Leitfaden & Beratung zur Vorbereitung auf ein TISAX®-Assessment
Inzwischen wird von Lieferanten der Automobilindustrie eine Informationssicherheitszertifizierung gefordert, wie TISAX®.
Grundlage für die Zertifizierung ist der VDA ISA Anforderungskatalog der zum freien Download zur Verfügung steht.
Verkürzen Sie die aufwendige Erarbeitung der Dokumentation enorm durch unsere ausführlichen Leitfaden und Mustervorlagen.
Sie sparen sich mehrere Monate Zeit und Manpower.
Abkürzungsverzeichnis:
VDA = Verband der Automobilindustrie
ISA = Information Security Assessment
TISAX® = Trusted Information Security Assessment Exchange
ISMS = InformationsSicherheitsManagementSystem
TISAX® ist eine eingetragene Marke der ENX Association. Die Toowoxx IT GmbH steht in keiner geschäftlichen Beziehung zu ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Eignung der hier beworbenen Leistungen verbunden.
Kurz erklärt:
Zur Erfüllung der Reifegrade in den Kategorien Informationssicherheit und Datenschutz, helfen Ihnen unsere vordefinierten Prozesse als Vorlage. Toowoxx hat seit 2021 ein TISAX Label.
Erwerben Sie unser ISMS und umfangreiche Dokumentation, um schnell und erfolgreich zertifiziert zu werden.
Unsere zur Prüfung eingereichten Unterlagen im Juli 2024 hat der Prüfer als „Zweitbeste Unterlagen“ seiner Laufbahn bezeichnet. Die anderen waren nur um Nuancen besser. Auf Wunsch beraten wir Sie gerne zusätzlich bei Ihrer Zertifizierung.
Einblick in das ISMS
Hier können Sie sich ein Überblick über den Leistungsumfang am Beispiel von Confluence verschaffen.
Falls Sie hierzu Fragen haben, freuen wir uns über Ihre Kontaktaufnahme.
Übersicht der Inhalte passend zu den VDA ISA Controls
| 1.1.1 | Informationssicherheitsrichtlinien |
| 1.1.1 | Richtlinien für mobiles Arbeiten |
| 1.1.1 | Richtlinien für Endgeräte |
| 1.1.1 | Richtlinien zur physischen Sicherheit |
| 1.1.1 | Richtlinie Umgang mit Informationen |
| 1.1.1 | Richtlinien zu Anmeldeinformationen |
| 1.1.1 | Informationssicherheitsschulung |
| 1.1.1 | Richtlinien für Datenträger |
| 1.2.1 | Informationssicherheitsaudits |
| 1.2.1 | Dokumentenstruktur ISMS |
| 1.2.2 | Zertifikat Datenschutzbeauftragter |
| 1.2.2 | Ernennung Informationssicherheitsbeauftragter |
| 1.2.2 | Meldebescheinigung Datenschutzbeauftragter |
| 1.2.2 | Bekanntmachung ISB und DSB |
| 1.2.2 | Inhaltsverzeichnis ISMS |
| 1.2.2 | Organigramm |
| 1.2.3 | Prozess Informationssicherheit in Projekten |
| 1.2.3 | Prozess Ablauf Software-Projekte |
| 1.2.3 | Prozess Einführung neuer Systeme |
| 1.2.3 | Prozess Änderung Organisation oder Geschäftsprozesse |
| 1.2.3 | Prozess Einführung neuer Auftragnehmer |
| 1.2.3 | Beispieldokumentation internes Software Projekt |
| 1.2.4 | Informationssysteme |
| 1.2.4 | Informationsklassifizierung |
| 1.2.4 | Klassifizierungsspezifische Vorgaben für Services |
| 1.2.4 | Ticketsystem Detaildokumentation |
| 1.2.4 | Informationssicherheitsaudits |
| 1.2.4 | Serverdokumentation |
