||
München . Stuttgart . Köln . Hamburg . Berlin . Leipzig . Frankfurt
info@qas-company.com
+49 (0)89.72 40 82 60
Schliessen
Kontakt
captcha
Mit * markierte Felder sind Pflichtfelder

Unsere Standorte

QAS-Company Büro München

Büro München (Zentrale)

Mühlthaler Straße 91b
81475 München
T +49 (0)89.72 40 82 60

QAS-Company Büro Köln

Büro Köln

Im Zollhafen 18
50678 Köln   
T +49 (0)221.65 06 07 12 

QAS-Company Büro Leipzig

Büro Leipzig

Torgauer Straße 231-233
04347 Leipzig
T +49 (0)341.33 97 76 75

QAS-Company Büro Stuttgart

Büro Stuttgart

Königstraße 10c
70173 Stuttgart   
T +49 (0)711.22 25 41 08

QAS-Company Büro Hamburg

Büro Hamburg

Fischertwiete 2, Chilehaus A
20095 Hamburg
T +49 (0)40.32 00 54 04

QAS-Company Büro Berlin

Büro Berlin

Unter den Linden 21
10117  Berlin   
T +49 (0)30.20 92 42 26

Büro Frankfurt

Friedrich-Ebert-Anlage 49, 9. Etage
60308 Frankfurt am Main
T +49 (0)69.50 50 34 640

Wofür benötigen Sie ein TISAX internes Audit oder GAP-Analyse?

Als Zulieferer der Automobilindustrie müssen Sie in regelmäßigen Abständen den Beweis erbringen, dass Sie den Informationssicherheitsstandard Ihrer Auftraggeber einhalten. Diesen geforderten Nachweis möchten Sie künftig über ein IT-Sicherheits-Assessment (internes TISAX Assessment) erbringen. 

Der Branchenstandard für Informationssicherheit in der Automobilindustrie ist TISAX®. TISAX® steht für Trusted Information Security Assessment Exchange. TISAX® ist eine eingetragene Marke der ENX Association. ENX ist die Abkürzung für European Network Exchange Association, https://portal.enx.com/de-de. Die ENX Association ist der Betreiber der TISAX®.

TISAX® ist eine Systematik, die den Schutz der gegenseitig ausgetauschten Informationen für alle beteiligten Parteien gleichermaßen sicherstellen soll. Jeder der TISAX® in der Automotiven Lieferkette anwendet – vom Hersteller bis zum Zulieferer – erkennt die Prüfungsergebnisse der anderen Teilnehmer an.

Hauptinhalte sind Informationssicherheit, Anbindung Dritter, Prototypenschutz, Datenschutz und korrespondierende Kennzahlen (KPI – Key Process Indicators), die über den ISA Fragenkatalog abgefragt werden. ISA steht für Information Security Assessment. Der ISA Fragenkatalog basiert auf der ISO 27001.

Wir unterstützen Sie bei Ihrem IT-Sicherheits-Assessment (internes TISAX Assessment) mit praxisbezogener Beratung, GAP-Analysen und Workshops und ermitteln den vorliegenden Reifegrad. Bei Bedarf, erarbeiten wir mit Ihnen im Nachgang den Corrective Action Plan zur Reifegradverbesserung und helfen Ihnen bei dessen Umsetzung in Ihrer Organisation. 

Wichtiger Hinweis: Die offizielle TISAX®-Assessierung erfolgt durch einen Prüfdienstleister, der durch die ENX freigegeben ist. ENX-Prüfdienstleister: https://portal.enx.com/de-DE/tisax/xap/

Zeigen Sie die Zuverlässigkeit Ihres ISMS (Managementsystem für Informationssicherheit) und sichern Sie damit Ihre informationssicherheitsrelevanten Geschäftsbeziehungen ab.

