Kontrollkatalog
VDA ISA umsetzen: Reifegrade, Controls und Nachweise
Der VDA-ISA-Katalog (Information Security Assessment) ist die inhaltliche Grundlage jedes TISAX-Assessments. Wer seinen Aufbau und das Reifegradmodell versteht, kann gezielt von der Ist-Aufnahme zur prüfungsreifen Umsetzung arbeiten.
Unverbindlich testen – keine Verpflichtung, keine automatische Vertragsbindung.
Aufbau
Drei Kapitel, ein Katalog
Information Security
Das Kernkapitel mit Controls zu Richtlinien, Organisation, Personal, Asset- und Identitätsmanagement, physischer Sicherheit, Betrieb, Lieferantenbeziehungen und Vorfallbehandlung. Es lehnt sich eng an Anhang A der ISO 27001 an.
Prototypenschutz
Automobilspezifisches Kapitel für Standorte, die mit klassifizierten Bauteilen, Komponenten oder Fahrzeugen arbeiten: physische Sicherheit, Sicherheitsanforderungen an Veranstaltungen, Erprobungsfahrten und Tarnung.
Datenschutz
Kapitel mit Bezug zur DSGVO und Auftragsverarbeitung – relevant, wenn personenbezogene Daten im Auftrag des Auftraggebers verarbeitet werden.
Welche Kapitel gefordert sind, ergibt sich aus den Prüfzielen des Auftraggebers. Eine Einordnung der Prüfziele und Assessment-Level liefert unsere TISAX-Hauptseite.
Reifegradmodell
Die Skala von 0 bis 5
VDA ISA bewertet jedes Control nicht mit „erfüllt / nicht erfüllt“, sondern mit einem Reifegrad. Der geforderte Zielreifegrad liegt für die meisten Controls bei 3. Höhere Stufen verlangen Steuerung und kontinuierliche Verbesserung.
| Reifegrad | Bezeichnung | Bedeutung |
|---|---|---|
| 0 | Unvollständig | Kein oder unvollständiger Ansatz |
| 1 | Durchgeführt | Maßnahme wird umgesetzt, aber nicht dokumentiert |
| 2 | Gesteuert | Umsetzung ist dokumentiert und nachvollziehbar |
| 3 | Etabliert | Standardprozess, durchgängig angewandt – üblicher Zielwert |
| 4 | Vorhersagbar | Wirksamkeit wird gemessen und überwacht |
| 5 | Optimierend | Kontinuierliche Verbesserung auf Basis der Messung |
Soll, Ist und Lücken
Wo es in der Praxis hakt
Der Soll-Ist-Vergleich pro Control ist der Kern der Vorbereitung: Wo liegt der heutige Reifegrad, wo der geforderte – und welche Maßnahme schließt die Differenz? Diese Lücken treten besonders häufig auf:
- Gelebte, aber nicht dokumentierte Praxis – Reifegrad bleibt bei 1 hängen
- Fehlende Wirksamkeitsmessung, dadurch kein Sprung von 3 auf 4
- Lieferanten- und Dienstleistersteuerung ohne nachweisbare Kontrolle
- Identitäts- und Berechtigungsmanagement ohne regelmäßige Rezertifizierung
- Prototypenschutz nur als Konzept, ohne Beleg der gelebten Umsetzung
- Datenschutz-Controls ohne aktuelles Verarbeitungsverzeichnis und TOM
Häufige Fragen
- Was ist der Unterschied zwischen VDA ISA und TISAX?
VDA ISA ist der Fragen- und Kontrollkatalog. TISAX ist das Verfahren des ENX-Verbands, in dem ein Standort anhand dieses Katalogs geprüft wird und ein Label erhält.
- Welchen Reifegrad muss ich erreichen?
Für die meisten Controls ist Reifegrad 3 das Ziel. Einzelne Anforderungen können höher liegen. Maßgeblich ist die Vorgabe des jeweiligen Prüfziels.
- Hilft eine ISO-27001-Zertifizierung beim VDA ISA?
Ja, sehr. Das Kapitel Information Security deckt sich weitgehend mit ISO 27001. Vorhandene Maßnahmen lassen sich direkt auf die VDA-ISA-Controls beziehen.
- Wie dokumentiere ich den Reifegrad nachvollziehbar?
Jeder Reifegrad sollte durch Nachweise belegt sein – Richtlinien, Protokolle, Messwerte. Ohne Beleg bleibt eine Selbstbewertung im Assessment angreifbar.
Den VDA-ISA-Katalog strukturiert abarbeiten
Controls, Reifegrade und Nachweise an einem Ort – mit klarem Soll-Ist-Bild über alle Kapitel. Der Testzugang ist unverbindlich – keine automatische Vertragsbindung.