15. Mai 2024

TISAX® deep dive: die 12 Prüfziele (Labels)

In aller Regel schreiben Ihnen Ihre Geschäftspartner*innen, die eine TISAX-Zertifizierung von Ihnen fordern, die Prüfziele, d.h. die zu erreichenden TISAX-Labels, vor. Es ist für das Verständnis wichtig, dass von der Auswahl und Kombination  der Schutzziele sich der jeweilige Assessmentlevel AL ergibt und nicht umgekehrt. Das bedeutet in der Praxis, dass Ihr Geschäftspartner keinen Assessmentlevel von Ihnen fordern sollte, sondern die Schutzziele definieren muss.

Im Rahmen dieser CIS Artikelreihe stellen wir schwerpunktmäßig das Thema TISAX® vor und beleuchten hier die drei Assessment-Level. Eine grundsätzliche Einführung z.B. zu Vorteilen und Prüfung finden Sie hier.

 

Es gibt nach aktuellem Stand insgesamt 12 verschiedene TISAX-Labels, 6 allgemeine, 4 Prototypenschutz-Labels und 2 Datenschutzlabels.

1. Info high

Das Prüfziel „Info high“ stellt die niedrigste Stufe der Anforderungen dar. Es kann sein, dass Geschäftspartner*innen eine entsprechende Einstufung aus seiner Informationsklassifizierung fordert.

 

2. Info very high

Das Prüfziel „Info very high“ kann sich aus der Informationsklassifizierung der Geschäftspartnerschaft ergeben.

 

3. Confidential

Das Prüfziel „Confidential“ kann gefordert werden, wenn Informationen mit hohem Schutzbedarf bezüglich Vertraulichkeit (confidentiality) erhalten oder verarbeitet werden. Es sollte insbesondere dann gewählt werden, wenn eine unberechtigte Offenlegung der Informationen potenziell einen beträchtlichen Schaden verursachen kann (z. B. Reputationsschaden, strafrechtliche Konsequenzen oder monetärer Schaden).

 

4. Strictly confidential

Das Prüfziel „Stricly confidential“ kann gefordert werden, wenn Informationen mit sehr hohem Schutzbedarf bezüglich Vertraulichkeit (confidentiality) erhalten oder verarbeitet werden oder gemäß dem eigenen Klassifikationsschema als „streng vertraulich“ oder „geheim“ eingestuft sind. Dieses Schutzziel sollte insbesondere dann ausgewählt werden, wenn die unberechtigte Offenlegung der Informationen potenziell einen existenziell bedrohlichen oder katastrophalen Schaden verursachen kann (z. B. schwerer Reputationsschaden, schwere strafrechtliche Konsequenzen oder sehr hoher monetärer Schaden).

 

5. High availabilty

Das Prüfziel „High availability“ ist zu auszuwählen bei Unternehmen, wenn von der Verfügbarkeit Ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit des Geschäftspartners abhängt und ein Ausfall in kurzer Zeit zu einem erheblichen Schaden bei Kunden führt. Beispiel: Just-in-Time-Lieferanten von Produktionsmaterial-Schaden.

 

6.Very high availabilty

Das Prüfziel „Very high availability“ ist auszuwählen für Unternehmen, bei denen von der kurzfristigen Verfügbarkeit ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit Ihrer Kunden abhängt und ein Ausfall in sehr kurzer Zeit zu einem signifikant hohen Schaden bei Kunden führt. Beispiel: Just-in-Time-Lieferanten, bei deren Ausfall innerhalb kurzer Zeit ein umfassender Produktionsstillstand mit einer sehr hohen Wiederanlaufdauer zu erwarten ist.

 

7. Proto parts

Das Prüfziel „Proto parts“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Komponenten oder Bauteile an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen.

 

8. Proto vehicles

Das Prüfziel „Proto vehicles“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Fahrzeuge an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen. Anforderungen an physische und umgebungsbezogene Sicherheit (inkl. Vorhandensein gesicherter Garagen oder Werkstattflächen), organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen sind Bestandteile der Prüfung.

