So erreichen Sie die TISAX® Zertifizierung ohne Umwege:
Bei TISAX® handelt es sich um eine Marke der ENX Association.
Wir stellen eine unabhängige Beratung zu VDA-ISA und TISAX® bereit.
1
Beratungsgespräch & IST-Analyse
vimopro wendet nicht den Standard an. vimopro hilft Ihnen eine Vision zu entwickeln, die Ihre Informationen heute schützt und Ihr ganzes Unternehmen morgen voranbringt. Dabei schauen wir Ihr Unternehmen und Ihre Probleme ganz gezielt an und unterstützen Sie dabei Lösungen zu finden, die zu Ihnen passen. Wir helfen Ihnen Konformität sinnvoll umzusetzen.
2
Planung
Die wichtigste Phase für den Erfolg ist die Planung. Deshalb nehmen wir uns die Zeit Ihr Unternehmen kennen zu lernen und mit gezielten Maßnahmen und konkreten Ergebnissen von Anfang an maßgeschneiderte Lösungen zu finden, die später auch umgesetzt werden können. Dabei nehmen wir Sie an die Hand und unterbreiten konkrete Vorschläge.
3
Umsetzung
Bei der Umsetzung begleiten wir Sie von Anfang bis Ende. Dabei sind wir nicht nur Zuschauer, sondern unterstützen wo Sie es wollen und brauchen. Wie viel bestimmen Sie. Wir sehen uns dem gemeinsamen Erfolg verpflichtet.
4
Vorbereitet auf Ihr TISAX®-Assessement
Gerade in der Prüfung kommt es auf viele Kleinigkeiten an – Dabei haben externe Prüfer nicht immer Ihr Wohl oder Ihre Besonderheiten im Sinn. Mit unserer Expertise unterstützen wir in allen Fragen sowie Gestaltungsmöglichkeiten und helfen Ihnen ohne Umwege. Wir begleiten Sie während Ihrer Zertifizierung und fördern ein nachhaltig funktionierendes Managementsystem.
Vorteile eines gelebten ISMS
Um für Automobilmarken wie VW, Audi oder Mercedes arbeiten zu können, müssen seit 2014 Nachweise erbracht werden, inwiefern Informationssicherheitsstandards erreicht sind. TISAX® ist seit Anfang 2017 ein übergreifender Standard, der Orientierung beim Aufbau und der Kontrolle der Sicherheit bietet.
Wenn Sie Informationssicherheit richtig anwenden, wird das ISMS zum Herzstück des Unternehmens. Es schützt alle wichtigen Informationen, steuert Prozesse der IT-Sicherheit und macht Kontrollen sowie Verbesserungen möglich. Mit einem, an Ihren Bedarf angepassten Managementsystem für Informationssicherheit, arbeiten Sie Wettbewerbsvorteile heraus und stellen sich dem globalen Wettbewerb. Sie werden weniger von unbefugten Datenzugriffen, Know-how-Verlust durch z.B. Fluktuation oder Cyberkriminalität betroffen sein.
„Mit TISAX® stellt die Automobilbranche viele Unternehmen vor Herausforderungen. Neben dem nicht unerheblichen Kostenfaktor können Unternehmen jedoch davon profitieren. Kontrollierte Digitalisierung, gesteigerten Wertschöpfung und deutliche Wettbewerbsvorteile, nicht nur für die Automobilbranche, sondern auch zur Sicherung Ihres zukünftigen Geschäftsmodells, sind bei richtiger Anwendung nur einige der Vorteile, die durch das Management von Informationen entstehen.“
Samantha Sander, IT-Security Specialist
Wie hoch ist der Aufwand für die erfolgreiche Einführung?
Einen Standard zu etablieren, der durch Geschäftspartner oder Gesetzgeber vorgegeben ist, kann sich als riesen Entwicklungschance entpuppen. Insbesondere wenn die Umsetzung möglichst nah den Anforderungen, pragmatisch und bezogen auf Ihre Unternehmensstrategie stattfindet. Während der Umsetzung werden alle Bereiche des Unternehmens unter die Lupe genommen – wobei sich oft Prozessverbesserungen und Kostenersparnisse offenbaren.
Beispieldarstellung
Sollte man ein ISMS nach TISAX® ausschließlich mit internem oder auch mit externem Know-how aufbauen?
Ein typisches deutsches Industrieunternehmen mit Anforderungen gemäß TISAX® kann durch ein zielgerichtetes und praxiserprobtes Vorgehen in deutlich kürzerer Zeit zertifizierungsfähig sein. Durch eine optimierte Aufnahme und Gap-Analyse nach verschaffen wir uns schnell einen Überblick über die Ausgangssituation im Unternehmen und die Abweichungen zum VDA-ISA.
Das Ergebnis beschreibt den Optimierungsbedarf zwischen Ist-Zustand und Auditfähigkeit. Der Vergleich zeigt, dass externe Beratung und tiefgehende Unterstützung bei der Umsetzung zu einem schnelleren und fundierteren Ergebnis führt. Intern entstehen hingegen hohe Kosten aufgrund dessen, dass Fähigkeiten angeeignet werden müssen, Wissen über Schulungen eingeholt werden muss, häufig interne Blockaden aufgrund von falscher Herangehensweise entstehen und bei der Umsetzung auf irrelevante Details geachtet wird, die nicht zielführend sind.