| 1.2.4 | Ergebnisbericht Informationssicherheitsaudit mit Konfigurationsueberpruefung |
| 1.2.4 | Einführung neuer Systeme |
| 1.3.1 | Informationsklassifizierung |
| 1.3.1 | Informationswerte |
| 1.3.1 | Informationssysteme |
| 1.3.1 | Geräteliste |
| 1.3.1 | Informationssicherheitsaudits |
| 1.3.2 | Informationsklassifizierung |
| 1.3.2 | Informationswerte |
| 1.3.2 | Informationssicherheitsrichtlinien |
| 1.3.2 | Geheimhaltungsvereinbarung |
| 1.3.2 | Richtlinie Umgang mit Informationen |
| 1.3.2 | Schulung zur Informationssicherheit |
| 1.3.2 | Anwesenheit Informationssicherheitsschulung |
| 1.3.3 | Einführung neuer Systeme |
| 1.3.3 | Informationssysteme |
| 1.3.3 | Klassifizierungsspezifische Vorgaben für IT-Dienste |
| 1.3.3 | Informationssicherheitsschulung |
| 1.3.3 | Firewall Aktive Sicherheitsmaßnahmen |
| 1.4.1 | Risikomanagement |
| 1.4.1 | Statusübersicht der Maßnahmenumsetzung |
| 1.4.1 | Informationssicherheitsaudits |
| 1.5.1 | Informationssicherheitsaudits |
| 1.5.1 | Terminplanung ISMS |
| 1.5.1 | Dokumentation Informationssicherheitsaudit |
| 1.5.1 | Technische Serverdokumentation Beispiel |
| 1.5.1 | Managementprotokoll ISM |
| 1.5.1 | Statusübersicht Maßnahmenumsetzung |
(Hat keine Nachweise)
| 2.1.1 | Rollen und zugehörige Personalanforderungen |
| 2.1.1 | Informationswerte |
| 2.1.2 | Geheimhaltungsvereinbarung Arbeitsvertrag |
| 2.1.2 | Zusatzvereinbarung Informationssicherheitsrichtlinien |
| 2.1.2 | Definition Informationssicherheitsereignisse |
| 2.1.2 | Meldung von Informationssicherheitsereignissen |
| 2.1.2 | Bearbeitung von Informationssicherheitsereignissen |
| 2.1.3 | Informationssicherheitsschulung |
| 2.1.3 | Dokumentation Teilnahme Schulungen |
| 2.1.3 | Terminplanung ISMS |
| 2.1.4 | Richtlinien für mobiles Arbeiten |
| 2.1.4 | Richtlinien zu Anmeldeinformationen |
| 2.1.4 | Informationssicherheitsrichtlinien |
| 2.1.4 | Richtlinien für Endgeräte |
| 2.1.4 | Staatenliste SÜG |
| 2.1.4 | Informationssicherheitsschulung |
| 3.1.1 | Richtlinie Umgang mit Informationen |
| 3.1.1 | Sicherheitszonenkonzept |
| 3.1.1 | Verhaltensregeln zur physischen Sicherheit |
| 3.1.1 | Informationssicherheitsschulung |
| 3.1.1 | Schlüsselübergabedokument |
| 3.1.2 | Gefährdungsszenarien |
| 3.1.2 | Krisenpläne zu Ausnahmesituationen |
| 3.1.2 | Sicherheitszonenkonzept |
| 3.1.2 | Verhaltensregeln zur physischen Sicherheit |
| 3.1.2 | Richtlinien für mobiles Arbeiten |
| 3.1.2 | Datensicherungskonzept |
| 3.1.2 | Notfallübungen |
| 3.1.3 | Richtlinie Umgang mit Informationen |
| 3.1.3 | Richtlinien für Datenträger |
| 3.1.3 | Richtlinien zur physischen Sicherheit |
| 3.1.3 | Meldung von Informationssicherheitsereignissen |
| 3.1.3 | Handhabung von Informationssicherheitsereignissen |
| 3.1.3 | Sicheres Löschen von Datenträgern |
| 3.1.3 | Datenschutzgerechte Datenträgervernichtung |
| 3.1.4 | Asset Inventarliste |
| 3.1.4 | Richtlinien für Endgeräte |
| 3.1.4 | Informationssicherheitsrichtlinien |
| 3.1.4 | Richtlinien für Datenträger |
| 3.1.4 | Vorgaben zur Verschlüsselung |
| 3.1.4 | Festplattenverschlüsselung |
| 3.1.4 | Richtlinie Umgang mit Informationen |
| 3.1.4 | Antivirenschutz zentrale Verwaltung |
| 3.1.4 | Informationssicherheitsschulung |
| 4.1.1 | Sicherheitszonenkonzept |
| 4.1.1 | Schlüsselempfangsformular |
| 4.1.1 | Informationssicherheitsaudits |
| 4.1.1 | OffBoarding Prozess |
| 4.1.1 | Meldung von Informationssicherheitsereignissen |
| 4.1.2 | Risikobewertung Authentifizierungsmethoden |
| 4.1.2 | Klassifizierungsspezifische Vorgaben für Services |
| 4.1.2 | Richtlinien zu Anmeldeinformationen |
| 4.1.2 | Richtlinien für Endgeräte |
| 4.1.3 | Offboarding Prozess |
| 4.1.3 | Onboarding Prozess |
| 4.1.3 | Richtlinien zu Anmeldeinformationen |
| 4.2.1 | ISMS Auszug Prozess Erteilung von Zugriffsberechtigungen |
| 4.2.1 | Organigramm |
| 4.2.1 | ISMS Auszug Mitarbeiterrollen |
| 4.2.1 | Informationswerte |
| 4.2.1 | Prüfungsprotokoll Benutzerkonten |
| 5.1.1 | Vorgaben zur Verschlüsselung |
| 5.1.1 | Firmeninterne Systeme |
| 5.1.1 | Asset Inventarliste |
| 5.1.1 | Informationsklassifizierung |
| 5.1.1 | Richtlinie Umgang mit Informationen |
| 5.1.1 | Tools zum Verschlüsseln |
| 5.1.1 | Informationssicherheitsschulung |
| 5.1.2 | Informationsklassifizierung |
| 5.1.2 | Firmeninterne Systeme und deren Einstufung |
| 5.1.2 | Richtlinie Umgang mit Informationen |
| 5.1.2 | Vorgaben zur Verschlüsselung |
| 5.1.2 | Screenshot Kennzeichnung Informationsklassifizierung |
| 5.2.1 | Änderung von Organisation oder Geschäftsprozessen |
| 5.2.1 | Änderung Geschäftsprozess Beispiel |
| 5.2.1 | Informationssicherheitsaudit Beispiel |
| 5.2.2 | Sicherheitsanforderungen an Systeme |
| 5.2.2 | Ablauf von Software Projekten |
| 5.2.2 | Trennung von Entwicklungsumgebungen |
| 5.2.2 | Einführung neuer Systeme |
| 5.2.2 | Linux Server Security |
| 5.2.3 | Richtlinien für Endgeräte |
| 5.2.3 | Antivirenschutz Kaufnachweis |
| 5.2.3 | Antivirenschutz zentrale Verwaltung |
| 5.2.3 | Antivirenschutz Installation Server |
| 5.2.3 | Internet Security Client Installation |
| 5.2.3 | Linux Server Security |
| 5.2.3 | Sophos Übersicht der Schutzmechanismen |
| 5.2.3 | Informationssicherheitsaudits |
| 5.2.3 | Informationssicherheitsschulung |
| 5.2.3 | Internet Security Client Kaufnachweis |
| 5.2.4 | Klassifizierungsspezifische Vorgaben für Services |
| 5.2.4 | ISMS Auszug Ereignisprotokollierung Passwortverwaltung |
| 5.2.4 | Meldung von Informationssicherheitsereignissen |
| 5.2.4 | Handhabung von Informationssicherheitsereignissen |
| 5.2.4 | Beispiel Ereignisprotokoll Keeper |
| 5.2.5 | Handhabung technischer Schwachstellen |
| 5.2.5 | Secure Coding Schulung |
| 5.2.5 | Secure Coding Schulung Anwesenheit |
| 5.2.5 | Wissensdatenbank technische Schwachstellen |
| 5.2.5 | Kritikalitätseinordnung technischer Schwachstellen |
| 5.2.5 | Liste freigegebener Systeme |
| 5.2.5 | Beispiel Wartungsdokumentation System |
| 5.2.6 | Beispielbekanntgabe eines anlassbezogenen Systemaudits |
