Wie Agenturen ein TISAX-Audit bestehen

Was ist TISAX überhaupt?

Jede Agentur, die für Kunden aus der Automobilindustrie arbeitet, braucht ab 2018 ein TISAX-Zertifikat. TISAX ist der neue, von der Automobilindustrie definierte, Standard für Informationssicherheit. Die Mitgliedsunternehmen des Verbands der Automobilindustrie e. V. (kurz: VDA) haben einen eigenen Katalog erstellt, der von der internationalen Industrie-Norm ISO27001 abgeleitet und an die Anforderungen der Automobil-Welt angepasst wurde.

Warum treten Agenturen an uns heran?

Wir weisen unsere Kunden bereits seit rund einem Jahr darauf hin, dass das Thema TISAX relevant wird. Nur wenige möchten von den neu auferlegten Regelungen nicht überrumpelt werden und haben bereits vorbereitende Maßnahmen getroffen, indem sie ein ISMS einführen. Die meisten melden sich allerdings erst bei uns, wenn die Einkaufsabteilung ihres Kunden die Aufforderung zum Audit auf den Tisch legt. Klar ist in diesem Fall schon richtig Druck auf dem Kessel. Oft erleben Agenturen so eine Situation zum ersten Mal. Dann ist die Unsicherheit groß und es gibt eine Menge Klärungsbedarf – und viel zu tun..

Wie fangen wir an?

Mit einem Kick-off. Wir besprechen mit der Geschäftsführung die Ausgangslage. Sprich: Wann der Audittermin ansteht, welches Timing vorgegeben ist – und daraus abgeleitet, welche Vorgehensweise sich ergibt.

Wie sieht grob die Vorgehensweise aus?

Nach dem Kick-off gehen wir als erstes eine GAP-Analyse an, stellen also den Status quo dar. Im Abgleich mit dem TISAX-Anforderungskatalog wissen wir so sehr schnell, auf welchem Stand die Agentur ist – und was im nächsten Schritt zu tun ist. Auf dieser Basis starten wir mit der ersten Phase der Umsetzungsmaßnahmen, bis das Audit stattfindet. Beim Audit selbst erfasst der Zertifizierungs-Auditor den Status quo und erstellt eine Liste der noch zu ergreifenden Maßnahmen. Auf dieser Basis beraten wir die Agentur dann in der zweiten Phase der Umsetzung. Am Ende stehen Freigabe und Zertifikat.

Wie lange dauert das?

Grundsätzlich geht man bei der Implementierung eines ISMS von einem Jahr Laufzeit aus, da in den meisten Agenturen der Status quo bei nahezu Null steht. Oft muss es im Agenturgeschäft jedoch schneller gehen: Der Fachbereich des Kunden kann die Agentur solange nicht beauftragen, bis dem Einkauf ein TISAX-Zertifikat vorliegt! Umso wichtiger ist es jetzt, auf einen Berater zurückzugreifen, der auf Agenturen spezialisiert ist. Er weiß wie Agenturen ticken und wie die dortigen Prozesse aussehen. Wir bei nextwork haben aus den bisherigen Projekten, die wir erfolgreich begleitet haben, einen Agenturkatalog erstellt mit dem wir Agenturen einfach und effektiv auf TISAX umrüsten. Dank dieses Know-hows können wir in den meisten Fällen auch den Auditierungsprozess beschleunigen.

Welche Agenturbereiche betrifft TISAX?

In den meisten Fällen landet das Thema reflexartig auf dem Tisch des IT-Chefs. Dabei betrifft TISAX vor allem die Prozesse und Abläufe in der Agentur. Und die durchdringen eben ALLE Bereiche. Zu 75% Prozent geht es also gar nicht um  IT. Vielmehr geht es um Fragen wie: We läuft das On- und Offboarding (Schlüsselübergabe, Zugriffsberechtigungen, Einarbeitung in die Prozesse)? Wie wird mit Externen, also Lieferanten, Dienstleistern und Freelancern, umgegangen (Geheimhaltungen, Datenschutz-Verträge, Daten-Austausch)? Gibt es Notfallpläne für Wasser- und Gebäudeschäden sowie Stromausfälle??

Wer sollte involviert werden?

TISAX ist Chefsache, also ein Thema für die Geschäftsführung. Da TISAX alle Prozesse und Abläufe in Unternehmen betrifft, müssen auch alle Fachbereichsleiter mit an den Tisch: HR, Legal, Projektleitung, IT und Office Management. Die Projektleitung für die Vorbereitung des Audits machen wir; in enger Zusammenarbeit mit euch. Wir sind also auf eurer Seite. Das Zertifizierungsaudit selbst führt dann ein externer Auditor durch, z.B. TÜV, DEKRA oder O.S.


Mehr Infos zu TISAX bei nextwork:

https://www.nextwork.de/tisax-datensicherheit-und-datenschutz/