TISAX® vs. ISO 27001: Ein Vergleich der Bewertung von Abweichungen
- Marc Borgers
- 16. Nov. 2023
- 3 Min. Lesezeit
In der Welt der Informationssicherheit sind das TISAX® Assessment und das ISO 27001 Audit zwei mögliche Verfahren zur Bewertung und Sicherstellung der Einhaltung von Sicherheitsstandards in Unternehmen. In diesem Artikel befasse ich mich eingehend mit den Unterschieden in der Bewertung von Abweichungen zwischen diesen beiden Ansätzen.
TISAX® ist eine eingetragene Marke der ENX Association. Die AUDIT MANUFAKTUR steht in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden. TISAX® Assessments, zur Erlangung von Labels, werden nur von den auf der Homepage der ENX genannten Prüfdienstleistern durchgeführt.Hauptabweichungen
Hauptabweichungen im TISAX® Assessment: Eine Hauptabweichung im Rahmen eines TISAX® Assessments wird identifiziert, wenn ein erhebliches unmittelbares Risiko für die Informationssicherheit besteht oder wenn ernsthafte Zweifel an der Gesamtwirksamkeit des Informationssicherheitsmanagementsystems (ISMS) aufkommen.
Hauptabweichungen im ISO 27001 Audit: Eine Hauptabweichung im Rahmen eines ISO 27001 Audits wird festgestellt, wenn Zweifel an der Gesamtwirksamkeit des ISMS bestehen. Dies bedeutet, dass die Wirksamkeit des gesamten Managementsystems in Frage gestellt wird, wenn eine solche Abweichung vorliegt.
Aus dem TISAX®-Teilnehmerhandbuch:
Type | Definition | Reaction | Examples |
Major non-conformity | A major non-conformity:
- creates a significant immediate risk to your information security
- or creates doubts regarding the overall effectiveness of your information security management system | You have to: - address major non-conformities immediately with appropriate compensating measures - implement corrective actions without undue delay | - Systematic non-conformities
- Implementation deficits that create critical risks to the security of confidential information
- Implementation deficits that are not addressed by an appropriate corrective action |
Quelle: https://www.enx.com/handbook/tisax-participant-handbook.html#ID1169; Linkdatum 16.11.2023
Nebenabweichungen
Nebenabweichungen im TISAX® Assessment: Eine Nebenabweichung im Rahmen eines TISAX® Assessments wird identifiziert, wenn eine Anforderung aus dem VDA ISA nicht oder nicht vollständig erfüllt ist und wenn sich daraus weder ein erhebliches unmittelbares Risiko für die Informationssicherheit, noch ein Zweifel an der Gesamtwirksamkeit des ISMS ergibt.
Nebenabweichungen im ISO 27001 Audit: Eine Nebenabweichung im Rahmen eines ISO 27001 Audits wird festgestellt, wenn eine Anforderung in der Norm nicht oder nicht vollständig erfüllt worden ist und sich daraus kein Zweifel an der Gesamtwirksamkeit des ISMS ergibt.
Aus dem TISAX®-Teilnehmerhandbuch:
Type | Definition | Reaction | Examples |
Minor non-conformity | A minor non-conformity:
- does not create a significant immediate risk to your information security
- and does not creates doubts regarding the overall effectiveness of your information security management system | You have
to:
- implement corrective actions without undue delay | - Isolated or sporadic mistakes
- Non-compliance or deficits in the implementation of requirements or your policies |
Quelle: https://www.enx.com/handbook/tisax-participant-handbook.html#ID1169; Linkdatum 16.11.2023
Gemeinsamkeiten und Unterschiede
Bei beiden Verfahren werden Hauptabweichungen als ernsthafte Bedrohungen für die Informationssicherheit indentifiziert. Der Hauptunterschied liegt hier jedoch im zusätzlichen Schwerpunkt:
ISO 27001: Fokussiert auf die Gesamtwirksamkeit des ISMS.
TISAX®: Betont zusätzlich das unmittelbare Risiko für die Informationssicherheit.
Es muss in diesem Kontext hervorgehoben werden, dass beim TISAX® Assessment die Beurteilung, ob sich aus der festgestellten Verfehlung ein erhebliches, unmittelbares Risiko für die Informationssicherheit ergibt, ausschließlich in der Verantwortung des Auditors liegt. Nebenabweichungen werden in den Verfahren nicht als ernsthafte Bedrohungen für die Informationssicherheit eingestuft. Einen nennenswerten Unterschied gibt es jedoch im Umgang mit den Feststellungen in Bezug auf die Gültigkeit des Labels/Zertifikats:
ISO 27001: Das Zertifikat ist 3 Jahre gültig und es gibt jährliche Überwachungsaudits. Die Gültigkeit kann nach den 3 Jahren verlängert werden. Für die Beseitigung einer Nebenabweichung wird eine Frist festgesetzt, die eingehalten werden muss. Die Beseitigung wird, in der Regel, im nächsten Überwachungsaudit verifiziert. Wenn die Frist nicht eingehalten worden ist, wird die Nebenabweichung zu einer Hauptabweichung heraufgestuft.
TISAX®: Das Labels ist 3 Jahre gültig und es gibt keine jährlichen Überwachungsaudits. Die Gültigkeit kann nicht verlängert werden. Für die Beseitigung von Nebenabweichungen werden Fristen festgesetzt, die eingehalten werden müssen. Die Beseitigung muss zeitnah ohne unangemessene Verzögerung sowie innerhalb der für diese Verfahren vorgegbenen Frist (9 Monate) erfolgen und rechtzeitig nachgewiesen werden. Ein finales Label kann nur erlangt werden, wenn alle Feststellungen nachweislich beseitigt worden sind.
Fazit
Hinsichtlich der Abweichungen gibt es zwischen den Verfahren Parallelen, aber auch spezifische Unterschiede. Während TISAX® den Faktor Risiko bei der Bewertung hinzufügt, werden bei ISO 27001 Audits nicht fristgerecht beseitigte Nebenabweichungen erst im Folgejahr zu Hauptabweichungen heraufgestuft. Für Unternehmen, die sich an diese Vorgaben halten müssen, ist es wichtig, ein tiefgreifendes Verständnis für die jeweiligen Bewertungskriterien zu entwickeln, um sich effektiv auf die Prüfungen vorbereiten und Abweichungen vermeiden zu können.