TISAX® - Bezpieczeństwo informacji w branży motoryzacyjnej
Zabezpiecz poufne informacje, takie jak prototypy. Chroń reputację marki i buduj lojalność klientów.
W niezwykle innowacyjnym środowisku, w którym sukces zależy od wielu podmiotów, bezpieczna wymiana informacji ma zasadnicze znaczenie. Przemysł motoryzacyjny wymaga "ekosystemowego" podejścia do bezpieczeństwa informacji w ramach długich i złożonych łańcuchów dostaw.
W obecnej epoce cyfrowej potrzeby w zakresie bezpieczeństwa informacji wykraczają poza dostawców samochodów, a także firmy marketingowe i inne zaangażowane strony.
Podstawową potrzebą jest ochrona:
- projektów lub informacji projektowych, prototypów lub tajnych planów inwestycyjnych,
- danych procesowych (big data) związanych z nowymi koncepcjami cyfryzacji, rozwojem autonomicznych samochodów,
- wzajemnych powiązań w ramach sieci łańcucha dostaw,
- oraz danych osobowych klientów.
Czym jest TISAX
TISAX (Trusted Information Security Assessment Exchange) to globalny standard bezpieczeństwa informacji dla przemysłu motoryzacyjnego. Podejście do oceny bezpieczeństwa informacji oparte na dojrzałości jest ukierunkowane na potrzeby przemysłu motoryzacyjnego. Ocena TISAX jest wymagana przez niektórych producentów OEM i dotyczy przede wszystkim dostawców 1 i 2 poziomu, ale może być rozszerzona na bardziej złożone łańcuchy dostaw.
Celem programu jest:
- ustanowienie wspólnego poziomu bezpieczeństwa dla przemysłu motoryzacyjnego,
- zapewnienie wspólnego uznawania ocen w celu zmniejszenia kosztów, wysiłków i złożoności dla producentów i dostawców,
- zapewnienie porównywalności i jakości ocen,
- wymiana najlepszych praktyk i zdobytych doświadczeń,
- umożliwienie każdemu uczestnikowi podjęcia decyzji, komu zostaną ujawnione wyniki i jaki będzie stopień ich szczegółowości.
TISAX łączy dawne Zasady Bezpieczeństwa Informacji (ISA) niemieckiego Verbandder Automobilindustrie (VDA) z Załącznikiem A (Kontrole techniczne) normy ISO/IEC 27001, jak również z niektórymi wymogami dotyczącymi prywatności.
TISAX® a ISO/IEC 27001
TISAX opiera się na kluczowych elementach normy ISO/IEC 27001 dotyczącej systemu zarządzania bezpieczeństwem informacji, skupiając się na elementach szczególnie istotnych w kontekście przemysłu motoryzacyjnego.
Główne różnice to:
ISO/IEC 27001 | TISAX |
Norma systemu zarządzania | Obejmuje procesy i elementy bezpieczeństwa informacji istotne dla partnerów z branży motoryzacyjnej |
Podejście udostępnij/ogranicz | Podejście oparte na poziomie dojrzałości |
Zakres zdefiniowany przed certyfikacją | Zakres jest stały |
Analiza ryzyka w przedsiębiorstwie | Analiza ryzyka oparta na grupie roboczej VDA-ISA |
Jednostka certyfikująca wydaje certyfikat | TISAX wydaje i rejestruje znak |
Okresowy audyt i ponowna certyfikacja po 3 latach | 3-letnia ważność, brak audytów okresowych |
Korzyści z oceny
Oceny TISAX, poza tym, że są wymogiem koniecznym u niektórych producentów, przyczyniają się do budowania zaufania w łańcuchu dostaw. Korzyści dla certyfikowanego dostawcy:
- Uznanie producentów samochodów;
- Zapobieganie naruszeniom bezpieczeństwa informacji i cyberatakom;
- Zdobycie zaufania klientów;
- Identyfikacja i przeciwdziałanie ryzykom;
- Gwarancja właściwych procesów bezpieczeństwa informacji;
- Dzielenie się wynikami oceny przez platformę ENX.
Droga do certyfikacji
Firmy przystępujące do programu muszą zarejestrować się w ENX jako uczestnik.
Proces jest podzielony na etapy:
- Wymogi
Zapoznanie się z wymaganiami TISAX. - Przygotowanie
Rejestracja na portalu TISAX, wybór akredytowanej jednostki audytorskiej i przygotowanie się do audytu. Obejmuje to samoocenę w celu pomiaru zgodności i gotowości. - Ocena
Sposób przeprowadzenia audytu zależy od tego, czy dostawca kwalifikuje się do audytu zdalnego (Poziom 2) czy fizycznego (Poziom 3). Sam audyt składa się z wywiadów, przeglądu dokumentów, wyjaśnienia ewentualnych ustaleń i kolejnych kroków. - Plan działań naprawczych i działania poaudytowe
Przygotowanie planu działań naprawczych (CAP) w celu zamknięcia wszelkich ustaleń (braków), jest przekazywany dostawcy usług audytowych. Plan jest oceniany pod kątem działań naprawczych i jeśli to konieczne, przesyłany do uzupełnienia. - Publikacja wyników
Jednostka audytorska przesyła raport TISAX na platformę. Audytowana firma decyduje, komu udostępnić wyniki. ENX wystawia znak certyfikacyjny TISAX dla audytowanej firmy.
DNV jest akredytowanym dostawcą zatwierdzonym przez Stowarzyszenie ENX. Dzięki naszej sieci lokalnych biur i audytorów, możemy zapewnić ocenę TISAX na całym świecie.
ENX utrzymuje kryteria i wymogi oceny dostawców usług audytorskich (TISAX ACAR). Zatwierdza dostawców audytów i monitoruje jakość wdrożenia oraz wyniki oceny. ENX jest wspierany przez Komitet TISAX, składający się z przedstawicie