Supplier Board
zf.com

TISAX

Trusted Information Security Assessment Exchange

TISAX, oder Trusted Information Security Assessment Exchange, ist eine Zertifizierung zur Bewertung eines Unternehmens zur Erfüllung der Prozessanforderungen zur Informationssicherheit.


Die Bewertung erfolgt in folgenden Bereichen:

  • Physische Arbeitsbereiche
  • Datensicherung
  • Systementwicklung
  • Systemzugriff
  • Eigentum und geistiges Eigentum


Während TISAX ursprünglich von europäischen OEMs/Tier-1-Zulieferern vorangetrieben wurde, ist sie heute eine globale Anforderung und wird von ZF verlangt.


Um mehr zu erfahren, besuchen Sie bitte die ENX TISAX homepage.

Ziel von TISAX

TISAX zielt darauf ab, ein allgemein gültiges Informationssicherheitsniveau in der Automobilindustrie zu etablieren, indem eine gegenseitig akzeptierte Zertifizierung für Lieferanten unter einem globalen Standard steht. Durch die Schaffung eines gemeinsamen Standards sollen Kosten, Aufwand und Komplexität für alle Beteiligten reduziert und vergleichbare Ergebnisse zwischen den Teilnehmern ermöglicht werden.

TISAX Governance

Die ENX Association ist die leitende Organisation hinter der TISAX-Zertifizierung. Diese wurde im Jahr 2000 von europäischen Automobilherstellern, Automobilzulieferern und einer Reihe nationaler Automobilverbände gegründet, um Industriestandards zu definieren und zu überwachen. Um mehr über ENX zu erfahren, besuchen Sie bitte folgende website.

TISAX BEI ZF

In unserem vernetzten und von Information gesteuerten Geschäftsumfeld ist es entscheidend, dass wirksame Sicherheitsmaßnahmen in Bezug auf die Informationen vorhanden sind. Viele Kunden von ZF haben die TISAX-Anforderungen in ihren Allgemeinen Geschäftsbedingungen bereits aufgenommen und verlangen von ZF (und die ZF-Lieferkette) den Nachweis eines allgemein gültigen Informationssicherheits-Managementsystems (ISMS). Auf Grund von Kundenanforderungen und Risikoanalysen hat ZF viele Standorte bereits zertifiziert. Seit 2020 hat ZF mit der Umsetzung einer TISAX-Zertifizierungsanforderung für diejenigen Lieferanten begonnen, die die geltenden Kriterien erfüllen. Die von ZF als TISAX-relevant eingestuften Lieferanten, sind verpflichtet den erforderlichen Nachweis eines TISAX Zertifikates im SupplyOn Business Directory einzupflegen, um an einem Sourcing zugelassen zu werden.


Die Verpflichtung des ZF-Konzerns zum TISAX-Standard und unsere Absicht, dies bei unserer Lieferantenbasis umzusetzen, wurden in einem Lieferantenschreiben mitgeteilt, das im August 2020 verteilt wurde. Klicken Sie hier (PDF: 177 kB) um die Mitteilung zu lesen.

TISAX-Relevanz

Nicht alle Lieferanten werden vom ZF als „TISAX-relevant“ eingestuft. TISAX ist dann erforderlich, wenn ein Lieferant eines oder mehrere der folgenden Kriterien erfüllen:

  • Der Lieferant arbeitet mit vertraulichen ZF-Daten
  • Der Lieferant hat Zugriff auf ZF-Systeme
  • Der Lieferant erhält Zugang zu Kopien sensibler ZF-Dokumentationen (z. B. Zeichnungen)
  • Der Lieferant erstellt Bauteile gemäß ZF Vorgaben


Werden die erforderlichen Kriterien erfüllt, wird der Lieferant und seine Lieferanten-ID als „TISAX-relevant“ in den ZF-Systemen entsprechend gekennzeichnet. Im Falle einer erforderlichen Zertifizierung werden Sie von Ihrem Einkäufer direkt benachrichtigt, um die Zertifizierung vorzulegen bzw. den Prozess einzuleiten.

Bewertungsstufen

In der TISAX-Zertifizierung sind drei Bewertungsstufen vorhanden. ZF verlangt jedoch die Bewertungsstufe 3 (AL3).

