Wir haben es geschafft! Wir sind nach TISAX zertifiziert. Mit diesem Zertifikat heben wir unsere Informationssicherheit auf ein neues Level.
Was ist TISAX?
TISAX steht für Trusted Information Security Assessment Exchange. Auf Deutsch: Vertraulicher Austausch von Informationssicherheitsprüfungen. TISAX ist ein Standard für Informationssicherheit von der ENX Association und wurde eingeführt, um die Informationssicherheitsprüfungen in der Automobilbranche zu vereinheitlichen und die Informationen über das Informationssicherheitslevel von Automobilherstellern und Zulieferern zentral bereitzustellen.
Heutzutage findet TISAX nicht mehr nur in der Automobilbranche Anklang, vielmehr werden immer mehr Branchen auf diesen Standard aufmerksam und fordern ihn von ihren Auftragnehmern ein.
Was ist Informationssicherheit?
Informationssicherheit befasst sich mit technischen und organisatorischen Maßnahmen zum Schutz von Informationen in technischen und nicht-technischen Systemen. Die technischen und organisatorischen Maßnahmen leiten sich ausfolgenden Schutzzielen ab:
Vertraulichkeit:
Eine Information gilt als vertraulich, insofern sie nur für Befugte zugänglich ist. Kundendaten z.B. sind vertraulich. Das Unternehmen muss dafür Sorge tragen, dass nur die Mitarbeitenden Zugriff auf die Kundendaten haben, die das jeweilige Kundenprojekt bearbeiten. Dazu sind ist z.B. die Klassifizierung von Informationen und ein Berechtigungsmanagement nötig.
Verfügbarkeit:
Eine Information gilt als verfügbar, insofern sie von befugten Personen abgerufen werden kann. Das Unternehmen muss gewährleisten, dass vertrauliche Informationen von befugten Personen abgerufen werden können. Hier spielt vor allen Dingen die Ausfallsicherheit technischer Systeme eine Rolle.
Integrität:
Eine Information gilt als integer, insofern sie von Unbefugten nicht manipuliert werden kann. Das Unternehmen muss sicherstellen, dass vertrauliche Informationen einzig von Befugten erstellt, verändert und gelöscht werden können. Eine Maßnahme ist hier z.B. die vom Unternehmen eingesetzten IT-Systeme zu befähigen, Veränderungen von Daten zu nachverfolgen zu können.
Wie wird die Einhaltung der Schutzziele überprüft?
Zertifizierte Prüfungsanbieter prüfen die Schutzziele anhand eines Anforderungskatalog des Verbands deutscher Automobilhersteller. Dieser trägt den Namen VDA ISA. Die Prüfung besteht aus einer Hauptprüfung und meist auch einer Nachprüfung. In der Hauptprüfung prüft der Auditor über 2-3 Tage die Umsetzung der Anforderungen im VDA ISA-Katalog. Das Zertifikat gilt für drei Jahre. Dieses Ziel haben wir jetzt erreicht!
Was passiert mit den Ergebnissen?
Die Ergebnisse werden ausschließlich im ENX-Portal veröffentlicht. Dort können Teilnehmer festlegen, wie viel Informationen über das Ergebnisses sie mit anderen Teilnehmern teilen.
Unser Weg zum TISAX-Zertifikat
Wir beraten schon seit langer Zeit Kunden in der Automobilbranche und haben uns deshalb entschieden uns nach TISAX zertifizieren zu lassen.
Unsere Informationssicherheit war bereits auf einem hohen Level. Aus dem Hype um die ISO 9001 – ging vor mehr als 20 Jahren schon ein Qualitätsmanagementhandbuch hervor, indem wir unsere Unternehmensprozesse ausführlich dokumentieren. Wir konnten in den bald 25 Jahren, die das Unternehmen alt ist, kein Verlust von informationssicherheitsrelevanten Daten verzeichnen.
Aber natürlich kann auch Gutes besser werden.
Dank der guten Basis ging es hauptsächlich darum, Dinge bewusst zu tun (geplant und dokumentiert
Über die bestandene Hauptprüfung haben wir schon im Juni berichtet. Aus der Hauptprüfung gingen nur noch wenige Defizite hervor. Nachdem wir nachweisen konnten, dass wir diese durch Umsetzung von Maßnahmen abstellen konnten, haben wir vor kurzem die Nachprüfung bestanden!
Ein großer Dank geht an alle SOPHISTen, die an diesem Projekt mitgearbeitet und jeden Tag alles dafür gegeben haben, unsere Informationssicherheit so voranzubringen, sodass wir das Zertifikat erhalten konnten!
Ein großer Dank geht auch an die Firma aigner business solutions, die als Beratungsunternehmen mit Rat und Tat zur Seite stand und ohne die wir die Prüfungen sicherlich nicht so reibungslos bestanden hätten! Wir gehen jetzt nicht nur informationssicher mit Kundendaten um, wir können es sogar nachweisen.
Und weil wir das so toll finden, stoßen wir gleich noch einmal an!
Herzlichst,
Ihre SOPHISTen