Vorteile von TISAX zertifizierten Unternehmen:

QAS-Company, Assessment / Audit TISAX

Erhöht den
Wettbewerbsvorteil

TISAX® Assessment mit praxisbezogener Beratung, GAP-Analysen und Workshops

Anerkannt bei
allen OEM weltweit

ISMS Managementsystem für Informationssicherheit

Vermeidet
Mehrfachprüfungen

Praxisbezogene TISAX® Beratung, Assessierung und GAP-Analyse

Reduziert Kosten, Aufwand und Komplexität

Auditangebot jetzt erhalten

Erhalten Sie innerhalb von 24h Ihr individuell auf Sie zugeschnittenes Auditangebot

Unser TISAX® Auditversprechen

>100
treue und glückliche Auditkunden
DIE SICH AUF UNSERE ERFAHRUNG STÜTZEN KÖNNEN
100%
Auditzufriedenheit
FÜR IHR TISAX® AUDIT
>50
TISAX® Auditoren
MIT MUT UND BEGEISTERUNG
7
zertifizierte Standorte deutschlandweit
MÜNCHEN STUTTGART FRANKFURT KÖLN HAMBURG BERLIN LEIPZIG
>200
realisierte TISAX® Projekte
WIR GEHEN WEITER ALS ANDERE
6
Jahre TISAX® Erfahrung
KOMPETENZ UND HANDLUNGSKRAFT

Auditkunden TISAX® und andere Normen

Der Ablauf unseres internen TISAX® Audits

Ist es sinnvoll, ein internes TISAX Audit durch einen externen Experten durchführen lassen? Wenn man für das interne TISAX Audit eine besondere Expertise oder zusätzliche Ressourcen benötigt, dann lautet die Antwort: Ja. Es wäre nicht ratsam, aus falsch verstandener Sparsamkeit interne TISAX Audits selbst durchführen zu wollen, wenn dadurch dringende QM-Themen oder Aufgaben, die das Kerngeschäft beeinflussen, nicht erledigt werden können.

Damit Sie ein Maximum an TISAX Auditleistung für Ihr Geld erhalten, haben wir alle auditbegleitenden Themen, wie die Terminierung, die Assessmentplanerstellung u. v. m. standardisiert. Dadurch sind wir auch in der Lage Ihnen eine immer gleichbleibende TISAX Auditqualität und vor allem vergleichbare TISAX Auditergebnisse zu liefern. Man könnte auch sagen: „Unsere internen TISAX Audits laufen wie geschmiert.“

TISAX Assessment Vorbereitung

TISAX internes Audit Vorbereitung

  • Festlegung des TISAX Audit-Scopes hinsichtlich Datenschutzmodul und Prototypenschutzmodul
  • Vorbereitung des TISAX ISA-Fragenkatalogs zum Information Security Assessment
  • Einholung der TISAX Kundenselbstauskunft zur Aufbau-und Ablauforganisation
  • Abstimmung der individuellen TISAX Audit-Tagespläne mit dem Kunden
  • Individuelle Vorbereitung des Assessors auf das interne TISAX Audit
  • Einlesen in beigestellter TISAX Kunden-Dokumentation, z.B. ISMS-Richtlinien, -Verfahren und -Prozesse

TISAX internes Audit Durchführung

  • TISAX Auditierung (i.d.R.) vor Ort beim Kunden
  • TISAX Auditierung der gelebten Praxis durch Stichproben in den Prozessen des Kunden
  • TISAX Auditierung der Vorgabe-und Nachweisdokumentation durch Stichproben
  • TISAX Auditierung der physischen, räumlichen Gegebenheiten vor Ort beim Kunden hinsichtlich der umgebungsbezogenen Sicherheit
  • TISAX Auditierung der Organisation und der gelebten Prozesse anhand des ISA-Fragenkatalogs
TISAX Assessment Durchführung
TISAX Assessment Nachbereitung

TISAX internes Audit Nachbereitung

  • Befüllung des TISAX ISA-Fragenkatalogs und Bewertung des Reifegrades der Organisation und der gelebten Prozesse
  • Beschreibung der Abweichungen gegenüber den Anforderungen aus dem TISAX ISA-Fragenkatalog
  • Vier-Augen-Qualitätskontrolle des ausgefüllten und bewerteten TISAX ISA-Fragenkatalogs und anschließende Freigabe
  • Übermittlung des final freigegebenen, ausgefüllten und bewerteten TISAX ISA-Fragenkatalogs an den Kunden

TISAX internes Audit Maßnahmenplan

  • Erstellung des TISAX Maßnahmenplans auf Basis der Reifegradbewertung im TISAX ISA-Fragenkatalog
  • Zuweisung von Einzelmaßnahmen an Verantwortliche in der Organisation und/oder bei der QAS-Company AG
  • Unterstützung bei der Abarbeitung der TISAX Maßnahmen bis zum erfolgreichen Abschluss
  • Wirksamkeitsprüfung TISAX und ggf. erneute Reifegradbewertung im TISAX ISA-Fragenkatalog

Auditangebot jetzt erhalten

Erhalten Sie innerhalb von 24h Ihr individuell auf Sie zugeschnittenes Auditangebot

Maßnahmenplan für TISAX® Assessments

Sie benötigen Unterstützung bei Ihrem IT-Sicherheits-Assessment?