| 5.2.6 | Informationssicherheitsaudits |
| 5.2.6 | Linux Server Security |
| 5.2.6 | Klassifizierungsspezifische Vorgaben für Services |
| 5.2.6 | Audit-Bericht Beispiel |
| 5.2.6 | Systemdokumentation Beispiel |
| 5.2.6 | Handhabung technischer Schwachstellen |
| 5.2.6 | Liste freigegebener Systeme |
| 5.2.6 | Terminplanung ISMS |
| 5.2.7 | Screenshot Management Oberfläche |
| 5.2.7 | Klassifizierungsspezifische Vorgaben für Services |
| 5.2.7 | Screenshot Intrusion Prävention |
| 5.2.7 | Netzwerkplan |
| 5.2.7 | Screenshot Firewall Regeln |
| 5.2.7 | Prozess Einführung neuer Systeme |
| 5.2.7 | Beispiel Cloud Service Risikoanalyse |
| 5.3.1 | Einführung neuer Systeme |
| 5.3.1 | Sicherheitsanforderungen an Systeme |
| 5.3.1 | Informationssicherheitsaudits |
| 5.3.1 | Informationssicherheitsaudit Ergebnisdokumentation |
| 5.3.1 | Systemprüfung Beispiel |
| 5.3.2 | ISMS Auszug Anforderungen zu Webserver Security |
| 5.3.2 | ISMS Auszug Linux Server Security |
| 5.3.2 | Weekly Network Report |
| 5.3.3 | Firmeninterne Systeme |
| 5.3.3 | Beispiel Terminierungsprozess Zeiterfassung |
| 5.3.4 | Informationssysteme |
| 5.3.4 | Beispiel Dokumentation Mandantentrennung Microsoft 365 |
| 5.3.4 | Klassifizierungsspezifische Vorgaben für Services |
| 6.1.1 | Informationswerte |
| 6.1.1 | Liste von Auftragnehmern |
| 6.1.1 | Liste von Auftragnehmern mit Schutzbedarf |
| 6.1.1 | Informationssicherheitsanforderungen nach Schutzbedarf |
| 6.1.1 | ISfA-Vertrag |
| 6.1.1 | Beispieldokumentation Auftragnehmer |
| 6.1.1 | Informationssicherheitsaudits |
| 6.1.1 | Freigabeprozess neue Auftragnehmer |
| 6.1.2 | Sicherheitsvorgaben für Auftragnehmer |
| 6.1.2 | Informationssicherheitsaudits |
| 6.1.2 | Vorlage Geheimhaltungsvereinbarung |
| 7.1.1 | OnBoarding Prozess |
| 7.1.1 | Rundmail Datenschutzhinweise |
| 7.1.1 | Rundmail Datenschutzhinweisedokument |
| 7.1.2 | Klassifizierungsspezifische Vorgaben für Services |
| 7.1.2 | Meldung von Informationssicherheitsereignissen |
| 7.1.2 | Richtlinie Umgang mit Informationen |
| 7.1.2 | ISMS Prozess Datenschutzverstoß externer Auftraggeber |
| 7.1.2 | Meldebescheinigung Datenschutzbeauftragter |
| 7.1.2 | Datenschutzschulung 2021 |
| 7.1.2 | Beispiel abgeschlossener AV-Vertrag |
| 7.1.2 | Verzeichnis Verarbeitungstätigkeiten |
| 9.1 | Meldebescheinigung DSB |
| 9.1 | Organigramm |
| 9.1 | Nachweis Sachkunde DSB |
| 9.2 | Datenschutzrichtlinie |
| 9.2 | Datenschutzrichtlinie Verkündung |
| 9.2 | Meldung von Informationssicherheitsereignissen |
| 9.2 | Verzeichnis Verarbeitungstätigkeiten |
| 9.2 | Einführung neuer Auftragnehmer |
| 9.2 | AV-Vertrag Auftragnehmer |
| 9.2 | Geheimhaltungsvereinbarung Arbeitsvertrag |
| 9.2 | Liste Technische und organisatorische Maßnahmen (TOM) |
| 9.3 | DS AUDIT |
| 9.3 | AV-Vertrag Auftragnehmer |
| 9.3 | Terminplanung ISMS |
| 9.4 | Verzeichnis Verarbeitungstätigkeiten |
| 9.4 | Prozess Datenschutzverstoß externer Auftraggeber |
| 9.4 | Handhabung von Informationssicherheitsereignissen |