TISAX®-Labels sind in der Regel drei Jahre lang gültig.

Die drei Jahre errechnen sich ab dem Ende des Prüfprozesses (Closing Meeting am letzten Audit-Tag) unabhängig davon, ob Sie die Prüfung mit oder ohne Abweichungen abgeschlossen haben. Daher empfehlen wir immer unseren Kunden, mit der Verlängerung Ihres TISAX®-Labels mindestens ein Jahr vor Ablauf der Frist zu beginnen. Dies erspart Ihnen Karenzzeiten und eventuell Schwierigkeiten bei der Gewinnung neuer Aufträge, die TISAX® erfordern.

Nach Ablauf der drei Jahre muss das Label erneuert werden.

Dafür muss der TISAX®-Prozess erneut durchgeführt werden. Hierfür müssen Unternehmen einen neuen Scope im ENX-Portal registrieren, sich mit der neuen Scope-ID von einem zugelassenen Prüfdienstleister neu prüfen lassen und das Prüfergebnis mit Partnern und Kunden auf der ENX teilen.

Wie in jedem Managementsystem muss ein kontinuierlicher Verbesserungsprozess gewährleistet werden.Deswegen sollten Unternehmen, die bereits einmal nach TISAX® zertifiziert wurden, Nachweise über eine fortlaufende und nachhaltige aktive Nutzung der definierten ISMS-Prozesse erstellen. Um dies ressourcenschonend und kosteneffizient zu etablieren, kann zum Beispiel das Deming Prinzip (PDCA-Zyklus) angewendet werden.

1. Plan: Hierbei geht es darum, in regelmäßigen Abständen die Unternehmensziele und die Informationssicherheitsziele des Top-Managements für die kommende Zeit zu definieren, ein internes Audit, gerne auch Scope & Gap Analyse genannt, sowie eine Risikoanalyse durchzuführen, um den Ist- & Soll-Zustand zu vergleichen. Als Ergebnis dieser Analysen bzw. der Planungsphasen werden Maßnahmen definiert und in einen terminierten Maßnahmenplan überführt.

2. Do: In dieser Phase werden die festgesetzten Ziele und definierten Maßnahmen aus der Planungsphase erarbeitet und implementiert. Dabei ist auf regelmäßige Sensibilisierung der Mitarbeiter und Kommunikation der neuen Regularien zu achten.

3. Check: Um die Wirksamkeit der definierten Prozesse zu überwachen und kontinuierlich zu verbessern, müssen Kennzahlen erhoben und Grenzwerte definiert werden. Als Beispiel kann mithilfe eines Penetrationstests oder mithilfe simulierter Vorfälle und Phishing Kampagnen die Wirksamkeit der technischen und organisatorischen Maßnahmen und das Mitarbeiterbewusstsein untersucht werden.

4. Act: Durch die verschiedenen Überprüfungen und Rückmeldungen von Mitarbeitern und Prozessverantwortlichen kann sich ergeben, dass Ziele, Richtlinien und Prozesse neu konzipiert, optimiert oder zurückgenommen werden müssen. Diese Optimierungsphase hilft dabei, die Sicherheitsstrategie des Unternehmens kontinuierlich zu verbessern und den Sicherheitsreifegrad zu steigern.

Haben Sie Fragen zum Prozess? Stehen Sie vor dem Rezertifizierungsprozess oder fehlen Ihnen Zeit und Ressourcen, Ihr ISMS nachhaltig zu gestalten?