De overeenkomsten en verschillen tussen ISO 27001 en TISAX

Het TISAX label realiseert een uniform niveau van informatiebeveiliging in de automobielindustrie. Het label is gebaseerd op de belangrijkste aspecten en criteria uit de ISO 27001 norm, maar gespecificeerd voor de branche. Wat zijn de overeenkomsten en belangrijkste verschillen tussen de ISO 27001 norm en het TISAX label?

De overeenkomsten

De grootste overeenkomst tussen het TISAX label en ISO 27001 is dat ze beiden hetzelfde doel hebben, namelijk kunnen aantonen dat zorgvuldig en veilig wordt omgegaan met kritische informatie binnen de organisatie. De eisen van TISAX zijn onderverdeeld in categorieën, die lijken op Annex A van ISO 27001.

De verschillen

Er zijn natuurlijk ook verschillen. We zetten de verschillen tussen ISO 27001 en het TISAX label graag voor je op een rijtje.

• Algemeen vs. branche specifiek: ISO 27001 is een branche onafhankelijke norm en het TISAX label is specifiek gericht op de automobielindustrie.
• Certificaat vs. label: Na een succesvolle audit wordt bij ISO 27001 een ISO certificaat uitgegeven. Bij TISAX wordt er een label uitgegeven door het ENX.
• ISO vs. VDA: Certificatie volgens ISO 27001 geschiedt door certificerende instellingen die in veel gevallen zijn geaccrediteerd door de Raad voor Accreditatie. Bij TISAX ligt dat iets anders. Het TISAX label is eigendom van de German Association of the Automotive Industry (VDA), een stakeholder in de branche. De auditerende partij moet goedgekeurd worden door ENX, een organisatie verwant aan de VDA. Wanneer een organisatie wil certificeren sluit zij een contract met ENX en een, door haar goedgekeurde auditerende partij.
• Globale vs. specifieke eisen: ISO 27001 stelt kaders, een organisatie kan zelf bepalen hoe de eisen op een passende wijze worden geïmplementeerd. Bij TISAX is deze vrijheid er niet. De eisen zijn strak geformuleerd en er is vastgelegd hoe bepaalde zaken aangepakt moeten worden.
• Wel vs. geen HLS: De ISO 27001 volgt de High Level Structure (HLS), net als alle andere ISO normen. Het TISAX label is niet volgens de HLS opgebouwd en volgt dus geen vaste structuur van 10 hoofdstukken gebaseerd op de PDCA-cyclus.
• Tussentijdse controle momenten: Een ISO 27001 is drie jaar geldig, net als het TISAX label. Echter, bij ISO 27001 vindt jaarlijks een tussentijdse controle audit plaats. Dit is voor TISAX niet het geval, er vindt een eenmalige assessment plaats. Pas als de drie jaar zijn verstreken wordt er een nieuw assessment uitgevoerd.
• Audit vs. Self Assessment: Er wordt een eenzijdige beoordeling, ook wel externe audit, uitgevoerd door een certificerende instelling wanneer een organisatie wil certificeren op ISO 27001. Voor TISAX vindt eerst een Self Assessment plaats, pas daarna komt een auditor langs. Hij of zij kijkt of het Self Assessment naar waarheid is ingevuld en met bewijzen wordt onderbouwd.
• Zelfbenoemde vs. vastgestelde KPI’s: Zowel bij ISO 27001 als TISAX spreekt men van doelstellingen die de effectiviteit van het managementsysteem bepalen. Bij ISO 27001 bepaalt de organisatie deze doelstellingen zelf. Bij TISAX worden doelstellingen voorgeschreven.

Hulp nodig?

Wil jouw organisatie aan de slag met informatiebeveiliging volgens ISO 27001 of het TISAX label? Onze consultants hebben ervaring en helpen graag. Neem voor meer informatie contact met ons op. Wij bespreken graag de mogelijkheden.

Reduce Risk, Create Value!

Contact