Unternehmensgröße: 100 bis 500 Mitarbeiter
Anzahl Standorte: Eine Hauptniederlassung
Gesamtaufwand: ca. 160 Personentage
*Kann komplett durch vimopro GmbH abgebildet werden
Häufige Fragen an uns zu TISAX®. Hier die Antworten:
Ja, kann er. Allerdings muss dabei beachtet werden, dass ein Informationssicherheitsbeauftragter auch über Geschäftsprozesse spezifisches Know-how benötigt und eine Kontrollfunktion im Unternehmen bildet. Deshalb ist es aufgrund eines Interessenkonflikts nicht anzuraten, da der IT-Leiter sich selbst überwachen müsste. Darüber hinaus auch andere Fachbereiche prüft, was zu internen Komplikationen führen kann.
Ein ISMS kann als Überblick, Steuerung, Entwicklung und Kontrolle von allen sicherheitsrelevanten Unternehmensaktivitäten verstanden werden. Auch das Thema Datenschutz ist dem ISMS angehängt und gewinnt durch seine Existenz an Effektivität und Effizienz.
Richtlinien sind in der Regel nur der Handlungsspielraum für Mitarbeiter. Diese werden bewusst sehr offen gestaltet, sodass die Möglichkeit von Individualität und Varianten besteht. Sie sollen lediglich das Ziel vorgeben, dass erreicht werden soll. Die häufigsten Gründe, wieso Richtlinien nicht gelebten werden sind:
- Die Einhaltung der Richtlinien wird nicht überprüft oder hat keine Konsequenzen.
- Die Unternehmenskultur ist so geprägt, dass Verantwortungsträger nicht als Vorbild agieren, weshalb auch Mitarbeiter den Bedarf dazu nicht erkennen.
- Die Mitarbeiter kennen die Richtlinien nicht, da die Kommunikation mangelhaft war oder das Risiko, das damit abgedeckt werden soll nicht verstanden wird.
- Die Richtlinien sind zu variabel, geben also keine konkreten Handlungsanweisungen und der Mitarbeiter weiß daher nicht, wie er Sie umsetzen soll.
Praktisch jeder dieser Gründe lässt sich mit konkreten Maßnahmen in den Griff bekommen. Gerne beraten und unterstützen wir Sie dabei.
Zur TISAX® Zertifizierung sollte man sich erst anmelden, wenn man sich sicher ist, dass man auf einem Stand ist, mit dem man das Audit bestehen wird. Viele melden sich aufgrund von Unwissenheit oder Druck der Lieferanten zu früh an und erhalten dann die Zertifizierung nicht, da der Nachbesserungszeitraum dann ebenfalls nicht mehr ausreicht, um die Abweichungen zu korrigieren. Mit vielen Prüfungsgesellschaften kann man übrigens den Zeitpunkt der Prüfung verhandeln und nach hinten schieben. Einmal festgelegt, sollte er allerdings nicht mehr nach hinten verschoben werden müssen.
Natürlich kann man ein ISMS auch intern aufbauen. Jedoch sollte man sich dann einen Informationssicherheitsexperten einstellen oder ausbilden. Beides kostet in der Regel auf Dauer mehr, als ein Beratungsunternehmen einzubinden, die die Experten nur für den benötigten Zeitraum bereitstellen, insofern kein eigenes Informationssicherheitsteam eingestellt werden soll. Worauf geachtet werden muss ist, dass praktische Erfahrung in mehreren Unternehmen wichtig ist, um Maßnahmen bewerten und abgeben zu können und keine sinnlosen „Versuche“ zu starten. Was definitiv nicht gemacht werden sollte an der Stelle, ist bestehende IT-Mitarbeiter für diese Position auszuwählen, da dies zu einem Interessenkonflikt führt und die Rolle einer Stabstelle für das Management von bestehenden Mitarbeitern in der Regel nicht entsprechend ausgefüllt werden kann. Nach der Implementierung eines ISMS reduziert sich der Aufwand übrigens drastisch, weshalb es sich bei Mittelständlern empfiehlt externe Ressourcen einzubeziehen.
Es gibt wesentliche Unterschiede in den Anforderungen zum Afbau eines ISMS. Die strikte Umsetzung einer Norm oder eines Standards wie ISO 27001, ISIS 12 oder VsA 10000 ist natürlich möglich. Fraglich ist, inwiefern die Belange des individuellen Unternehmens hierbei Berücksichtigung finden. vimopro empfiehlt ein angepasstes Vorgehen, das zwar gängige Richtlinien berücksichtigt, aber den Bedarf des Unternehmens in den Mittelpunkt stellt. Dieder Bedarf kann z.B. durch eine risikobasierte Analyse ermittelt werden.
Der wesentliche Unterschied ist die praktische Anwendbarkeit unserer Konzepte. Das tägliche Profitieren unserer Kunden von funktionalen Managementsystemen steht im Mittelpunkt. vimopro ist ein unabhängiger Berater, der die Anforderungen mittelständischer, deutschssprachiger Unternehmen versteht. Die umfangreiche Expertise aus den Bereichen IT-Infrastruktur, IT-Security, IT-Management und Prozessberatung, macht vimopro zu einem umsichtigen Partner, der die Belange der Kunden in täglich anwendbare Konzepte überführt.
Ein bestehender Informationssicherheitsbeauftragter kann mit dem richtigen Vorgehen ohne Probleme und größere Kosten gewechselt werden. Wichtig ist, durch eine saubere Einarbeitung und Übergabe aller relevanten Informationen, den Einstieg möglichst reibungslos zu gestalten.
Ja, ein bestehendes Informationssicherheitsmanangement kann fortgeführt werden. Unter der Prämisse mit geringem Aufwand das maximale Ergebnis zu erreichen, werden bestehende Inhalte aufgeriffen und in ein effizentes System überführt.
Die erforderliche Zeit zur Implementierung eines ISMS ist sehr unterschiedlich. Je nach angestrebtem Umfang, zu erreichendem Standard und dem Stand des jeweiligen Unternehmens, kann die Dauer zwischen 10 und 100 Tagen betragen.