 

9. Test vehicles

Das Prüfziel „Test vehicles“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Fahrzeuge zur Durchführung von Tests und Erprobungsfahrten (z. B. Testfahrten auf öffentlichen Straßen oder auf Teststrecken) überlassen bekommen. Organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen inkl. Tarnung und den Umgang mit Fahrzeugen bei Erprobungsfahrten in der Öffentlichkeit und auf Testgeländen sind Bestandteile der Prüfung. Anforderungen an die physische und umgebungsbezogene Sicherheit des Standortes sind nicht zwangsläufig Bestandteil der Prüfung.

 

10. Proto events

Das Prüfziel „Proto events“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile für die Durchführung von Ausstellungen und Veranstaltungen (z. B. Car-Clinics, Events, Marketing-Veranstaltungen) oder Film- und Fotoshootings überlassen bekommen. Organisatorische Anforderungen sowie spezifischen Anforderungen für den Umgang mit Prototypen inkl. Anforderungen für Ausstellungen, Veranstaltungen und Film- und Fotoshootings in geschützten Räumen und in der Öffentlichkeit sind Bestandteile der Prüfung. Anforderungen an die physische und umgebungsbezogene Sicherheit des Standortes sind nicht zwangsläufig Bestandteil der Prüfung. Sollten die zu prüfenden Standorte entsprechend ausgestattet sein, empfehlen wir, das Prüfziel „Schutz von Prototypenfahrzeugen“ mit auszuwählen..

 

11. Data

Das Prüfziel „Data“ ist für Unternehmen auszuwählen, wenn personenbezogene Daten als Auftragsverarbeiter gemäß Artikel 28 der DSGVO verarbeitet werden.

 

12. Special data

Das Prüfziel „Special data“ ist für Unternehmen auszuwählen, wenn besondere Kategorien personenbezogener Daten (z. B. Gesundheit oder Religionszugehörigkeit) als Auftragsverarbeiter gemäß Artikel 28 verarbeitet werden.

Sie haben Rückfragen oder möchten mehr erfahren?

CIS - Certification & Information Security Services GmbH ist die Nummer 1 in Österreich, wenn es um Zertifizierungen im Bereich Informationssicherheit, Business Continuity oder etwa Datenschutz geht. Seit 2021 ist CIS dazu berechtigt, Prüfungen nach dem TISAX®-Standard durchzuführen. Dank viel geballtem Know-how durch Kooperationen am europäischen sowie am internationalen Markt und einem breiten Netzwerk aus fachspezifischen Auditor*innen, stehen Kund*innen- und Serviceorientierung an erster Stelle. Hier geht es direkt zum TISAX® Assessment. Wir freuen uns auf Ihre Kontaktaufnahme!

 

 

Hier unverbindlich Informationen anfordern:

    Kontaktdaten

    Hinweis: Bitte füllen Sie alle mit einem Stern (*) gekennzeichneten Felder aus.

    Haben Sie konkrete Fragen?

    Ansprechpartner

    Team

    Herr Wolfgang Glowatzki

    Lead Expert Information Security | Lead Auditor TISAX® AL2 und AL3 | Lead Auditor ISO 27001

    Weitere News & Events

    Immer topaktuell informiert

    13. Mai 2024

    TISAX® deep dive: die drei Assessment-Levels

    Sicherheit in der Automobilindustrie

    Mehr erfahren
    30. Apr 2024

    TISAX®: Informations­sicherheit in der Automobilbranche

    Auf der Überholspur

    Mehr erfahren
    13. Nov 2023

    TISAX: Neuer ISA-Katalog vom VDA veröffentlicht

    Wesentliche Neuerungen für Automobil-Industrie

    Mehr erfahren
    02. Mai 2022

    Vermehrte Ransomware-Attacken in der Automotive-Branche

    CIS bietet TISAX-Level-2-Assessments an

    Mehr erfahren
    24. Nov 2021

    TISAX® als Firewall

    Prototypen- und Datenschutz in der Automotive Industrie.

    Mehr erfahren
    +43 1 532 98 90