Die folgende Tabelle zeigt die 12 verschiedenen TISAX-Bewertungsziele, die derzeit von der Zertifizierungsstelle ENX angeboten werden. Das Bewertungsziel bestimmt, welche Anforderungen das Informationssicherheitsmanagementsystem (ISMS) erfüllen muss. Das Bewertungsziel hängt von der Art der Daten ab, die Sie im Namen von ZF verarbeiten. Die mit „ZF“ gekennzeichneten Prüfziele sind im Rahmen der Geschäftsbeziehung mit ZF zu prüfen ob sie verpflichtend sind oder nicht. Für das Modul "Information Security" ist die ZF Anforderung "Info very high" bzw. "Strictly confidential" / "Very high availability".

HÄUFIG GESTELLTE FRAGEN

Verlangt ZF von jedem Lieferanten TISAX?
Nein, ZF verlangt TISAX nicht von allen Lieferanten, sondern nur von denen, die als „TISAX-relevant“ gelten. TISAX ist dann erforderlich, wenn ein Lieferant eines oder mehrere der folgenden Kriterien erfüllt:
  • Der Lieferant arbeitet mit vertraulichen ZF-Daten
  • Der Lieferant hat Zugriff auf ZF-Systeme
  • Der Lieferant erhält Zugang zu Kopien sensibler ZF-Dokumentationen (z. B. Zeichnungen)
  • Dem Lieferanten werden Teile bereitgestellt, die speziellen ZF-Anforderungen entsprechen
Woher weiß ich, ob mein Unternehmen für TISAX relevant sein könnte?
Beachten Sie die folgenden vier Fragen, um zu beurteilen, ob Ihr Unternehmen für die TISAX-Zertifizierung relevant sein könnte:
  • Arbeiten Sie mit vertraulichen ZF-Daten?
  • Haben Sie Systemzugriff auf ZF-Informationen?
  • Erhalten Sie Kopien sensibler ZF-Dokumentation? (z.B. Zeichnungen)
  • Stellen Sie Teile nach speziellen ZF-Anforderungen her?

Wenn Sie eine dieser Fragen mit „Ja“ beantworten, müssen Sie die TISAX-Zertifizierung erwerben. Wenn Sie sich nicht sicher sind, ob dies erforderlich ist, wenden Sie sich bitte an Ihren zuständigen ZF-Einkäufer.
Welches Zertifizierungsniveau wird von ZF verlangt?
Seitens ZF wird erwartet, dass TISAX-relevante Lieferanten ein Assessment Level 3 (AL-3) durchführen.

Das Kernmodul ist das Informationssicherheits-Managementsystem (ISMS), je nach Geschäftsbeziehung mit dem Lieferanten können jedoch auch die Module Datenschutz und/oder Prototypenschutz erforderlich sein.
Fallen für TISAX Kosten an?
Ja, mit der TISAX-Zertifizierung sind Kosten verbunden, sowohl bei der Registrierung bei ENX als auch bezüglich der Auditkosten.
  • Registrierungskosten finden Sie auf der ENX-Website unter TISAX-Preisliste
  • Auditkosten hängen von der Größe Ihrer Organisation ab und werden separat mit zugelassenen Auditoren verhandelt. Eine Liste der derzeit zugelassenen TISAX-Auditoren finden Sie auf der ENX-Website.
Übernimmt ZF die Kosten für die TISAX-Zertifizierung von Lieferanten?
Nein, ZF übernimmt diese Kosten nicht. Die TISAX-Zertifizierung wird in der Branche immer üblicher und wird ebenso von anderen Automobil-OEMs und Tier-1-Zulieferern verlangt.
Reicht es aus, einen einzigen Standort zertifizieren zu lassen? (z. B. Hauptquartier)
Nein. Lieferanten müssen alle Standorte zertifizieren lassen, aus welchen Produkte und/oder Dienstleistungen für ZF geliefert werden.
Unser Unternehmen verfügt über eine TISAX-Zertifizierung. Wie weise ich dies der ZF nach?
ZF verlangt von seinen Lieferanten den Nachweis der TISAX-Zertifizierung im SupplyOn-Business-Directory-Account. Folgende Angaben müssen hochgeladen werden:
  • Bewertungs-ID
  • Assessment Level (Muss AL3 sein)
  • Gültigkeitsdatum

Sie haben noch kein SupplyOn Account? Bitte besuchen Sie unsere SupplyOn-Seite um über dieses Online-Geschäftsportal zu erfahren. Während andere Module kostenpflichtig sind, ist das SupplyOn Business Directory-Modul für Lieferanten kostenlos.
Wo finde ich weitere Informationen über ENX, die TISAX-Zertifizierung, den Auditprozess usw.?
Die ENX-Website ist der beste Ort für aktuelle Informationen zu ENX und den TISAX-Zertifizierungsprozessen.

Downloads

ZF Group Supplier Letter - TISAX

Download

TISAX Information Packet for Suppliers

Download