Softwaregestützte Umsetzung des VDA ISA nach TISAX®

Softwaregestützte Umsetzung des VDA ISA nach TISAX®Pixabay - memed_nurrohmad

TISAX®: Rollen, Vorgehen und Vorteile

TISAX® steht für Trusted Information Security Assessment eXchange. Vor dem Hintergrund der Informationssicherheit in der Automobilindustrie stellt TISAX® ein unternehmensübergreifendes Prüf- und Austauschverfahren dar. Das Ziel ist, den Schutz der Daten, ihrer Integrität und Verfügbarkeit im Herstellungsprozess sowie letztlich im Betrieb von Fahrzeugen sicherzustellen.

Dies erfolgt über ein Informationssicherheitsmanagementsystem (ISMS) analog zur Norm ISO 27001. Auf Basis der Norm ISO 27001 hat der Verband der Automobilindustrie e. V. (VDA) den speziellen Information Security Assessment (ISA) Anforderungs- und Prüfkatalog entwickelt.

Die Wirksamkeit eines ISMS kann über Assessments (Prüfungen) gegen den VDA ISA nachgewiesen werden. Bei erfolgreicher Prüfung, z.B. durch TÜV NORD, wird von ENX – der Administrator des TISAX®-Programms – in dessen Datenbank ein TISAX®-Label ausgestellt. Dieses wird von allen VDA-Mitgliedern und Fahrzeugherstellern wie z.B. Audi, Volkswagen oder BMW anerkannt und gefordert.

Rollen

Rollen innerhalb des TISAX®-Vorgehens:

ENX Association: Die ENX Association verwaltet und entwickelt die „Audit Provider Criteria and Assessment Requirements“ (TISAX ACAR). Sie autorisiert Prüfdienstleister und überwacht die Qualität der Umsetzung sowie der Ergebnisse.

Prüfdienstleister: Der Prüfdienstleister ist von der ENX Association zugelassen und führt die Bewertung beim Teilnehmer durch. Der Prüfdienstleister stellt schließlich dem bewerteten Teilnehmer das Ergebnis zur Verfügung.

Teilnehmer: Der Teilnehmer ist ein in TISAX registriertes Unternehmen und wird vom Prüfdienstleister nach VDA ISA auditiert.

Vorgehen

Prüfungen nach VDA TISAX werden von Prüfdienstleistern durchgeführt. Die ENX Association agiert in dem System als Governance-Organisation. Sie lässt die Prüfdienstleister zu und überwacht die Qualität der Durchführung sowie der Assessment-Ergebnisse. So soll sichergestellt werden, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen als auch die Rechte und Pflichten der Teilnehmer gewahrt werden. Damit kann ein Unternehmen entscheiden, ob der sich ergebende Reifegrad des Zulieferers (Dienstleister und Lieferanten) den Anforderungen des Käufers entspricht.

Sollte die Prüfung ergeben, dass das Managementsystem noch nicht vollständig konform ist, kann der Teilnehmer einen Korrekturplan vorlegen. Dieser kann vom Prüfdienstleister anerkannt werden, sodass temporäre TISAX-Label vergeben werden können. Im Nachaudit werden diese dann ggf. in permanente Labels umgewandelt.

Wurde im Rahmen der TISAX-Prüfung keine Haupt- und Nebenabweichung festgestellt, dann ist die TISAX Zertifizierung erfolgreich verlaufen. Der Prüfdienstleister übermittelt das TISAX Zertifizierungsergebnis an die ENX. Diese wiederum veröffentlicht es auf der ENX TISAX Plattform. 

Vorteile

Das Prüf- und Austauschverfahren nach TISAX® bietet diverse Vorteile:

  • Erleichterte Erneuerung bestehender Lieferantenbeziehungen
  • Eröffnung neuer Geschäftsbeziehungen durch branchenweite Anerkennung
  • Schaffung von Preistransparenz für Prüfungen
  • Etablierung eines gemeinsamen Niveaus der Informationssicherheit in der Branche
  • Schaffung von Wettbewerb zwischen Prüfdienstleistern
  • Allgemeine Anerkennung der Prüfergebnisse
  • Einsparung von Kosten und Aufwand bei Herstellern und Lieferanten

Systemgestützte Prüfungsdurchführung des VDA ISA…

Die Software ibi systems iris unterstütz sowohl den Teilnehmer beim Self-Assessment als auch den Prüfdienstleister bei der Prüfung nach dem Fragenkatalog des VDA ISA.

…für den Teilnehmer

Der Teilnehmer kann sich in Form eines Self-Assessments ideal auf die Prüfung durch den Prüfdienstleister vorbereiten. Beim Self-Assessment muss ein Reifegrad von 3 erreicht werden.

Die Prüfung nach VDA ISA kann mithilfe der Software ibi systems iris systemgestützt über die Weboberfläche durchgeführt werden. Im Rahmen dieser Prüfung ist als Ergebnis ein Reifegrad zwischen 0 und 5 für die verschiedenen Kontrollen anzugeben. Die Umsetzung kann gegebenenfalls durch Hochladen und Anhängen der relevanten Dokumente belegt werden. Falls bei einzelnen Kontrollen Abweichungen oder Nachbesserungsbedarf besteht, können direkt bei der Kontrolle Feststellungen (z.B. Abweichung) und/oder Maßnahmen (zur Nachbesserung) angehängt werden.

Screenshot 1: Systemgestützte Prüfungsdurchführung

Ein umfangreiches Reporting über Berichte und Dashboards ist ebenso mit der Software möglich. Dadurch werden die Ergebnisse übersichtlich dargestellt und Abweichungen vom angestrebten Reifegrad fallen sofort ins Auge.

Screenshot 2: Spinnennetzdiagramm mit Zielreifegrad
Screenshot 3: Ergebnisübersicht VDA ISA

Ein Prüfdienstleister darf hier den Teilnehmer nicht unterstützen, sonst ist dieser Prüfdienstleister von der Prüfung ausgeschlossen. Das Self-Assessment erfolgt daher meist mit Unterstützung eines externen Beraters, um dem Teilnehmer zur Erreichung des Reifegrades 3 zu verhelfen.

…für den Prüfdienstleister

Für den Prüfdienstleister stellt die Software die ideale Plattform dar, um alle Prüfungen für die verschiedenen Teilnehmer in nur einem Tool abzubilden. Die Teilnehmer werden als „betroffene Assets“ mit der Prüfung verknüpft und die Ergebnisse vom Prüfer eingetragen. Der Prüfdienstleister hat somit stets den Überblick über den aktuellen Stand und die Ergebnisse der durchgeführten Audits.

Screenshot 4: Prüfungsüberblick des Prüfdienstleisters

Wie in den Screenshots zwei und drei weiter oben ersichtlich, stehen umfangreiche Möglichkeiten zur Verfügung Berichte über die durchgeführten Audits zu erstellen. Auch eine Offline-Durchführung der Prüfung ist möglich, wenn der Auditor etwa gerade beim Teilnehmer vor Ort keinen Netzwerkzugriff haben sollte. Weitere Details zur Offline-Durchführung von Prüfungen finden Sie hier.

Screenshot 5: Prüfungsdurchführung beim Teilnehmer via Excel und späteres Hochladen ins System

Fazit

Durch ibi systems iris werden sowohl die Prüfdienstleister als auch die Teilnehmer bei den Audits bzw. den Self-Assessments nach VDA ISA unterstützt. Die Prüfungsdurchführung nach VDA ISA stellt dabei Dreh- und Angelpunkt des TISAX®-Vorgehens dar.

Neben den Funktionalitäten zum Prüfungsmanagement und dem zugehörigen Reporting, bietet die Software ibi systems iris noch viele weitere nützliche Features und Lösungen. Sprechen Sie uns gerne darauf an und wir zeigen Ihnen welche das sind.

 

Haben wir Ihr Interesse geweckt?

Kontaktieren Sie uns!

 

Zurück zur Übersicht

____________________

/von