TISAX-Zertifizierung und digitale Personalakte – moderne Personalverwaltung mit Timly

TISAX-Zertifizierung: Fragenkatalog als Basis

Inhaltlich orientierte sich die TISAX-Zertifizierung zunächst an der bekannten Norm ISO IEC 27001, die eine der etabliertesten Zertifizierungen im Information Security Management darstellt. Diese regelt etwa Vorkehrungen zum Schutz vor Datendiebstahl und -missbrauch, Verschlüsselungs- und Zugriffsmechanismen und die laufende Überwachung der Integrität eigener Systeme.

Zudem wird der Fragenkatalog vom Verband der Automobilindustrie VDA ISA als Grundlage verwendet. Das Information Security Assessment (ISA) beinhaltet für die Datensicherheit grundlegende Vorkehrungen und Abläufe, zum Beispiel das Patch-Management und das Einrichten persönlicher Zugangsberechtigungen. Hierfür ist es essenziell, notwendige Informationen strukturiert zu erheben und abzulegen.

Timly schafft mit seinem ganzheitlichen Ansatz die besten Voraussetzungen dafür. Entscheidend ist dabei, dass es mit der Software-Lösung möglich ist, Personalinformationen und Angaben zum Inventar in einem System zu verwalten und an den notwendigen Schnittstellen miteinander zu verknüpfen. So lassen sich alle notwendigen Eignungsnachweise, personengebundene Zertifizierungen und Sicherheitsunterweisungen rechtssicher in der digitalen Personalakte von Timly einpflegen.

Diese liegen auf diese Weise nicht nur bei anstehenden Assessments auf Knopfdruck vor. Das Fristenmanagement des Systems sorgt auch dafür, dass rechtzeitig auf anstehende Prüfungs- und Erneuerungstermine hingewiesen wird. Die Personalabteilung und betroffene Mitarbeiter werden auf Wunsch automatisch per E-Mail benachrichtigt.

Gleichermaßen bildet Timly auch komplexe IT-Infrastrukturen ab. Es lassen sich alle notwendigen Informationen über Lizenzlaufzeiten, Wartungs- und Updatearbeiten sowie wichtige Netzwerk- und Sicherheitsinformationen darin ablegen.

Die Informationen speichert die Timly Inventarverwaltung zentral in einem abgesicherten und DSGVO-konformen Cloudspeicher. Das ausgeklügelte und feingranulare Berechtigungssystem garantiert Datenschutz für sensible Informationen. Das Konzept von Timly vereinbart eine möglichst einfache und intuitive Nutzbarkeit mit höchstmöglicher Sicherheit. Dies ist unerlässlich, damit Mechanismen nicht aus Zeitnot und Bequemlichkeit umgangen werden, indem beispielsweise der berüchtigte Klebezettel mit dem komplexen Passwort an den Bildschirm geklebt wird.

Timly bietet berechtigten Mitarbeitern jederzeit von beliebigen Endgeräten aus Zugriff auf benötigte Fakten und Anweisungen. Mit der Timly-App steht sogar eine für Smartphones und Tablets optimierte Alternative bereit. Diese Einfachheit erleichtert es, Sicherheitsvorkehrungen im Berufsalltag zu beachten.

TISAX-Zertifizierung – Anforderungen und Ablauf

Verantwortliche von Unternehmen, die aufgrund der Anforderung von Kunden oder aus eigenem Interesse eine TISAX-Zertifizierung anstreben, können zunächst den ISA-Fragenkatalog der VDA abarbeiten. Werden die wesentlichen darin geforderten Schutzmaßnahmen und Vorkehrungen erfüllt, steht dem Assessment-Prozess nichts mehr im Weg. Dieser gliedert sich in drei große Schritte und unterschiedliche Assessment-Level:

1. Registrierung:

Das Unternehmen muss bei der ENX angemeldet und der Prüfprozess beantragt werden. Neben dem Einholen notwendiger Informationen umfasst dieser Schritt auch die Festlegung des Prüfumfangs – der TISAX-Prüf-Scope genannt wird. Zudem werden Schutzziele bestimmt, beispielsweise notwendige Vorkehrungen im Umgang mit Prototypen. Diese orientieren sich an den möglichen TISAX-Labeln, die als Geheimhaltungsstufen beschrieben werden können.

2. Prüfung:

Bei der eigentlichen Prüfung ist zunächst eine Selbsteinschätzung auf Basis des ISA-Anforderungs-Katalogs gefordert, um die grundlegenden Fragen abzudecken. Im Anschluss wird ein zertifizierter TISAX-Prüfdienstleister ausgewählt, der den eigentlichen Prüfprozess im Unternehmen durchführt. Der Dienstleister prüft die Selbsteinschätzung und führt das meist mehrstufige TISAX-Verfahren zur Prüfung durch.

Dabei können auch Zwischenergebnisse präsentiert und Nachbesserungen auf Basis von erstellten Maßnahmenplänen in Follow-Up-Prüfungen kontrolliert werden. Bei geringen Abweichungen ist es möglich, dass die Prüfer ein vorläufiges TISAX-Label ausstellen. Nach erfolgreichem Abschluss erfolgt die Vergabe des endgültigen TISAX-Labels, dessen Grad sich am vorher vereinbarten Ziel orientiert. Das verliehene Label hat eine Gültigkeit von maximal drei Jahren.

3. Austausch:

Die Prüfergebnisse und das Label werden durch den Prüfdienstleister auf der Austauschplattform der ENX zur Verfügung gestellt. Die Verantwortlichen des geprüften Unternehmens entscheiden danach über den Sharing-Level für die Veröffentlichung gegenüber Partnern. Je nach gewähltem Grad können alle TISAX-Teilnehmer oder nur explizit berechtigte Unternehmen Einblick erhalten.

TISAX-Zertifizierung – ISO 27001: Unterschiede und Gemeinsamkeiten

Die Norm ISO 27001 ist ein seit Jahrzehnten weiterentwickelter Standard zum Management der Informationssicherheit in Unternehmen. In sogenannten Audits wird die Konformität mit Abläufen in Unternehmen geprüft. Berechtigte Prüfunternehmen vergeben entsprechende Zertifizierungen, mit denen die Einhaltung der vorgeschriebenen Anforderungen bestätigt wird. Die zertifizierten Unternehmen dürfen auch aktiv mit der Konformität zur internationalen Norm ISO-27001 werben.

Das TISAX ist dagegen ein eher geschlossenes System. Die starke Spezialisierung und das Schutzbedürfnis für Betriebsgeheimnisse der heimischen Automobilindustrie bringen es mit sich, dass eine gewisse Abkapselung notwendig ist. Die Ergebnisse des TISAX-Prüfprozesses dürfen letztlich nur intern und im Austausch mit anderen registrierten Unternehmen verwendet werden. Da allerdings auch Zulieferer häufig stark spezialisiert sind, muss dies letztlich kein Nachteil sein.