Trusted Information Security Assessment Exchange (TISAX) DeutschlandTrusted Information Security Assessment Exchange (TISAX) Germany

Über TISAXAbout TISAX

Um die immer weiter zunehmende Vernetzung in der Automobilindustrie zu sichern, hat der Verband der Automobilindustrie (VDA) einen Kriterienkatalog zur Bewertung der Informationssicherheit entwickelt.To help secure the ever-increasing connectivity in the automotive industry, the German Association of the Automotive Industry (Verband der Automobilindustrie, VDA) developed a catalogue of criteria for assessing information security. Das VDA Information Security Assessment (Deutsch und Englisch) basiert auf den Grundlagen der internationalen Normen ISO/IEC 27001 und 27002, die an die Automobilindustrie angepasst sind.The VDA Information Security Assessment (German and English) is based on the fundamentals of the international ISO/IEC 27001 and 27002 standards adapted to the automotive industry. Im Jahr 2017 wurde es aktualisiert, um die Kontrollen für die Nutzung von Clouddiensten abzudecken.In 2017, it was updated to cover controls for the use of cloud services.

VDA-Mitgliedsunternehmen nutzten dieses Instrument sowohl für interne Sicherheitsbewertungen als auch für Bewertungen von Lieferanten, Dienstleistern und anderen Partnern, die sensible Informationen in ihrem Auftrag verarbeiten.VDA member companies used this instrument both for internal security assessments and for assessments of suppliers, service providers, and other partners that process sensitive information on their behalf. Da diese Auswertungen jedoch von jedem Unternehmen einzeln durchgeführt wurden, verursachte dies eine Belastung der Partner und doppelten Aufwand der VDA-Mitglieder.However, because these evaluations were handled individually by each company, it created a burden on partners and duplicated effort on the part of VDA members.

Um die Bewertungen zu rationalisieren, hat der VDA einen gemeinsamen Bewertungs- und Austauschmechanismus, den Trusted Information Security Assessment Exchange (TISAX), eingerichtet.To help streamline evaluations, the VDA set up a common assessment and exchange mechanism, the Trusted Information Security Assessment Exchange (TISAX). Der Katalog der zugrunde liegenden TISAX-Anforderungen, Fragebogen zur Überprüfung der Bewertung der Informationssicherheit und des Informationssicherheitsmanagements, Vers.The catalogue of underlying TISAX requirements, Questionnaire for Checking Information Security Assessment and Information Security Management, Vers. 4 (Deutsch und Englisch), bietet gemeinsame Standards für IT-Sicherheitsmaßnahmen und ermöglicht es in TISAX registrierten Unternehmen, die Ergebnisse der Bewertung auszutauschen.4 (German and English), provides common standards for IT security measures, and enables companies registered in TISAX to share assessment results. Der VDA beauftragte einen neutralen Drittanbieter, die ENX Association, mit der Implementierung von TISAX.The VDA entrusted a neutral third party, the ENX Association, with TISAX implementation. In diesem Zusammenhang akkreditiert sie Prüfungsanbieter (Prüfer), hält die Akkreditierungskriterien und Bewertungsanforderungen ein und überwacht die Qualität der Umsetzung und der Bewertungsergebnisse.In that capacity, it accredits audit providers (auditors), maintains the accreditation criteria and assessment requirements, and monitors the quality of implementation and assessment results.

Microsoft und TISAXMicrosoft and TISAX

Europäische Automobilunternehmen verlassen sich bei der Entwicklung, dem Bau und dem Betrieb von Neuwagen auf Vertrauen.European automotive companies rely on trust to develop, build, and operate new cars. Sie verwenden den Trusted Information Security Assessment Exchange (TISAX), um eine gemeinsame Informationssicherheitsbewertung für interne Analysen, eine Bewertung von Lieferanten und als Informationsaustauschmechanismus bereitzustellen.They use the Trusted Information Security Assessment Exchange (TISAX) to provide a common information security assessment for internal analysis, an evaluation of suppliers, and as an information exchange mechanism. Ein unabhängiger, von der ENX akkreditierter Prüfer (PwC) hat die TISAX-Bewertung von Microsoft-Rechenzentren und Betriebszentren nach TISAX-Spezifikationen und IT-Sicherheitsanforderungen abgeschlossen.An independent ENX-accredited auditor, PwC, completed the TISAX assessment of Microsoft datacenters and operations centers against TISAX specifications and IT security requirements.

Automobilunternehmen auf der ganzen Welt können nun die TISAX-Bewertung von Microsoft Cloud Services bewerten, um Cloud-Lösungen zu entwickeln, die starke Informationssicherheit und Datenschutz integrieren.Automotive companies around the world can now evaluate the TISAX assessment of Microsoft cloud services to create cloud solutions that integrate strong information security and data protection. Unternehmen können mit der TISAX-Bewertung von Microsoft Cloud Services einen sicheren Datenaustausch mit Lieferanten durchführen, die Workstations auf Basis von Microsoft 365 Cloud Services nutzen.Companies can use the TISAX assessment of Microsoft cloud services to confidently exchange data with suppliers who use workstations based on Microsoft 365 cloud services.

