Was ist nötig um die ISO 27001 zur Erreichung eines TISAX® Labels zu nutzen?
Sie sind bereits ISO 27001 konform und müssen nun TISAX® nachweisen? Der internationale Standard ISO 27001 und die Vorgaben des VDA zur Informationssicherheit überschneiden sich an vielen Stellen. In diesem Artikel beschreiben wir auf Basis unserer Erfahrung welche Themen bei einem vorhandenen ISMS nach ISO 27001 für eine Prüfung nach TISAX® und VDA-ISA relevant sind. TISAX® ist eine eingetragene Marke der ENX Association. ACHTUNG: die OPTIMAbit GmbH bietet nur Informationen zum VDA ISA an und ist kein Zertifizierer gemäß TISAX®.
Ausgangssituation: Zertifiziertes ISMS nach ISO 27001
Welche Zusatzanforderungen werden vom VDA gefordert?
Grundsätzlich haben Sie mit einer vorhandenen ISO 27001 Zertifizierung eine hervorragende Ausgangslage für VDA ISA und TISAX®. Der Zusatzaufwand, um ein TISAX® Label zu erhalten, hängt von verschiedenen Faktoren (z.B. Reifegrad des vorhandenen ISMS, Zusatzanforderungen wie Prototypenschutz etc.) ab und lässt sich nicht pauschal abschätzen. Unterschätzen Sie den Aufwand einer zusätzlichen TISAX® Prüfung nicht. Aus unserer Erfahrung dauert es mindestens zwei volle Arbeitstage den VDA ISA Katalog vollständig auszufüllen.
Die Zusatzkosten für das TISAX® Label setzen sich aus den folgenden Komponenten zusammen:
- Kosten für die Registrierung auf der TISAX Plattform der ENX
- Kosten für einen externen TISAX® Prüfer
- Interner Aufwand für die Umsetzung der VDA ISA Anforderungen
- Kosten für externe Berater
Wer führt die Prüfungen durch?
Bei einer vorhandenen ISO 27001 Zertifizierung sollten Sie als Erstes mit Ihrem ISO 27001 Prüfer über eine Prüfung nach TISAX® sprechen. Zum einen aus fachlicher Sicht, aber vor allem, um Termine abzustimmen. Sie werden immer zwei Prüfungen beauftragen müssen – allerdings kann man diese zeitlich so legen, dass Sie vom gleichen Prüfer durchgeführt werden. Kompliziert wird es allerdings, wenn Ihr aktueller ISO 27001 Prüfer keine Zulassung für TISAX® hat.
Was ist Teil des Anwendungsbereiches (Scope)?
Der Anwendungsbereich Ihrer vorhandenen ISO 27001 Zertifizierung muss nicht zwangsläufig den TISAX® Anwendungsbereich abdecken. Sie müssen daher beide Anwendungsbereiche prüfen und ggfs. Lücken schließen. Details zum Standard-Scope finden Sie hier.
Was wird geprüft?
- Prüfungsbereiche und -tiefe: Ein ISO 27001 Auditor hat mehr Freiheiten als ein TISAX® Auditor. Dies betrifft die Bereiche sowie die Prüfungstiefe. Im Rahmen einer TISAX® Prüfung werden immer alle 52 Anforderungen des VDA ISA geprüft – aus unserer bisherigen Erfahrung führt „Mut zur Lücke“ fast immer zu einer Abweichung.
- Reifegrad: Für ISO 27001 zertifizierte Unternehmen ist zudem besonders wichtig das VDA Konzept der „Reifegrade“ zu berücksichtigen.
- über ISO 27001 hinausgehende Anforderungen: Es muss geprüft werden, ob weitere Anforderungen des VDA ISA – z.B. im Bereich Prototypenschutz – berücksichtigt werden müssen.
Anhand unserer Checkliste zur TISAX® Umsetzung basierend auf dem VDA ISA, können Sie vorab die erforderlichen Pflichtdokumente einsehen.
Welche Auswirkungen haben Abweichungen?
Die TISAX® Prüfung findet alle drei Jahre statt – eine ISO 27001 Prüfung dagegen jährlich. Die Konsequenzen sind weitreichend: eine Abweichung in der 27001 Prüfung kann im folgenden Überwachungsaudit ein Jahr später überprüft werden. Diese Entscheidung trifft der Auditor. Am Ende einer TISAX® rüfung hingegen müssen alle Abweichungen behoben sein – dabei gibt es keinen Spielraum für den Auditor. Sollten Sie aktuell offene Abweichungen in Ihrem ISO 27001 ISMS haben, wird der TISAX® Prüfer diese mit hoher Wahrscheinlichkeit finden – z.B. wenn er die interne Maßnahmenverfolgung auditiert. Während es in der ISO 27001 zulässig ist offene Abweichungen zu führen, deren Maßnahmen noch nicht umgesetzt sind, funktioniert dies für TISAX® nicht.
Was passiert mit den Prüfergebnissen?
Die Prüfergebnisse bleiben bei einer ISO 27001 bei Ihnen im Unternehmen. Sie entscheiden selbst, welche Informationen Sie nach außen geben – z.B. den Auditbericht, das Zertifikat oder andere Nachweise Ihren Kunden zugänglich machen. Die Idee bei TISAX® ist der Austausch standardisierter und vertrauenswürdiger Informationen zur Informationssicherheit zwischen Lieferanten und Automobilherstellern über eine zentrale Plattform. Dabei handelt es sich um ein sogenanntes „Label“. Sie können dabei selbst entscheiden welchen TISAX® Teilnehmern Sie welche Informationen zur Verfügung stellen.
Welche Leistungen bieten wir Ihnen an?
- Wir beraten Sie zu den Detailanforderungen des VDA ISA im Rahmen der bestehenden ISO 27001 Implementierung.
- Wir führen eine Gap-Analyse zwischen Ihrem vorhandenen ISO 27001 ISMS und den VDA ISA Anforderungen durch.
- Wenn Sie bereits VDA ISA Anforderungen implementiert haben, können wir ein internes oder Pre-Audit nach VDA ISA durchführen.
Weitere Details, z.B. zum Prüfprozess zu TISAX® gemäß VDA ISA haben wir in unserem Artikel „ISO 27001 oder TISAX® – für wen eignet sich welche Zertifizierung?“ dargestellt.
Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!
Ihr OPTIMAbit-Experten-Team