Gerne senden wir Ihnen ein unverbindliches Angebot.

Die Wechselwirkungen zwischen TISAX® und ISO 27001

Die ISO 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Ziel dieser Norm ist es mögliche Risiken für Unternehmen zu identifizieren, zu analysieren und durch entsprechende Maßnahmen beherrschbar zu machen.

Im strukturellen Aufbau ist die ISO 27001 vergleichbar mit anderen, ISO-basierenden Managementsystemen, aus den Bereichen Qualität, Umwelt, Energie und Arbeitssicherheit. Die ISO 27001 basiert auf der sog. HLS – High Level Struktur - mit seinen 10 Kapiteln. Daher kann sie leicht in bereits bestehende Managementsysteme integriert werden. Die ISO 27001 definiert eine ganzheitliche Betrachtungsweise von Unternehmensstrategie, Führungsleitsätze, dem operativen Betrieb bis zu den fortlaufenden Verbesserungen und beschreibt konkrete Referenzmaßnahmen, nach deren Umsetzung man ein funktionierendes ISMS erhält.

Die ISO 27001 wird von einer Zertifizierungsstelle auditiert. Dabei werden Abweichungen und Potenziale identifiziert. Nach einem erfolgreichen Zertifizierungsaudit wird ein Zertifikat erteilt, das drei Jahre gültig ist.

TISAX® (Trusted Information Security Assessment Exchange) wurde speziell für die Automobilindustrie entwickelt und bietet der Branche ein einheitliches Informationssicherheitsniveau. TISAX® = Eine eingetragene Marke der ENX Association. ENX = European Network Exchange Association, https://portal.enx.com/de-de. TISAX® ist eine Systematik die den Schutz von gegenseitig ausgetauschten Informationen, für alle beteiligten Parteien, gleichermaßen sicherstellen soll.

Jeder der TISAX® in der Automotiven Lieferkette anwendet – vom Hersteller bis zum Zulieferer – erkennt die Prüfungsergebnisse der anderen Teilnehmer an. Dadurch werden Mehrfachprüfungen vermieden, Zeit und Kosten werden gespart.

Das Besondere an TISAX® ist, im direkten Vergleich zur ISO 27001, der Schutz der Prototypen in der Zusammenarbeit mit dem OEM und die Sicherstellung der Informationssicherheit bei der Anbindung Dritter. Bei der ISO 27001 gibt es so etwas nicht.

Um herauszufinden, wie „reif“ eine teilnehmende Firma im Sinne von TISAX® ist, wurde der ISA-Fragenkatalog zum Information Security Assessment entwickelt. Dieser ISA-Fragenkatalog basiert auf der ISO 27001. Durch diesen Umstand wird erkennbar, dass TISAX® auf dem ISMS-Fundament der ISO 27001 aufgebaut ist. Bei TISAX® findet die Bewertung des installierten ISMS durch Reifegrade von 0 bis 5 statt.

TISAX® wird durch einen Prüfdienstleister assessiert, der durch die ENX freigegeben ist. ENX Prüfdienstleister: https://portal.enx.com/de-DE/tisax/xap/. Basierend auf den Ergebnissen aus dem Assessment werden Maßnahmen festgelegt, um einen definierten Ziel-Reifegrad zu erreichen. Ein entsprechend dem Reifegrad definiertes Label wird nach dem Assessment ausgestellt. Dieses Label hat eine Gültigkeit von drei Jahren.

Folgende TISAX® Reifegrade sind definiert:

  • Stufe 0: Unvollständig
  • Stufe 1: Durchgeführt
  • Stufe 2: Gesteuert
  • Stufe 3: Etabliert
  • Stufe 4: Vorhersagbar
  • Stufe 5: Optimierend

Typischer Kundennutzen TISAX® Audit durch QAS-Company AG

Hohe Praxisorientierung

Unser theoretisches Wissen kombinieren wir immer mit praktischer Erfahrung. Deshalb können Sie unsere Verbesserungspotentiale und Korrekturmaßnahmen sofort in die Praxis umsetzen.

Erfahrene Assessoren?