Microsoft hat eine Selbsteinschätzung seiner Clouddiensten vorgenommen, und der Prüfer hat darauf aufbauend zwei Bewertungsebenen durchgeführt.Microsoft provided a self-assessment of its cloud services, and the auditor performed two levels of assessment based on that. (Die Bewertungsebene bestimmt die Tiefe der Bewertung und die Methoden, welche die Prüfer anwenden.)(The assessment level determines the depth of the evaluation and the methods the auditors use.)

  • Microsoft-Rechenzentren in Nordeuropa (Region Dublin, Irland) und Westeuropa (Region Amsterdam, Niederlande) wurden auf Stufe 3 (AL3) bewertet.Microsoft datacenters in Northern Europe (Dublin region, Ireland) and Western Europe (Amsterdam region, the Netherlands) were assessed at Level 3 (AL3). Die Prüfungen umfasste eine gründliche Überprüfung der Sicherheitsprozesse, eine umfassende Inspektion vor Ort und persönliche Interviews.The audit included a thorough verification of security processes, a comprehensive onsite inspection, and in-person interviews. Eine AL3-Bewertung ist erforderlich für Daten mit hohem Schutzbedarf, wie z. B. Daten, die als streng vertraulich oder geheim eingestuft sind, Daten aus Crashtest- und Strömungssimulationen sowie KI-Systeme (Künstliche Intelligenz).An AL3 assessment is required for data with a high need for protection, such as data classified as strictly confidential or secret—, data from crash test and flow simulations and AI (artificial intelligence) systems.
  • Ausgewählte globale Rechenzentren von Microsoft wurden auf Stufe 2 (AL2) auf der Grundlage von Remote-Interviews bewertet.Selected Microsoft global datacenters were assessed at Level 2 (AL2) based on remote interviews. Für Daten mit hohem Schutzbedarf, wie beispielsweise als vertraulich eingestufte Daten, ist eine AL2-Bewertung erforderlich.An AL2 assessment is required for data with a high need for protection, such as data classified as confidential.

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

Die TISAX-Bewertung konzentrierte sich auf die folgenden Microsoft-Dienste:The TISAX assessment focused on the following Microsoft services:

Audits, Berichte und ZertifikateAudits, reports, and certificates

Branchenvertreter, die bei ENX registriert sind, finden Details zur TISAX-Bewertung von Microsoft Cloud Services im Leistungsumfang auf dem ENX-Portal.Industry representatives registered with ENX can find details on the TISAX assessment of in-scope Microsoft cloud services on the ENX portal. Um nach Microsoft-Bewertungsergebnissen zu suchen, melden Sie sich bei Ihrem bestehenden TISAX-Konto an und suchen Sie nach Microsoft.To search for Microsoft assessment results, sign in to your existing TISAX account, and search for Microsoft. Alternativ können Sie Ihre Suche auch über die folgenden Informationen einschränken:Alternatively, you may narrow your search using the information below:

  • Microsoft Participant ID: PGKYK0Microsoft Participant ID: PGKYK0
  • Microsoft Corp. EU Assessment Level (AL) 3 scope ID: SY869KMicrosoft Corp. EU Assessment Level (AL) 3 scope ID: SY869K
  • Microsoft Corp. WORLD Assessment Level (AL) 2 scope ID: S08NT9Microsoft Corp. WORLD Assessment Level (AL) 2 scope ID: S08NT9

Diese Bewertung gilt für drei Jahre.This assessment is valid for three years.

ImplementierungHow to implement

Produktions-AnwendungsfälleManufacturing use cases

Verwenden Sie Fallübersichten, Lösungsleitfäden, Lernprogramme und andere Ressourcen, um Azure-Lösungen zu erstellen.Use case overviews, solution guides, tutorials, and other resources to help build Azure solutions.

Häufig gestellte FragenFrequently asked questions

Warum kann ich eine Kopie der Microsoft TISAX-Zertifizierung nicht sehen?Why I can't see a copy of the Microsoft TISAX certification?

ENX stellt die Zertifizierungsbestätigung nur registrierten Branchenvertretern über das ENX-Portal zur Verfügung.ENX provides certification confirmation only to registered industry representatives through the ENX portal. Einzelheiten zur Vorgehensweise finden Sie im Abschnitt „Prüfungen, Berichte und Zertifikate“ oben.For details about how to proceed, see the “Audits, reports, and certificates” section above.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des RisikosUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen in Compliance Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources