen Prüfungsorganisationen. Die ENX ist aber keine nationale anerkannte Akkreditierungsstelle im Sinne der ISO Normen! Die TISAX Zertifikate haben eine Laufzeit von 3 Jahren - wie ISO Zertifikate auch.

In dem Prüfungskatalog Version 4.0.3 vom 15.02.2018 werden die Prüfungsgebiete Informationssicherheit, 23. Anbindung Dritter, 24. Datenschutz und 25. Prototypenschutz als Prüfungsinhalt festgelegt. Dabei erfolgt die Prüfung der Informationssicherheit entlang der Anforderungen ISO 27001 und es wird direkt auf die Norm referenziert . Grundsätzlich umfasst die TISAX Anforderung jedoch auch ein vollständiges ISMS - wie bei der ISO 27001.

In dem Prüfungskatalog Version 4.0.4 vom 12.06.2018 werden die Prüfungsgebiete Informationssicherheit, 23. Anbindung Dritter, und 25. Prototypenschutz als Prüfungsinhalt festgelegt. Der Datenschutz wurde zurückgezogen, da dieser Teil nicht mehr der aktuellen Rechtslage entspricht. Hierbei gilt weiterhin die vollständige Umsetzung der Anforderungen des Datenschutzes - nach dem Update des Arbeitskreises Datenschutz, wird dieser Prüfungskatalog wieder aufgenommen werden.

Bei der Überprüfung wird die Umsetzung und die Prozesse in Level 0-5 geprüft - quasi nach einem Reifegradmodell wie in COBIT, ISO15504 oder CMM, bewertet.

Somit kann man sagen, dass der VDA mit ENX und dem Prüfungsverfahren TISAX eine parallele Zertifzierungswelt für Informationssicherheit in der Automobilindustrie installiert hat. Dieser umfasst grundsätzlich einmal die Anforderungen der ISO 27001 ergänzt um weitere spezielle Prüfungsfelder. TISAX ist aber ein Prüfbescheinigung der Automobilindustrie. Ein grundsätzlicher Unterschied besteht auch in der Betrachtung der Informationssicherheit. ISO27001 hat den Fokus auf die eigene Informationssicherheit (auch mit der Regelung zu Prozessen ausserhalb des eigenen ISMS und beitgestellter Dokumente von Dritter). TISAX hat aber einen sehr großen Focus auf die Sicherheit der Informationen von Dritter im eigenen ISMS. Dies ist auch innerhalb der Risikoanalyse abzubilden.

TISAX ist keine ISO Norm und hat derzeit keine internationale Anerkennung ausserhalb der Automobilbranche - es dient der Lieferantenzulassung im Automobilbereich um die erweiterten Anforderungen im Bereich Anbindung Dritter und Prototypenschutz auf einer einheitlichen Basis nachzuweisen. Dafür wurde vom Arbeitskreis auch erweiterte Anforderungen (auch welche die als MUSS umzusetzen sind) ergänzt. Damit werden über die Anforderungen der ISO27001 hinausgehende Anforderungen in bestimmten Teilen formuliert. Mit dem Reifegrad Konzept versucht TISAX den Unternehmen eine Hilfestellung für die Umsetzung der Anforderungen zu geben. Zielsetzung von TISAX ist auch die internationale Anerkennung zu verstärken, d.h. derzeit sind ja schon OEM wie Renault auf EU Ebene eingebunden und durch die internationalen Produktionsstandorte reichen TISAX Audits schon heute in Ländern wie Spanien oder Polen und bis nach CHINA. Zukünftig soll TISAX aber auch bei USA OEM eingeführt werden.

Eine ISO27001 ist jedoch ein international anerkannter Nachweis ohne Branchenbezug, der weltweit anerkannt wird. Die zwei Prüfgebiete Anbindung Dritter und Prototypenschutz sind dabei nicht Prüfungsinhalt. Bei einer ISO Zertifizierung wird auch nicht ein Umsetzungsreifegrad (Level) geprüft, sondern ob die Anforderungen erfüllt sind - also ein ja oder nein. Das Prüfungsverfahren ist somit härter!

Der VDA hat das Thema im Bereich der Lieferantenzulassung für seine Mitglieder schon seit langen Jahren bearbeitet. Das Bundesamt für Sicherheit (BSI) mit dem Grundschutz und später mit dem Grundschutz auf Basis der ISO 27001 und BSI-Zertifizierung auf Basis ISO27001 vornehmlich für den Öffentlichen Dienst ebenso.

In letzter Zeit beobachtet man in Deutschland unterschiedliche Bemühungen, die Sicherheit für die Informationsverarbeitung zu verbessern. So schließen sich nun auch Unternehmen wie BASF, Allianz, Bayer in Arbeitsgesellschaften zusammen um die Sicherheit gemeinsam in Deutschland zu verbessern und Ressourcen zu schonen.

In wieweit hier Zertifikate untereinander anerkannt werden, bleibt zu beobachten. Derzeit gibt es nur eine ISO27001, die international weltweit anerkannt wird.

TISAX ist wie gesagt, ein Prüfungsstandard der Automobilindustrie, der hauptsächlich für die Lieferantenzulassung genutz wird. BMW und VW machen dies ab 2018 zur Bedingung. Andere werden sicherlich folgen.

Es ist aber sicherlich nicht so, wie im Internet auf manchen Seiten dargestellt wird, dass TISAX nun die ISO27001 ersetzt oder ein besserer Weg sei. Vielleicht besser gesagt ist es so, dass wer eine ISO27001 bereits hat - der hat normalerweise einen kurzen Weg zur TISAX (er hat ja schon ein ISMS umgesetzt, was aber ergänzt und angepasst werden muss).

Und wer TISAX macht, der hat fast schon ein vollständiges ISMS nach ISO27001 erarbeitet, welches er sich normalerweise ohne viel zusätzlichen Aufwand mit einem international anerkannten ISO27001 Zertifizierung bestätigen lassen könnte. Ist er ein Automobillieferant hat er zustätzlich einen nun notwendigen Nachweis für den Prototypenschutz und Anbindung Dritter um eine Lieferantenzulassung zu erreichen.

Das nutzt derzeit aber nur einem Lieferanten in der Automobilindustrie etwas - für die Lieferantenzulassung. In anderen Branchen sieht es anders aus.




+49 7031 4181 860


CONSUVATION GmbH
Ziegelstraße 20
71063 Sindelfingen
Zurück zum Seiteninhalt