TISAX steht für Trusted Information Security Assessment Exchange und ist ein Mechanismus für die Bewertung der Informationssicherheit von Unternehmen, insbesondere in der Automobilindustrie.
TISAX fördert die branchenweite Anerkennung von Bewertungsergebnissen und hilft, Kosten und Aufwand zu sparen. Es erspart üblicherweise die diversen Fragebögen zur (IT-) Sicherheit in Ausschreibungen oder Lieferanten Onboardings.
Der Anforderungskatalog (VDA ISA) wird regelmäßig aktualisiert. Die bedeutendste Neuerung in der Version 6.0 ist die zusätzliche Betrachtung der OT (Operational Technlology) sowie die weitere Umstrukturierung der Label zu den allgemeinen Informationssicherheits-Schutzzielen CIA (Confidentiality, Integrity, Availability).
Das Handbuch bietet alle notwendigen Informationen zur Durchführung einer TISAX-Bewertung und zum Teilen der Ergebnisse mit Geschäftspartnern.
Ein Managed Service Provider unterstützt Unternehmen bei der Verwaltung von Bewertungsergebnissen und kann transparent oder als Vermittler zwischen Unternehmen und ihren Lieferanten agieren.
Der Prozess umfasst die Registrierung, Auswahl eines Prüfdienstleisters, Durchführung des Assessments und Austausch der Ergebnisse über das ENX Portal.

Der TISAX Scope besteht aus den folgenden Komponenten:

  • Standorte
  • Schutzziele ( confidential | strictly confidential | high availability | very high availability)
  • Assessment Level (Assessment Level 2 oder Assessment Level 3)
und wird durch die Lieferkette bzw. den Fluss der schützenswerten Daten bestimmt.
Die Gültigkeitsdauer eines TISAX-Assessments beträgt in der Regel drei Jahre.
TISAX ist vor allem für Unternehmen relevant, die als Zulieferer in der Automobilindustrie tätig sind und sensible Informationen verarbeiten oder in der Wertschöpfungskette diese Informationen verarbeiten.
Ja, TISAX ermöglicht den Austausch von Bewertungsergebnissen zwischen den Teilnehmern, um Mehrfachprüfungen zu vermeiden.

Ja, es gibt den VDA ISA Katalog, der alle Kontrollziele, Kontrollen und Anforderungen enthält. Darüber hinaus wird je Kontrolle auf andere Standards wie ISO270001, BSI Grundschutz, etc. verwiesen und für einige Kontrollen gibt es Implementierungshinweise.