TISAX vs. ISO/IEC 27001 - Der Vergleich

Vielen Arbeitnehmern und Arbeitgebern sind TISAX und ISO 27001 geläufige Begriffe, doch was bedeuten diese Standards für Ihr Unternehmen, welche Vorteile entstehen, wo grenzen sie sich voneinander ab.

Grundsätzliches vorweg, TISAX ist ein für die deutsche Automobilindustrie entwickelter Prüfstandard auf Basis der Norm ISO/IEC 27001. 

Doch starten wir am Anfang. Alles begann im Jahr 2005 mit der Entwicklung eines international gütigen Standards in Form der Norm ISO 27001. Diese sprach erstmals Empfehlungen für diverse Kontrollmechanismen in der Informationssicherheit aus, insbesondere zu den Thematiken physische, Prozess- und IT-Sicherheit. Über die Jahre entstand so ein Maßnahmenkatalog mit 114 Punkten aus 14 Bereichen, welcher beschreibt, mit welchen Prozessen und Maßnahmen eine Organisation einen optimalen Sicherheitsstand erreichen kann, also den Aufbau und Betrieb einer Informationssicherheitsstruktur. Eine ausführliche Risikoanalyse ist hierbei die Grundlage des Managementsystems, wobei alle Unternehmensbereiche mit eingebettet werden, Gleiches gilt für TISAX. Bei erfolgreicher Zertifizierung durch einen Auditor bieten sich Ihrem Unternehmen folgende Vorteile:

  • Hohes Rating als Lieferant
  • Qualitätssiegel für Geschäftsprozesse
  • Stabile Geschäftsabläufe in Krisensituationen durch Notfallprozesse
  • Schutz von wichtigen & streng vertraulichen Informationen gegenüber Bedrohungen von außen
  • Gewährleistung & Einhaltung von gesetzlichen Anforderungen zum Schutz von personenbezogenen Daten
  • Schutz vor finanziellen Schäden & Verlust der Reputation
  • Schnelle Reaktion bei Sicherheitsvorfällen durch effiziente und optimierte Prozesse

Nun zu TISAX. Trusted Information Security Assessment Exchange (TISAX) wurde durch den Verband der Automobilindustrie (VDA) entwickelt, um einen speziell zugeschnitten Standard für Unternehmen der Automobilindustrie zu schaffen. Das Assessment ist ebenso wie bei der ISO 27001 einheitlich sowie standardisiert und für alle Zulieferer und Dienstleister, die mit der deutschen Automobilindustrie zusammen arbeiten wollen, verpflichtend. Der VDA ISA Katalog zur Informationssicherheitsbewertung umfasst bis zu 500 Anforderungen. Ein besonderes Augenmerk liegt dabei u. a. auf den Bereich des Prototypenschutzes und der Perimetersicherung des Firmengeländes. Im Umgang mit Prototypen wird bspw. beschrieben, wie diese zu tarnen sind oder welche Details bei Erprobungsfahrten zu beachten sind. Außerdem wurde für TISAX-zertifizierte Unternehmen durch die ENX Association eine Internetplattform bereitgestellt, auf welcher registrierte Unternehmen ihr Ergebnisse nach bestandener Prüfung veröffentlichen. Dies ist die Erweiterung auf Basis des weitverbreiteten Information Security Assessment (ISA). So können zukünftige Geschäftspartner schnell und unkompliziert den Informationssicherheitsstandard des Gegenübers einsehen, einschätzen und gegebenenfalls eine Kooperation eingehen. Zudem akkreditiert die ENX Association die Prüfdienstleister und überwacht so die Qualität der Durchführung und deren Ergebnisse sowie die Rechte und Pflichten der Teilnehmer. Vorteile sind folgende:

  • Übergreifende Anerkennung des Labels von allen deutschen Automobilherstellern
  • Einsparung von Zeit und Kosten durch einheitliches Prüfverfahren
  • Langer Gültigkeitszeitraum von 3 Jahren
  • Großes Vertrauen in geprüfte Unternehmen

Unterschiede zwischen beiden Standards sind u. a. der Reifegradprozess der Beurteilung von Anforderungen, wobei bei TISAX zwischen 0 - 5 (0 nicht vorhanden, 5 selbst optimierend) bewertet wird, bei der ISO 27001, ob die Anforderungen "konform" oder "nicht konform" sind. So ist bei der ISO 27001 ein größer Spielraum gegeben. Außerdem ist zu sagen, dass bei TISAX nicht nur die Dokumentenlandschaft auf Vollständigkeit geprüft wird, sondern auch die Qualität der Prozesse.

Ein weiterer Unterschied ist der Ablauf nach erfolgreicher Zertifizierung. Bei beiden Standards ist nach 3 Jahren eine Rezertifizierung durch den Auditor nötig. Im jährlichen Tonus allerdings setzt TISAX auf ein internes Überwachungsaudit (selbstverpflichtend), währenddessen die ISO 27001 ein Überwachungsaudit mit anwesendem Auditor verpflichtend vorgibt.

Wenn Sie also vor der Frage stehen, welche der beiden Zertifizierungen Sie anstreben, sollten Sie bedenken, dass mit dem TISAX-Label die Anforderungen der ISO 27001 erfüllt werden, dies aber nicht konträr der Fall ist. 

Bei tiefergehenden Fragen nehmen Sie gerne unsere kostenlose Erstberatung in Anspruch.


Drucken