TISAX® deep dive: die 12 Prüfziele (Labels)

Im Rahmen dieser CIS Artikelreihe stellen wir schwerpunktmäßig das Thema TISAX^® vor und beleuchten hier die drei Assessment-Level. Eine grundsätzliche Einführung z.B. zu Vorteilen und Prüfung finden Sie hier.

Es gibt nach aktuellem Stand insgesamt 12 verschiedene TISAX-Labels, 6 allgemeine, 4 Prototypenschutz-Labels und 2 Datenschutzlabels.

1. Info high

Das Prüfziel „Info high“ stellt die niedrigste Stufe der Anforderungen dar. Es kann sein, dass Geschäftspartner*innen eine entsprechende Einstufung aus seiner Informationsklassifizierung fordert.

2. Info very high

Das Prüfziel „Info very high“ kann sich aus der Informationsklassifizierung der Geschäftspartnerschaft ergeben.

3. Confidential

Das Prüfziel „Confidential“ kann gefordert werden, wenn Informationen mit hohem Schutzbedarf bezüglich Vertraulichkeit (confidentiality) erhalten oder verarbeitet werden. Es sollte insbesondere dann gewählt werden, wenn eine unberechtigte Offenlegung der Informationen potenziell einen beträchtlichen Schaden verursachen kann (z. B. Reputationsschaden, strafrechtliche Konsequenzen oder monetärer Schaden).

4. Strictly confidential

Das Prüfziel „Stricly confidential“ kann gefordert werden, wenn Informationen mit sehr hohem Schutzbedarf bezüglich Vertraulichkeit (confidentiality) erhalten oder verarbeitet werden oder gemäß dem eigenen Klassifikationsschema als „streng vertraulich“ oder „geheim“ eingestuft sind. Dieses Schutzziel sollte insbesondere dann ausgewählt werden, wenn die unberechtigte Offenlegung der Informationen potenziell einen existenziell bedrohlichen oder katastrophalen Schaden verursachen kann (z. B. schwerer Reputationsschaden, schwere strafrechtliche Konsequenzen oder sehr hoher monetärer Schaden).

5. High availabilty

Das Prüfziel „High availability“ ist zu auszuwählen bei Unternehmen, wenn von der Verfügbarkeit Ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit des Geschäftspartners abhängt und ein Ausfall in kurzer Zeit zu einem erheblichen Schaden bei Kunden führt. Beispiel: Just-in-Time-Lieferanten von Produktionsmaterial-Schaden.

6.Very high availabilty

Das Prüfziel „Very high availability“ ist auszuwählen für Unternehmen, bei denen von der kurzfristigen Verfügbarkeit ihrer Produkte oder Dienstleistungen die Produktions- bzw. Lieferfähigkeit Ihrer Kunden abhängt und ein Ausfall in sehr kurzer Zeit zu einem signifikant hohen Schaden bei Kunden führt. Beispiel: Just-in-Time-Lieferanten, bei deren Ausfall innerhalb kurzer Zeit ein umfassender Produktionsstillstand mit einer sehr hohen Wiederanlaufdauer zu erwarten ist.

7. Proto parts

Das Prüfziel „Proto parts“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Komponenten oder Bauteile an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen.

8. Proto vehicles

Das Prüfziel „Proto vehicles“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Fahrzeuge an eigenen Standorten herstellen, lagern oder zur Nutzung überlassen bekommen. Anforderungen an physische und umgebungsbezogene Sicherheit (inkl. Vorhandensein gesicherter Garagen oder Werkstattflächen), organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen sind Bestandteile der Prüfung.

9. Test vehicles

Das Prüfziel „Test vehicles“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Fahrzeuge zur Durchführung von Tests und Erprobungsfahrten (z. B. Testfahrten auf öffentlichen Straßen oder auf Teststrecken) überlassen bekommen. Organisatorische Anforderungen sowie spezifische Anforderungen für den Umgang mit Prototypen inkl. Tarnung und den Umgang mit Fahrzeugen bei Erprobungsfahrten in der Öffentlichkeit und auf Testgeländen sind Bestandteile der Prüfung. Anforderungen an die physische und umgebungsbezogene Sicherheit des Standortes sind nicht zwangsläufig Bestandteil der Prüfung.

10. Proto events

Das Prüfziel „Proto events“ ist für Unternehmen zu fordern, die als schutzbedürftig klassifizierte Fahrzeuge, Komponenten oder Bauteile für die Durchführung von Ausstellungen und Veranstaltungen (z. B. Car-Clinics, Events, Marketing-Veranstaltungen) oder Film- und Fotoshootings überlassen bekommen. Organisatorische Anforderungen sowie spezifischen Anforderungen für den Umgang mit Prototypen inkl. Anforderungen für Ausstellungen, Veranstaltungen und Film- und Fotoshootings in geschützten Räumen und in der Öffentlichkeit sind Bestandteile der Prüfung. Anforderungen an die physische und umgebungsbezogene Sicherheit des Standortes sind nicht zwangsläufig Bestandteil der Prüfung. Sollten die zu prüfenden Standorte entsprechend ausgestattet sein, empfehlen wir, das Prüfziel „Schutz von Prototypenfahrzeugen“ mit auszuwählen..

11. Data

Das Prüfziel „Data“ ist für Unternehmen auszuwählen, wenn personenbezogene Daten als Auftragsverarbeiter gemäß Artikel 28 der DSGVO verarbeitet werden.

12. Special data

Das Prüfziel „Special data“ ist für Unternehmen auszuwählen, wenn besondere Kategorien personenbezogener Daten (z. B. Gesundheit oder Religionszugehörigkeit) als Auftragsverarbeiter gemäß Artikel 28 verarbeitet werden.