Mit langjähriger Assessmenterfahrung und der richtigen Menge an Intuition und Empathie finden wir schnell und zielgerichtet die Abweichungen und Verbesserungspotentiale in Ihrem Managementsystem.

Objektive Ergebnisse

Unsere Assessmentergebnisse sind frei von firmenpolitischen oder persönlichen Einflüssen. Sie beziehen sich ausschließlich auf eine objektive und neutrale Betrachtung der Feststellungen.

Ressourcen schonen

Gewinnen Sie durch das Outsourcing Ihrer Assessments Zeit für dringende QM-Themen und setzen Sie Ihr QM-Personal direkt für die Umsetzung qualitätssteigernder Maßnahmen ein.

Professionelle Durchführung

Auch bei ungünstigen Rahmenbedingungen bleiben wir konstruktiv. Wir unterstützen Ihre Mitarbeiter und Fachkräfte bei der Überwindung Ihrer Assessment-Skepsis. So erzielen wir den bestmöglichen Assessmentnutzen.

Umfassende Leistungen

Wir unterstützen Sie an jedem Punkt Ihres Assessments: Von der Assesment Vorbereitung über die Durchführung bis zur Dokumentation und auf Wunsch auch bei der Maßnahmen-Umsetzung.

Was ist ein internes Audit nach TISAX®?

  • Der Branchenstandard für Informationssicherheit in der Automobilindustrie ist TISAX®. TISAX® steht für Trusted Information Security Assessment Exchange. TISAX® ist eine eingetragene Marke der ENX Association. ENX ist die Abkürzung für European Network Exchange Association, https://portal.enx.com/de-de. Die ENX Association ist der Betreiber der TISAX®.
  • Ein internes Audit im Rahmen von TISAX ist ein strukturierter und unabhängiger Prozess zur Bewertung der Informationssicherheitsmaßnahmen eines Unternehmens. Ziel ist nicht die Kontrolle, sondern die kontinuierliche Verbesserung und die Sicherstellung eines angemessenen Schutzes sensibler Daten innerhalb der Lieferkette.
  • Sicherstellung der Konformität mit TISAX-Anforderungen: Interne Audits prüfen, ob die implementierten Maßnahmen den Vorgaben des aktuellen VDA ISA-Katalogs entsprechen. So wird gewährleistet, dass das Unternehmen jederzeit bereit für ein offizielles Assessment durch eine akkreditierte Prüfstelle ist.
  • Frühzeitige Identifikation von Schwachstellen: Regelmäßige Audits helfen dabei, potenzielle Sicherheitslücken, organisatorische Defizite oder technische Risiken frühzeitig zu erkennen und gezielt zu beheben – insbesondere in den Bereichen Datenschutz, Prototypenschutz und IT-Sicherheit.
  • Förderung eines wirksamen Informationssicherheitsmanagementsystems (ISMS): Die Auditergebnisse liefern wertvolle Hinweise zur Weiterentwicklung des ISMS und unterstützen die systematische Umsetzung von Schutzmaßnahmen gemäß dem TISAX-Reifegradmodell.
  • Sensibilisierung der Mitarbeitenden: Die Einbindung der Belegschaft in den Auditprozess stärkt das Verständnis für Informationssicherheit und fördert eine verantwortungsbewusste Arbeitsweise im Umgang mit vertraulichen Informationen.
  • Transparenz und Nachvollziehbarkeit: Dokumentierte Auditberichte schaffen Klarheit über den aktuellen Sicherheitsstatus und ermöglichen eine objektive Bewertung der Wirksamkeit getroffener Maßnahmen.
  • Optimale Vorbereitung auf das TISAX-Assessment: Interne Audits sind ein zentrales Instrument zur Vorbereitung auf die externe Bewertung. Sie helfen dabei, den Prüf-Scope zu definieren, relevante Dokumente bereitzustellen und die Organisation gezielt auf die Anforderungen der jeweiligen Assessment-Stufe (Level 2 oder 3) vorzubereiten.

Fragen, Antworten und interessante Details

Wann sollte ein internes Audit durchgeführt werden?

  • Vor dem offiziellen TISAX® Assessment.
  • Bei Änderungen im ISMS oder nach Vorfällen.
  • Regelmäßig zur kontinuierlichen Verbesserung der Informationssicherheit.

 

Wo findet das interne TISAX® Audit statt?

