TISAX® deep dive: die 12 Prüfziele (Labels)
In aller Regel schreiben Ihnen Ihre Geschäftspartner*innen, die eine TISAX-Zertifizierung von Ihnen fordern, die Prüfziele, d.h. die zu erreichenden TISAX-Labels, vor. Es ist für das Verständnis wichtig, dass von der Auswahl und Kombination der Schutzziele sich der jeweilige Assessmentlevel AL ergibt und nicht umgekehrt. Das bedeutet in der Praxis, dass Ihr Geschäftspartner keinen Assessmentlevel von Ihnen fordern sollte, sondern die Schutzziele definieren muss.
Im Rahmen dieser CIS Artikelreihe stellen wir schwerpunktmäßig das Thema TISAX® vor und beleuchten hier die drei Assessment-Level. Eine grundsätzliche Einführung z.B. zu Vorteilen und Prüfung finden Sie hier.
Es gibt nach aktuellem Stand insgesamt 12 verschiedene TISAX-Labels, 6 allgemeine, 4 Prototypenschutz-Labels und 2 Datenschutzlabels.
1. Info high
Das Prüfziel „Info high“ stellt die niedrigste Stufe der Anforderungen dar. Es kann sein, dass Geschäftspartner*innen eine entsprechende Einstufung aus seiner Informationsklassifizierung fordert.
2. Info very high
Das Prüfziel „Info very high“ kann sich aus der Informationsklassifizierung der Geschäftspartnerschaft ergeben.
3. Confidential
Das Prüfziel „Confidential“ kann gefordert werden, wenn Informationen mit hohem Schutzbedarf bezüglich Vertraulichkeit (confidentiality) erhalten oder verarbeitet werden. Es sollte insbesondere dann gewählt werden, wenn eine unberechtigte Offenlegung der Informationen potenziell einen beträchtlichen Schaden verursachen kann (z. B. Reputationsschaden, strafrechtliche Konsequenzen oder monetärer Schaden).
4. Strictly confidential
Das Prüfziel „Stricly confidential“ kann gefordert werden, wenn Informationen mit sehr hohem Schutzbedarf bezüglich Vertraulichkeit (confidentiality) erhalten oder verarbeitet werden oder gemäß dem eigenen Klassifikationsschema als „streng vertraulich“ oder „geheim“ eingestuft sind. Dieses Schutzziel sollte insbesondere dann ausgewählt werden, wenn die unberechtigte Offenlegung der Informationen potenziell einen existenziell bedrohlichen oder katastrophalen Schaden verursachen kann (z. B. schwerer Reputationsschaden, schwere strafrechtliche Konsequenzen oder sehr hoher monetärer Schaden).
5. High availabilty
Das Prüfziel „High availability“ ist zu auszuwählen bei Unternehmen, wenn von der Verfügbarkeit Ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit des Geschäftspartners abhängt und ein Ausfall in kurzer Zeit zu einem erheblichen Schaden bei Kunden führt. Beispiel: Just-in-Time-Lieferanten von Produktionsmaterial-Schaden.
6.Very high availabilty
Das Prüfziel „Very high availability“ ist auszuwählen für Unternehmen, bei denen von der kurzfristigen Verfügbarkeit ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit Ihrer Kunden abhängt und ein Ausfall in sehr kurzer Zeit zu einem signifikant hohen Schaden bei Kunden führt. Beispiel: Just-in-Time-Lieferanten, bei deren Ausfall innerhalb kurzer Zeit ein umfassender Produktionsstillstand mit einer sehr hohen Wiederanlaufdauer zu erwarten ist.
7. Proto parts
Das Prüfziel „Proto parts“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Komponenten oder Bauteile an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen.
8. Proto vehicles
Das Prüfziel „Proto vehicles“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Fahrzeuge an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen. Anforderungen an physische und umgebungsbezogene Sicherheit (inkl. Vorhandensein gesicherter Garagen oder Werkstattflächen), organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen sind Bestandteile der Prüfung.
9. Test vehicles
Das Prüfziel „Test vehicles“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Fahrzeuge zur Durchführung von Tests und Erprobungsfahrten (z. B. Testfahrten auf öffentlichen Straßen oder auf Teststrecken) überlassen bekommen. Organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen inkl. Tarnung und den Umgang mit Fahrzeugen bei Erprobungsfahrten in der Öffentlichkeit und auf Testgeländen sind Bestandteile der Prüfung. Anforderungen an die physische und umgebungsbezogene Sicherheit des Standortes sind nicht zwangsläufig Bestandteil der Prüfung.
10. Proto events
Das Prüfziel „Proto events“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile für die Durchführung von Ausstellungen und Veranstaltungen (z. B. Car-Clinics, Events, Marketing-Veranstaltungen) oder Film- und Fotoshootings überlassen bekommen. Organisatorische Anforderungen sowie spezifischen Anforderungen für den Umgang mit Prototypen inkl. Anforderungen für Ausstellungen, Veranstaltungen und Film- und Fotoshootings in geschützten Räumen und in der Öffentlichkeit sind Bestandteile der Prüfung. Anforderungen an die physische und umgebungsbezogene Sicherheit des Standortes sind nicht zwangsläufig Bestandteil der Prüfung. Sollten die zu prüfenden Standorte entsprechend ausgestattet sein, empfehlen wir, das Prüfziel „Schutz von Prototypenfahrzeugen“ mit auszuwählen..
11. Data
Das Prüfziel „Data“ ist für Unternehmen auszuwählen, wenn personenbezogene Daten als Auftragsverarbeiter gemäß Artikel 28 der DSGVO verarbeitet werden.
12. Special data
Das Prüfziel „Special data“ ist für Unternehmen auszuwählen, wenn besondere Kategorien personenbezogener Daten (z. B. Gesundheit oder Religionszugehörigkeit) als Auftragsverarbeiter gemäß Artikel 28 verarbeitet werden.
Sie haben Rückfragen oder möchten mehr erfahren?
CIS - Certification & Information Security Services GmbH ist die Nummer 1 in Österreich, wenn es um Zertifizierungen im Bereich Informationssicherheit, Business Continuity oder etwa Datenschutz geht. Seit 2021 ist CIS dazu berechtigt, Prüfungen nach dem TISAX®-Standard durchzuführen. Dank viel geballtem Know-how durch Kooperationen am europäischen sowie am internationalen Markt und einem breiten Netzwerk aus fachspezifischen Auditor*innen, stehen Kund*innen- und Serviceorientierung an erster Stelle. Hier geht es direkt zum TISAX® Assessment. Wir freuen uns auf Ihre Kontaktaufnahme!