{"id":1612,"date":"2020-03-05T16:19:12","date_gmt":"2020-03-05T15:19:12","guid":{"rendered":"https:\/\/vmi13023.psw.co\/?p=1612"},"modified":"2026-01-08T15:41:10","modified_gmt":"2026-01-08T14:41:10","slug":"iso-27001-oder-tisax","status":"publish","type":"post","link":"https:\/\/www.psw-training.de\/blog\/iso-27001-oder-tisax\/","title":{"rendered":"ISO 27001 oder TISAX\u00ae – Konzept und Unterschiede"},"content":{"rendered":"

Was ist ISO 27001?<\/strong><\/h3>\n

ISO 27001 ist eine international anerkannte Norm f\u00fcr ein Informationssicherheitsmanagementsystem (ISMS). Ein ISMS ist ein Satz von Regeln, Verfahren und Richtlinien innerhalb einer Organisation. Dies geschieht mit dem Zweck, die Informationssicherheit dauerhaft zu definieren, zu kontrollieren, zu steuern, aufrecht zu erhalten und stetig zu verbessern. Die Norm ISO\/IEC 27001 wurde von der ISO (International Organization for Standardization) in der Zusammenarbeit mit der IEC (International Electrotechnical Commission) herausgegeben. Sie ist mittlerweile weltweit anerkannt, um ein ISMS nachzuweisen.<\/p>\n

Die Norm definiert die allgemeinen Anforderungen an Einf\u00fchrung, Umsetzung, Betrieb, \u00dcberwachung, \u00dcberpr\u00fcfung, Aufrechterhaltung sowie Verbesserung von formalisierten ISMS. Diese steht im Zusammenhang mit den \u00fcbergreifenden Unternehmensrisiken einer Organisation (Normabschnitte 4 bis 10). Au\u00dferdem enth\u00e4lt die ISO\/IEC 27001-Norm eine Auflistung der Ma\u00dfnahmen-Ziele und Ma\u00dfnahmen im Informationssicherheitsmanagement (Anhang A). Ma\u00dfnahmen und -ziele m\u00fcssen f\u00fcr den Zertifizierungs-Prozesses gem\u00e4\u00df dieser Norm erf\u00fcllt oder in Ausnahmef\u00e4llen, unter gewissen Pr\u00e4missen, ausgeschlossen werden.<\/p>\n

Die ISO\/IEC 27001-Norm ist ein Teil der ISO 27000-Standardfamilie. Aus dieser sind mittlerweile einige branchenspezifische Leitf\u00e4den entstanden. Ein Leitfaden ist ein informativer Standard, der im Gegensatz zu einer Norm nur einen empfehlenden Charakter hat. Beispielsweise die ISO 27019 f\u00fcr Energieversorger, die ISO 27799 f\u00fcr medizinische Informatik und die 27011 f\u00fcr Telekommunikationsunternehmen, welche die sektor- und ma\u00dfnahmenspezifischen Leitf\u00e4den beschreiben. Diese Leitf\u00e4den definieren die Informationssicherheitsmanagementsysteme in den genannten kritischen Infrastrukturen.<\/p>\n

Was ist TISAX\u00ae?<\/strong><\/h3>\n

Der \u201eT<\/strong>rusted\u00a0I<\/strong>nformation\u00a0S<\/strong>ecurity\u00a0A<\/strong>ssessment EX<\/strong>change\u201c, kurz TISAX\u00ae, wird von der rechtlich-selbstst\u00e4ndigen Instanz ENX Association, mit Sitz in Frankfurt am Main und Paris, betrieben.
\nTISAX\u00ae wurde 2017 vom Verband der Automobilindustrie (VDA) als ein Pr\u00fcf- und Austauschmechanismus etabliert. Dieser dient als Informationssicherheitsnachweis in der Automobilindustrie. \u00c4hnlich wie bei den branchenspezifischen Normen ist die ISO 27001 die Grundlage f\u00fcr TISAX\u00ae. Zus\u00e4tzlich basiert TISAX\u00ae auf dem Fragebogen zur Informationssicherheit (ISA \u2013 Information Security Assessment). Dieser wurde von einem Arbeitskreis Informationssicherheit des VDA entwickelt. Der Fragebogen diente urspr\u00fcnglich zur Pr\u00fcfung der Lieferanten und Dienstleister der Mitgliedsunternehmen der VDA, deren Unternehmen sensible Informationen verarbeiten. Somit setzt sich TISAX\u00ae aus dem branchenspezifischen VDA-ISA-Fragenkatalog sowie der branchen\u00fcbergreifenden ISO\/IEC 27001-Norm zusammen und deckt die spezifischen und die allgemeinen Anforderungen an die Automobilindustrie ab.<\/p>\n

Mit TISAX\u00ae wurde ein einheitliches Informationssicherheitsniveau in der Automobilbranche geschaffen, welches unternehmens\u00fcbergreifend anerkannte Bewertungsergebnisse liefert. Gepr\u00fcfte Unternehmen genie\u00dfen ein gr\u00f6\u00dferes Vertrauen und k\u00f6nnen somit die Mehrfachpr\u00fcfung von verschiedenen Auftraggebern vermeiden.<\/p>\n

Unterschiede zwischen ISO 27001 und TISAX\u00ae<\/strong><\/h2>\n

Die Informationssicherheits-Zertifizierungen TISAX\u00ae und ISO 27001 unterscheiden sich nicht nur darin, dass TISAX\u00ae speziell f\u00fcr die Automobilindustrie und die ISO 27001-Norm branchen\u00fcbergreifend anwendbar sind, sondern auch in einigen anderen Punkten. Nachfolgend sind einige der Unterschiede zwischen den Informationssicherheits-Zertifizierungen aufgef\u00fchrt:<\/p>\n

1. TISAX\u00ae VDA-ISA-Fragenkatalog<\/u><\/h3>\n

Der TISAX\u00ae VDA-ISA-Fragenkatalog hat im Vergleich zu ISO 27001 weit weniger Ma\u00dfnahmen-Anforderungen, wobei einige Pr\u00fcfpunkte im Fragenkatalog zusammengefasst wurden. Die Ma\u00dfnahmen-Anforderungen, welche bei ISO 27001 auf Unternehmen in vielen Branchen anwendbar sind, wurden im TISAX\u00ae VDA-ISA-Fragenkatalog an die Automobilindustrie und deren Lieferanten, Dienstleister und Partner angepasst. Der wesentliche Unterschied hierbei ist auch, dass die im VDA-ISA-Fragenkatalog aufgef\u00fchrten Anforderungen verbindliche Umsetzungs-Nachweise haben und die Ma\u00dfnahmen der ISO 27001 generisch sind. Somit wird bei dem TISAX\u00ae VDA-ISA-Fragenkatalog die Unterscheidung zwischen muss<\/strong>, sollte<\/strong>, kann<\/strong> sowie gegebenenfalls den Punkten \u201ezus\u00e4tzlich bei hohem Schutzbedarf<\/strong>\u201c und \u201ezus\u00e4tzlich bei sehr hohem Schutzbedarf<\/strong>\u201c gemacht.<\/p>\n

2. Zertifizierung<\/u><\/h3>\n

Bei der ISO 27001 existieren zwei Arten der Zertifizierung, f\u00fcr Organisationen und f\u00fcr Personen. Personen k\u00f6nnen sich durch eine ISO\/IEC 27001-<\/a>Schulung mit anschlie\u00dfender Pr\u00fcfung zertifizieren lassen. Organisationen durchlaufen f\u00fcr eine Zertifizierung nach ISO 27001 ein Audit, welches die Erf\u00fcllung der Ma\u00dfnahmen-Anforderungen\/-ziele pr\u00fcft.<\/p>\n

Bei der Zertifizierung nach TISAX\u00ae gibt es verschiedene Umsetzungs-Reifegrade (Level), nach denen gepr\u00fcft wird. Die Pr\u00fcfstufen\/Assessments (Abgek\u00fcrzt: AL1-3) definieren sich wie folgt:<\/p>\n

TISAX\u00ae-Assessment \u2013 Level 1 (Normal)<\/h4>\n

Bestehend aus einer Selbstauskunft anhand des Fragenkatalogs hat Level 1 eine geringe Aussagekraft und wird selten angewandt oder von Partnern gefordert.<\/p>\n

TISAX\u00ae-Assessment \u2013 Level 2 (hoch)<\/h4>\n

Level 2 wird durch ein Telefoninterview sowie einen Plausibilit\u00e4ts-Check durch ein akkreditiertes beauftragtes Pr\u00fcfungs-Unternehmen erreicht. Wenn zus\u00e4tzlich als Pr\u00fcf-Ziel die \u201eAnbindung Dritter\u201c definiert ist, ist eine Vor-Ort-Pr\u00fcfung zwingend notwendig.<\/p>\n

TISAX\u00ae-Assessment \u2013 Level 3 (sehr hoch)<\/h4>\n

Um das Level 3 zu erreichen, muss eine Vor-Ort-Pr\u00fcfung direkt im Unternehmen und die Dokumentenpr\u00fcfungen durch die Experten eines beauftragten akkreditierten Pr\u00fcfunternehmens bestanden werden.<\/p>\n

Es empfiehlt sich bei der ersten Zertifizierung nach TISAX\u00ae das Anstreben des Level 3, um auf k\u00fcnftige Anforderungen vorbereitet zu sein, ohne Doppelarbeit zu verursachen.<\/p>\n

3. Scope (Geltungsbereich oder Anwendungsbereich)<\/u><\/h3>\n

Im Rahmen der Zertifizierung nach ISO 27001 kann man den Scope weitestgehend selbst festlegen. Wohingegen bei der Zertifizierung nach VDA-ISA (TISAX\u00ae) bereits ein Standard-Scope von der ENX<\/a> vorgegeben ist.<\/p>\n

Tipp: Wenn Sie vor der Entscheidung stehen: \u201eISO 27001 oder TISAX\u00ae?\u201c. Hier tendieren Sie eventuell zu der Norm ISO 27001. Dann empfiehlt es sich, den Scope, wenn m\u00f6glich, f\u00fcr die ISO 27001 \u00e4hnlich oder identisch zu dem vordefinierten Standard-Scope von TISAX\u00ae zu w\u00e4hlen. So sparen Sie sich viel Arbeit, falls doch in der Zukunft eine TISAX\u00ae-Zertifizierung von Ihnen gefordert wird.<\/p>\n

Die ISO\/IEC 27001 <\/a>Norm und TISAX\u00ae unterscheiden sich noch in anderen detaillierteren Aspekten. Dennoch sind die drei oben aufgef\u00fchrten Unterschiede wesentlich. Interessieren Sie sich f\u00fcr weitere Unterschiede oder allgemeine Informationen zum Thema TISAX\u00ae, stehen wir Ihnen jederzeit unter info@psw-training.de<\/a> zur Verf\u00fcgung.<\/p>\n

Ist die ISO 27001-Zertifizierung n\u00f6tig f\u00fcr TISAX\u00ae?<\/strong><\/h2>\n

Nein, eine Zertifizierung nach ISO 27001 ist nicht notwendig, um sich nach TISAX\u00ae zertifizieren zu lassen. Weder die Organisation noch die Personen m\u00fcssen nach ISO 27001 zertifiziert sein, um die Auditierung nach TISAX\u00ae zu bestehen. Es macht jedoch die Umsetzung von TISAX\u00ae in vielen Aspekten leichter. Da sich die Informationssicherheits-Zertifizierungen in mehr Punkten gleichen als unterscheiden, ist eine Zertifizierung hilfreich.<\/p>\n

Vor allem die Schulung der Mitarbeiter, die mit der Bearbeitung, Umsetzung und Durchsetzung von TISAX\u00ae in einem Unternehmen beauftragt sind, ist von enormer Wichtigkeit. Trotz der Unterschiede eignet sich hierf\u00fcr dann die ISO\/IEC 27001-Schulungsreihe. Den Teilnehmern werden in der Schulung nicht nur die Inhalte n\u00e4hergebracht. Vor allem in den ISO\/IEC 27001 Officer- <\/a>und ISO\/IEC 27001 Auditor-<\/a>Schulungen wird den Teilnehmern vermittelt, wie sie eine bevorstehende Zertifizierung managen k\u00f6nnen\/m\u00fcssen. Weitere Fragen zu Schulungen im Allgemeinen beantworten wir in diesem Beitrag<\/a>.<\/p>\n

Fazit <\/strong><\/h2>\n

Informationssicherheit ist ein stetig wachsendes Thema und ein kritischer Faktor in allen Unternehmen. Ob nun Automobilindustrie (TISAX\u00ae), kritische Infrastrukturen (die ISO 27019 f\u00fcr Energieversorger, die ISO 27799 f\u00fcr medizinische Informatik und die 27011 f\u00fcr Telekommunikationsunternehmen) oder alle Branchen zusammengenommen (ISO 27001) –\u00a0 viele Wege f\u00fchren zu einem Nachweis eines ISMS. Die ISO 27001 als international anerkannte branchen\u00fcbergreifende Norm f\u00fcr die Informationssicherheit deckt den gr\u00f6\u00dften Teil der Anforderungen. Trotzdem musste diese in der Vergangenheit an einige Branchen und Industriezweige angepasst werden, die mit besonders sensiblen Daten arbeiten. ISO 27001 bildet die Grundlage f\u00fcr sektor- und ma\u00dfnahmenspezifische Leitf\u00e4den und TISAX\u00ae. Daher lohnt es sich, eine Schulung zur \u201eMutter der Informationssicherheitsmanagementsysteme\u201c in Betracht zu ziehen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Um in der Automobilbranche zu arbeiten, muss man Informationssicherheitsstandards belegen. Eine L\u00f6sung – TISAX. Alternativen: ISO 27001.<\/p>\n","protected":false},"author":2,"featured_media":2749,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[24,22],"class_list":["post-1612","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-iso27001","tag-din-iso-iec-27001","tag-isms"],"_links":{"self":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/1612","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/comments?post=1612"}],"version-history":[{"count":25,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/1612\/revisions"}],"predecessor-version":[{"id":2750,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/1612\/revisions\/2750"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/media\/2749"}],"wp:attachment":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/media?parent=1612"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/categories?post=1612"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/tags?post=1612"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}