  • Vor Ort im Unternehmen oder als Remote-Audit via Microsoft Teams.
  • Je nach Assessment-Level: AL2 meist remote, AL3 zwingend vor Ort.
  • Die physische Sicherheit sollte vor Ort im Unternehmen und zusammen mit den ausführenden bzw. verantwortlichen Mitarbeitern, auditiert werden.

 

Welche Vorteile bietet ein extern durchgeführtes internes TISAX® Audit?

  • Wettbewerbsvorteil durch nachgewiesene Sicherheit
  • Anerkennung durch OEMs weltweit
  • Vermeidung von Mehrfachprüfungen
  • Reduktion von Kosten und Komplexität
  • Frühzeitige Erkennung von Schwachstellen
  • Vorbereitung auf externe Assessments
  • Förderung der Sicherheitskultur
  • Nachweis der Normkonformität
  • Verbesserung der Prozesse und Dokumentation
  • Objektivität bei der Auditierung
  • Unparteilikeit gegenüber dem Unternehmen

 

Welche Auditarten gibt es?

Nach Audittyp

  • First Party Audit (Internes Audit): Vom Unternehmen selbst durchgeführt zur Selbstbewertung und Vorbereitung auf externe Audits.
  • Second Party Audit (Lieferantenaudit): Vom Kunden beim Lieferanten durchgeführt zur Bewertung von Prozessen und Produkten.
  • Third Party Audit (Zertifizierungsaudit): Durch unabhängige Organisationen zur offiziellen Bestätigung der Normkonformität.
     

Nach Inhalt und Zielsetzung

  • Systemaudit: Bewertung des gesamten Qualitätsmanagementsystems (z. B. ISO 9001, IATF 16949).
  • Prozessaudit: Prüfung einzelner Prozesse auf Effizienz und Konformität (z. B. VDA 6.3).
  • Produktaudit / Dienstleistungsaudit: Bewertung der Qualität von Produkten oder Dienstleistungen.
  • Compliance Audit: Überprüfung gesetzlicher und regulatorischer Anforderungen.
  • Layered Process Audit (LPA): Mehrstufiges Audit zur regelmäßigen Prozessbewertung.
  • Produktsicherheitsaudit: Für sicherheitsrelevante Produkte, z. B. in Automotive, Luftfahrt, Medizintechnik.
     

Weitere Auditformen

  • Preaudit: Simulation eines echten Audits zur Vorbereitung.
  • Regulatorisches Audit: Durch Behörden zur Überprüfung gesetzlicher Vorgaben.
  • Remote Audit: Durchführung über digitale Plattformen.

Warum ist ein internes TISAX® Audit wichtig?

  • Es identifiziert Schwachstellen im Informationssicherheits-Managementsystem (ISMS).
  • Es stärkt die Compliance und das Vertrauen von OEMs und Geschäftspartnern.
  • Es ist oft Voraussetzung für Geschäftsbeziehungen in der Automobilbranche.
  • Es hilft, Bußgeldrisiken bei Datenschutzverstößen zu minimieren.

 

Wer benötigt ein internes TISAX® Audit?

  • Unternehmen, die mit Automobilherstellern oder deren Zulieferern zusammenarbeiten.
  • Dienstleister mit Zugriff auf sensible Daten, Prototypen oder Entwicklungsunterlagen.
  • Organisationen, die ein TISAX® Label anstreben oder ihre ISMS-Reife verbessern wollen.

 

Wie läuft ein internes TISAX® Audit ab?

  1. Vorbereitung: Festlegung des Audit-Scopes, Selbsteinschätzung, Dokumentensichtung.
  2. Durchführung: Prüfung der Prozesse, Dokumentation und physischer Gegebenheiten.
  3. Nachbereitung: Bewertung im ISA-Katalog, Erstellung eines Maßnahmenplans.
  4. Maßnahmenumsetzung: Unterstützung bei der Umsetzung und Reifegradverbesserung

 

Welche Inhalte werden geprüft?

  • Informationssicherheitsrichtlinien
  • Zutritts- und Zugangskontrollen
  • Prototypenschutz
  • Technische Schutzmaßnahmen
  • Wirksamkeit des ISMS im Alltag

 

Welche Assessment-Level gibt es?

  • AL1: Selbsteinschätzung ohne externe Prüfung
  • AL2: Dokumentenbasierte Prüfung durch Auditor
  • AL3: Vor-Ort-Prüfung mit intensiver Begutachtung

 

Weitere Audits von QAS-Company AG