Informationssicherheit in der Automobilindustrie
TISAX® deep dive: die drei Assessment-Levels
In Abhängigkeit von den TISAX-Prüfzielen werden durch das TISAX-Regelwerk (TISAX-Handbuch) verschiedene Assessmentverfahrensarten, die sogenannten Assessment-Levels vorgeschrieben.
Es gibt insgesamt 3 verschiedene Assessment-Level, die mit AL1, AL2 und AL3 bezeichnet werden und eine Sonderform namens AL2.5.
Im Rahmen dieser CIS Artikelreihe stellen wir schwerpunktmäßig das Thema TISAX® vor und beleuchten hier die Assessment-Level. Eine grundsätzliche Einführung z.B. zu Vorteilen und Prüfung finden Sie hier.
Hier unverbindlich Informationen anfordern
Assessment-Level 1 (AL 1)
Prüfungen auf dem Assessment-Level AL1 kommen in aller Regel nur für interne Zwecke zur Selbsteinschätzung zur Anwendung. Auf dieser Stufe wird durch die externen Auditor*innen / Assessor*innen lediglich bestätigt, dass eine eine vollständige Selbsteinschätzung vorliegt. Er erfolgt keine inhaltliche Prüfung der Selbsteinschätzung des Kunden bzw. der Kundin. Es werden keine weiteren Nachweise benötigt.
Die Ergebnisse von Prüfungen mit dem Assessment-Level 1 haben eine niedrige Vertrauensstufe. Daher können bei diesem Assessment-Level keine TISAX-Labels erlangt werden.
Beim TISAX-Standard werden entgegen dem aus der ISO-Standardisierungswelt bekannten Verfahren keine Zertifikate als Prüfungsnachweis erstellt, sondern sogenannte TISAX-Labels ausschließlich auf der TISAX-Plattform vergeben. Das bedeutet, dass der Kunde kein Dokument oder Print-out bekommt. Die Ergebnisse dürfen nicht außerhalb der Plattform kommuniziert werden.
Assessment-Level 2 (AL 2)
Prüfungen im Assessment-Level 2 bestehen im Wesentlichen aus einer sogenannten Plausibilitätsprüfung der Selbsteinschätzung des zu prüfenden Unternehmens, d.h. der inhaltlichen Prüfung des vom Unternehmen ausgefüllten VDA ISA und der mitgelieferten Nachweise. Abgeschlossen wird das Verfahren auf dem Assessment-Level AL2 durch ein Interview mit dem Gesamtverantwortlichen für Informationssicherheit. AL2 Verfahren werden in der Regel in Form einer Webkonferenz remote durchgeführt. Sollte es Gründe geben, warum der Kunde bzw. der Kundin eine Vor-Ort-Durchführung wünscht, z.B. weil Nachweise nicht außer Haus gegeben werden sollen, kann das Interview persönlich vor Ort durchgeführt werden.
Assessment-Level 2.5 (AL 2)
Dieses Assessment-Level stellt einer Sondervariante des AL2-Verfahrens dar. Anstelle der Plausibilitätsprüfung des AL2-Levels erfolgt auf diesem Assessment-Level eine vollständige Prüfung aller Kontrollanforderungen in Form einer Webkonferenz, d.h. Full-remote. In Abgrenzung zum AL3-Verfahren fallen bei diesem Prüfmodus alle Vor-Ort-Aktivitäten weg. Formal gesehen wird eine Prüfung nach AL2.5 als AL2 bewertet.
Die Abhängigkeit der Assessment-Levels von den TISAX-Prüfzielen gibt die folgende Tabelle wieder (eigene Darstellung gemäß TISAX-Handbuch ENX / Tabelle 5: Zuordnung der TISAX-Prüfziele zu den Assessment-Leveln):
Nr. | TISAX-Prüfziel | Assessment-Level (AL) | |||
1. | Info high | AL 2 | |||
2. | Info very high | AL 3 | |||
3. | Confidential | AL2 | |||
4. | Strictly confidential | AL 3 | |||
5. | High availability | AL 2 | |||
6. | Very high availability | AL 3 | |||
7. | Proto parts | AL 3 | |||
8. | Proto vehicles | AL 3 | |||
9. | Test vehicles | AL 3 | |||
10. | Proto event | AL 3 | |||
11. | Data | AL 2 | |||
12. | Special data | AL 3 |
Sie haben Rückfragen oder möchten mehr erfahren?
CIS - Certification & Information Security Services GmbH ist die Nummer 1 in Österreich, wenn es um Zertifizierungen im Bereich Informationssicherheit, Business Continuity oder etwa Datenschutz geht. Seit 2021 ist CIS dazu berechtigt, Prüfungen nach dem TISAX®-Standard durchzuführen. Dank viel geballtem Know-how durch Kooperationen am europäischen sowie am internationalen Markt und einem breiten Netzwerk aus fachspezifischen Auditor*innen, stehen Kund*innen- und Serviceorientierung an erster Stelle. Hier geht es direkt zum TISAX® Assessment. Wir freuen uns auf Ihre Kontaktaufnahme!