Wo sind also die Unterschiede zwischen 27001:2022 and TISAX®?

1. Anforderungskatalog

Die Basis von TISAX® ist der Anforderungskatalog VDA-ISA. Dieser Anforderungskatalog orientiert sich an den Controls der ISO und passt diese auf die Lieferanten der Automobilindustrie an.

Hinzukommen…

• spezielle Anforderungen zur Verarbeitung personenbezogener Daten
• Geheimhaltungs-Vereinbarungen
• Prototypenschutz

..., die so nicht in der ISO 27001:2022 enthalten sind.

Die im VDA-ISA enthaltenen Anforderungen fordern konkrete Umsetzungsnachweise, während die Maßnahmen der ISO 27001:2022 eher generisch sind.

Beim TISAX®-Anforderungskatalog gibt es den Unterschied zwischen „muss“ und „sollte“ sowie die Anforderungen bei „hohem Schutzbedarf“ und „sehr hohem Schutzbedarf“.

2. Prüfprozess

Bei der Zertifizierung nach 27001:2022 muss durch ein Audit nachgewiesen werden, dass die Erfüllung der Maßnahmen, Anforderungen und Anforderungsziele wirksam umgesetzt worden sind.

TISAX® hingegen fokussiert das Prüfziel. 

Davon gibt es 8 und es muss mindestens ein Prüfziel definiert werden, es können jedoch auch mehrere angezogen werden.

Je nach Prüfziel sind verschiedene ISMS-Prozesse und Maßnahmen umzusetzen.

Jedes Prüfziel befindet sich im VDA-ISA Anforderungskatalog und ist Maßstab für das ISMS.

Bei der Zertifizierung nach TISAX® gibt es drei verschiedene Prüfstufen, die sogenannten Assessment Level, mit entsprechend unterschiedlichen Anforderungen für jedes Level

Level 1 bedeutet Selbstbewertung und wird nur sehr selten akzeptiert.

Level 2 beinhaltet eine Dokumentenprüfung mit einem Remote Audit

Level 3 hat ebenfalls die Dokumentenprüfung, ist jedoch mit einem Vor-Ort-Audit verbunden.

Der TISAX® Anforderungskatalog hat im Gegensatz zu der ISO 27001:2022 ein festgelegtes Reifegradkonzept in 6 Stufen (von 0 bis 5).

Jede geforderte Maßnahme muss mindestens mit dem Ziel-Reifegrad 3 abgeschlossen werden.

Nach dem erfolgreichen Abschluss des TISAX® Labels gilt es für 3 Jahre.

Im Gegensatz zu der ISO 27001:2022 gibt es keine jährlichen Überwachungsaudits, um die kontinuierliche Verbesserung des ISMS durch einen zertifizierten TISAX®-Auditor zu prüfen.

Wird das TISAX® Audit mit Nebenabweichung abgeschlossen, hat man ab dem Datum des Audits 9 Monate Zeit die Nebenabweichung zu schließen. Die Unternehmen bekommen für diesen Zeitraum das vorläufige Label und nach dem Schließen aller Nebenabweichungen das endgültige Label.

Bei der ISO 27001:2022 gibt es diesen Prozess nicht.

3. Geltungsbereich

Bei der ISO 27001:2022 können die Unternehmen den Geltungsbereich (eng. Scope) selbst bestimmen.

Das bedeutet, bei der ISO 27001:2022 kann sich der Geltungsbereich auch auf Teilbereiche des Unternehmens beschränken.

Bei der TISAX®-Zertifizierung ist der Geltungsbereich bereits vorgegeben.

In den meisten Fällen wird der Standard-Geltungsbereich des Standortes angezogen, der die Verfahren, Prozesse und Ressourcen des gesamten Unternehmens erfassen.

In Einzelfällen kann hier auch der reduzierte oder erweiterte Geltungsbereich angewendet werden. 

Zum Beispiel kann ein Unternehmen bestimmte Aktivitäten auslagern, an Partnerunternehmen oder Zulieferer delegieren oder in separaten Tochtergesellschaften durchführen.