MENU

verschil tussen TISAX en ISO 27001

In steeds meer branches wordt het belang van goede informatiebeveiliging onderstreept. Marktpartijen gaan in toenemende mate ISO 27001 verplichten. Waar ISO-27001 een generieke norm is, zijn er ook branches die zelf specifieke informatiebeveiligingsnormen ontwikkelen die beter aansluiten bij de specifieke situatie. Zo ook in de automotive. Daar werd het TISAX® label door de VDA (Verband der Automobilindustrie, waaronder Volkswagen, Daimler en BMW vallen) ontwikkeld. Waarin verschilt dit label van ISO 27001 en is TISAX® noodzakelijk in de autobranche of wordt ISO 27001 ook geaccepteerd?

Overeenkomsten TISAX® en ISO 27001

Voordat we de verschillen tussen het TISAX® label en ISO 27001 gaan bespreken, allereerst de overeenkomsten. Want die zijn er ook. ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Met ISO 27001 certificering laat u zien dat u een managementsysteem heeft dat gericht is op informatiebeveiliging.  Het TISAX® label is ontwikkeld om een uniform niveau van informatiebeveiliging in de automotive te bewerkstelligen. Het label stelt vraagt om een managementsysteem, maar stelt vooral specifieke eisen aangaande beheersmaatregelen.

Oftewel beide normen stellen eisen aan organisatie op het gebied van informatiebeveiliging. Bovendien is het TISAX® label gebaseerd op belangrijke aspecten en criteria uit de ISO 27001 norm. De eisen in TISAX® zijn onderverdeeld in categorieën die lijken op de Annex A van de ISO-27001. En uiteindelijk is het doel om met een van deze normen aan de slag te gaan bij beide hetzelfde: onafhankelijk bewijs leveren dat veilig wordt omgegaan met informatie.

Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het  stappenplan

Verschillen tussen TISAX® en ISO 27001

We hebben vastgesteld dat de normen op diverse punten overeenkomen. Maar interessanter zijn de verschillen. Wat maakt het TISAX® label anders dan ISO 27001?

Branchespecifiek

Allereerst natuurlijk de meest voor de hand liggende: TISAX® is automotive specifiek. ISO 27001 is een industrie onafhankelijke standaard en wordt in diverse branches toegepast. De TISAX® is echt alleen geschikt voor partijen in de Automotive branche.

ISO vs. VDA en ENX

ISO 27001 is uitgegeven door de internationale onafhankelijke ISO organisatie. TISAX® daarentegen is eigendom van de VDA, een stakeholder binnen de branche. Oftewel deze belanghebbende binnen de branche heeft de specifieke eisen opgesteld. De auditerende partij (TISAX® audit provider genoemd), zoals TÜV, wordt goedgekeurd als audit provider door ENX; een organisatie gelieerd aan de VDA. Bij ISO 27001 wordt de auditerende partij (Notified Body) geaccrediteerd door een accreditatielichaam. In Nederland is dit de RvA. Bij ISO 27001 is het ook zo dat de onderneming een contract sluit met de Notified Body. Bij TISAX® sluit een onderneming zowel een contract met de TISAX® Audit provider als ENX.

TISAX® certificatie is dus een proces waarbij stakeholders een belangrijke rol spelen en dus sturend zijn in de eisen waaraan moet worden voldaan. ISO-27001 is een volledig onafhankelijk vormgegeven certificatieschema.

Label vs. certificaat

Bij ISO 27001 geeft de Notified Body een certificaat af na succesvolle implementatie van het managementsysteem. Bij TISAX® is er geen sprake van een certificaat. Het TISAX® label wordt uitgegeven door ENX. Dit betekent dat de naam van de onderneming terug te vinden is op de ENX portal. Als labelhouder kan op de portal worden aangegeven tot op welk niveau het onderliggende dossier mag worden ingezien.

Interpreteerbare vs. gedefinieerde eisen

De ISO 27001 norm stelt kaders en u kunt zelf aangeven hoe u deze interpreteert en wat voor u het beste en meest praktische is qua implementatie. Bij TISAX® is die vrijheid er veel minder. Daar zijn de eisen heel strak geformuleerd en is vastgelegd hoe u bepaalde zaken moet aanpakken.

High level structuur

De ISO 27001 is gebaseerd op de high level structuur (de ISO 17021). ISO normen als de ISO 9001, 14001 en dus ook de ISO 27001 hebben allemaal een basis van 10 hoofdstukken die gebaseerd zijn op de PDCA cyclus. Bij TISAX® is dit niet zo. Het is wel gebaseerd de Annex A eisen uit de ISO 27001 en die informatie is meegenomen in de TISAX® checklist, maar van een high level structuur is geen sprake.

Controle audits

Bij ISO 27001 is er een certificatieproces met controle audits. De cyclus van drie jaar start met een certificatieaudit en de twee jaren daarop vinden en controle audits plaats. Bij TISAX® is dat anders. Er is een eenmalig assessment en vervolgens is het label drie jaar geldig.

Dit betekent dat de TISAX® audit provider zeker moet zijn dat aan alle eisen wordt voldaan en niet de kans heeft om de prestaties van de organisatie te volgen.

Beoordeling

Bij ISO 27001 vindt er een eenzijdige beoordeling plaats door een Notified Body. Bij TISAX® is er eerst een Self Assessment en vervolgens gaat u met een TISAX® audit provider een traject in om te bekijken of het Self Assessment naar waarheid is ingevuld en met auditbewijzen kan worden onderbouwd..

KPI’s

Bij ISO 27001 zijn er een aantal KPI’s. Die staan in normparagraaf 9.1. Er zijn een aantal zaken die gemeten en gemonitord moeten worden om de effectiviteit van uw managementsysteem te bepalen. Maar die zaken, de KPI’s, bepaalt u zelf. Bij TISAX® is dat helemaal voor u bepaald, waarbij in de nieuwste versie van de TISAX® (ingevoerd per oktober 2020) de harde verplichting om de KPI’s daadwerkelijk te monitoren is komen te vervallen.

Is TISAX® noodzakelijk in de autobranche?

Het TISAX® label is ontwikkeld door (en eigendom van) de VDA waar met name de Duitse autofabrikanten en toeleveranciers lid van zijn (denk aan Daimler, VAG en BMW). Zij hechten vanzelfsprekend veel waarde aan dit label en stellen het hebben van dit label in toenemende mate als voorwaarde voor samenwerking. De verplichting om te voldoen aan TISAX® wordt nu gesteld aan TIER-1 en TIER-2 leveranciers. Het ligt in de lijn der verwachting dat ook TIER-3 en TIER-4 leveranciers met deze verplichting te maken krijgen. U krijgt dan een bepaald termijn waarin u het label dient te behalen.

Starten met TISAX®

U heeft het bericht van uw belangrijke stakeholder gehad of u wilt uit eigen beweging aan de slag met TISAX® om zo uw waarde als betrouwbare partner in de automotive kenbaar te maken. Maar waar begint u? We geven u graag meer inzicht in de benodigde stappen om het TISAX® label te behalen. Download daarom ons TISAX® Stappenplan.

Download het TISAX® Stappenplan

[CTA] TISAX® Stappenplan - aangepast

Onderwerpen:

Alle onderwerpen Normkennis Certificeren ISO 27001 informatiebeveiliging cybersecurity TISAX

Auteur

Deel deze pagina

Algemene vragen en opmerkingen

Tüv kantoor

TÜV Nederland

0499 - 339 500

Voor al uw algemene vragen en opmerkingen