ISO 27001 oder TISAX® – Konzept und Unterschiede
– Redaktion PSW Training
Was ist ISO 27001?
ISO 27001 ist eine international anerkannte Norm für ein Informationssicherheitsmanagementsystem (ISMS). Ein ISMS ist ein Satz von Regeln, Verfahren und Richtlinien innerhalb einer Organisation. Dies geschieht mit dem Zweck, die Informationssicherheit dauerhaft zu definieren, zu kontrollieren, zu steuern, aufrecht zu erhalten und stetig zu verbessern. Die Norm ISO/IEC 27001 wurde von der ISO (International Organization for Standardization) in der Zusammenarbeit mit der IEC (International Electrotechnical Commission) herausgegeben. Sie ist mittlerweile weltweit anerkannt, um ein ISMS nachzuweisen.
Die Norm definiert die allgemeinen Anforderungen an Einführung, Umsetzung, Betrieb, Überwachung, Überprüfung, Aufrechterhaltung sowie Verbesserung von formalisierten ISMS. Diese steht im Zusammenhang mit den übergreifenden Unternehmensrisiken einer Organisation (Normabschnitte 4 bis 10). Außerdem enthält die ISO/IEC 27001-Norm eine Auflistung der Maßnahmen-Ziele und Maßnahmen im Informationssicherheitsmanagement (Anhang A). Maßnahmen und -ziele müssen für den Zertifizierungs-Prozesses gemäß dieser Norm erfüllt oder in Ausnahmefällen, unter gewissen Prämissen, ausgeschlossen werden.
Die ISO/IEC 27001-Norm ist ein Teil der ISO 27000-Standardfamilie. Aus dieser sind mittlerweile einige branchenspezifische Leitfäden entstanden. Ein Leitfaden ist ein informativer Standard, der im Gegensatz zu einer Norm nur einen empfehlenden Charakter hat. Beispielsweise die ISO 27019 für Energieversorger, die ISO 27799 für medizinische Informatik und die 27011 für Telekommunikationsunternehmen, welche die sektor- und maßnahmenspezifischen Leitfäden beschreiben. Diese Leitfäden definieren die Informationssicherheitsmanagementsysteme in den genannten kritischen Infrastrukturen.
Was ist TISAX®?
Der „Trusted Information Security Assessment EXchange“, kurz TISAX®, wird von der rechtlich-selbstständigen Instanz ENX Association, mit Sitz in Frankfurt am Main und Paris, betrieben.
TISAX® wurde 2017 vom Verband der Automobilindustrie (VDA) als ein Prüf- und Austauschmechanismus etabliert. Dieser dient als Informationssicherheitsnachweis in der Automobilindustrie. Ähnlich wie bei den branchenspezifischen Normen ist die ISO 27001 die Grundlage für TISAX®. Zusätzlich basiert TISAX® auf dem Fragebogen zur Informationssicherheit (ISA – Information Security Assessment). Dieser wurde von einem Arbeitskreis Informationssicherheit des VDA entwickelt. Der Fragebogen diente ursprünglich zur Prüfung der Lieferanten und Dienstleister der Mitgliedsunternehmen der VDA, deren Unternehmen sensible Informationen verarbeiten. Somit setzt sich TISAX® aus dem branchenspezifischen VDA-ISA-Fragenkatalog sowie der branchenübergreifenden ISO/IEC 27001-Norm zusammen und deckt die spezifischen und die allgemeinen Anforderungen an die Automobilindustrie ab.
Mit TISAX® wurde ein einheitliches Informationssicherheitsniveau in der Automobilbranche geschaffen, welches unternehmensübergreifend anerkannte Bewertungsergebnisse liefert. Geprüfte Unternehmen genießen ein größeres Vertrauen und können somit die Mehrfachprüfung von verschiedenen Auftraggebern vermeiden.
Unterschiede zwischen ISO 27001 und TISAX®
Die Informationssicherheits-Zertifizierungen TISAX® und ISO 27001 unterscheiden sich nicht nur darin, dass TISAX® speziell für die Automobilindustrie und die ISO 27001-Norm branchenübergreifend anwendbar sind, sondern auch in einigen anderen Punkten. Nachfolgend sind einige der Unterschiede zwischen den Informationssicherheits-Zertifizierungen aufgeführt:
1. TISAX® VDA-ISA-Fragenkatalog
Der TISAX® VDA-ISA-Fragenkatalog hat im Vergleich zu ISO 27001 weit weniger Maßnahmen-Anforderungen, wobei einige Prüfpunkte im Fragenkatalog zusammengefasst wurden. Die Maßnahmen-Anforderungen, welche bei ISO 27001 auf Unternehmen in vielen Branchen anwendbar sind, wurden im TISAX® VDA-ISA-Fragenkatalog an die Automobilindustrie und deren Lieferanten, Dienstleister und Partner angepasst. Der wesentliche Unterschied hierbei ist auch, dass die im VDA-ISA-Fragenkatalog aufgeführten Anforderungen verbindliche Umsetzungs-Nachweise haben und die Maßnahmen der ISO 27001 generisch sind. Somit wird bei dem TISAX® VDA-ISA-Fragenkatalog die Unterscheidung zwischen muss, sollte, kann sowie gegebenenfalls den Punkten „zusätzlich bei hohem Schutzbedarf“ und „zusätzlich bei sehr hohem Schutzbedarf“ gemacht.
2. Zertifizierung
Bei der ISO 27001 existieren zwei Arten der Zertifizierung, für Organisationen und für Personen. Personen können sich durch eine ISO/IEC 27001-Schulung mit anschließender Prüfung zertifizieren lassen. Organisationen durchlaufen für eine Zertifizierung nach ISO 27001 ein Audit, welches die Erfüllung der Maßnahmen-Anforderungen/-ziele prüft.
Bei der Zertifizierung nach TISAX® gibt es verschiedene Umsetzungs-Reifegrade (Level), nach denen geprüft wird. Die Prüfstufen/Assessments (Abgekürzt: AL1-3) definieren sich wie folgt:
TISAX®-Assessment – Level 1 (Normal)
Bestehend aus einer Selbstauskunft anhand des Fragenkatalogs hat Level 1 eine geringe Aussagekraft und wird selten angewandt oder von Partnern gefordert.
TISAX®-Assessment – Level 2 (hoch)
Level 2 wird durch ein Telefoninterview sowie einen Plausibilitäts-Check durch ein akkreditiertes beauftragtes Prüfungs-Unternehmen erreicht. Wenn zusätzlich als Prüf-Ziel die „Anbindung Dritter“ definiert ist, ist eine Vor-Ort-Prüfung zwingend notwendig.
TISAX®-Assessment – Level 3 (sehr hoch)
Um das Level 3 zu erreichen, muss eine Vor-Ort-Prüfung direkt im Unternehmen und die Dokumentenprüfungen durch die Experten eines beauftragten akkreditierten Prüfunternehmens bestanden werden.
Es empfiehlt sich bei der ersten Zertifizierung nach TISAX® das Anstreben des Level 3, um auf künftige Anforderungen vorbereitet zu sein, ohne Doppelarbeit zu verursachen.
3. Scope (Geltungsbereich oder Anwendungsbereich)
Im Rahmen der Zertifizierung nach ISO 27001 kann man den Scope weitestgehend selbst festlegen. Wohingegen bei der Zertifizierung nach VDA-ISA (TISAX®) bereits ein Standard-Scope von der ENX vorgegeben ist.
Tipp: Wenn Sie vor der Entscheidung stehen: „ISO 27001 oder TISAX®?“. Hier tendieren Sie eventuell zu der Norm ISO 27001. Dann empfiehlt es sich, den Scope, wenn möglich, für die ISO 27001 ähnlich oder identisch zu dem vordefinierten Standard-Scope von TISAX® zu wählen. So sparen Sie sich viel Arbeit, falls doch in der Zukunft eine TISAX®-Zertifizierung von Ihnen gefordert wird.
Die ISO/IEC 27001 Norm und TISAX® unterscheiden sich noch in anderen detaillierteren Aspekten. Dennoch sind die drei oben aufgeführten Unterschiede wesentlich. Interessieren Sie sich für weitere Unterschiede oder allgemeine Informationen zum Thema TISAX®, stehen wir Ihnen jederzeit unter info@psw-training.de zur Verfügung.
Ist die ISO 27001-Zertifizierung nötig für TISAX®?
Nein, eine Zertifizierung nach ISO 27001 ist nicht notwendig, um sich nach TISAX® zertifizieren zu lassen. Weder die Organisation noch die Personen müssen nach ISO 27001 zertifiziert sein, um die Auditierung nach TISAX® zu bestehen. Es macht jedoch die Umsetzung von TISAX® in vielen Aspekten leichter. Da sich die Informationssicherheits-Zertifizierungen in mehr Punkten gleichen als unterscheiden, ist eine Zertifizierung hilfreich.
Vor allem die Schulung der Mitarbeiter, die mit der Bearbeitung, Umsetzung und Durchsetzung von TISAX® in einem Unternehmen beauftragt sind, ist von enormer Wichtigkeit. Trotz der Unterschiede eignet sich hierfür dann die ISO/IEC 27001-Schulungsreihe. Den Teilnehmern werden in der Schulung nicht nur die Inhalte nähergebracht. Vor allem in den ISO/IEC 27001 Officer- und ISO/IEC 27001 Auditor-Schulungen wird den Teilnehmern vermittelt, wie sie eine bevorstehende Zertifizierung managen können/müssen. Weitere Fragen zu Schulungen im Allgemeinen beantworten wir in diesem Beitrag.
Fazit
Informationssicherheit ist ein stetig wachsendes Thema und ein kritischer Faktor in allen Unternehmen. Ob nun Automobilindustrie (TISAX®), kritische Infrastrukturen (die ISO 27019 für Energieversorger, die ISO 27799 für medizinische Informatik und die 27011 für Telekommunikationsunternehmen) oder alle Branchen zusammengenommen (ISO 27001) – viele Wege führen zu einem Nachweis eines ISMS. Die ISO 27001 als international anerkannte branchenübergreifende Norm für die Informationssicherheit deckt den größten Teil der Anforderungen. Trotzdem musste diese in der Vergangenheit an einige Branchen und Industriezweige angepasst werden, die mit besonders sensiblen Daten arbeiten. ISO 27001 bildet die Grundlage für sektor- und maßnahmenspezifische Leitfäden und TISAX®. Daher lohnt es sich, eine Schulung zur „Mutter der Informationssicherheitsmanagementsysteme“ in Betracht zu ziehen.