Certifikace a hodnocení TISAX® s DQS

Hodnocení TISAX® - Bezpečnost informací v automobilovém průmyslu

Jste dodavatel nebo poskytovatel služeb pro automobilový průmysl? Pak potřebujete prokázat dostupnost svých služeb nebo bezpečnost citlivých informací, které dostáváte. Očekává se od vás také, že poskytnete důkaz o správném zacházení s prototypy. Jako účastník procesu TISAX® je to možné prostřednictvím odpovídajícího hodnocení, které stačí provést každé tři roky. Certifikace TISAX® je platná pro všechna odvětví a definuje požadavky na bezpečnost informací ve vaší společnosti.

Vzájemné uznávání mezi všemi účastníky systému TISAX®.

Dodavatelé a poskytovatelé služeb získají větší důvěru ve vaši auditovanou společnost.

Hodnocení pro získání certifikace TISAX® probíhá pouze jednou za tři roky.

Úspora času a nákladů díky účasti v síti TISAX®

Základní informace o hodnocení TISAX®

TISAX® je společný postup hodnocení a výměny informací pro automobilový průmysl. Je založen na dotazníku (ISA - Information Security Assessment), který vyvinula pracovní skupina VDA "Bezpečnost informací" a který zase vychází z klíčových aspektů mezinárodní normy ISO/IEC 27001 a byl rozšířen o model vyspělosti.

ISA rovněž odkazuje na normu ISO/SAE 62443-2-1 pro průmyslové řídicí systémy pro automatizaci a monitorování průmyslových výrobních zařízení (IACS) a provozní technologie (OT).

Odpovědné orgány německého sdružení automobilového průmyslu (VDA) navíc vytvořily podmínky pro vytvoření společného mechanismu hodnocení a výměny pod názvem TISAX® (Trusted Information Security Assessment eXchange). TISAX® je registrovaná ochranná známka sdružení ENX. Sdružení evropských výrobců automobilů, dodavatelů automobilů a sdružení automobilového průmyslu sleduje kvalitu hodnocení TISAX® a kontroluje schvalování poskytovatelů auditních služeb TISAX®.

V současné době bylo podle normy TISAX® posouzeno více než 10 000 pracovišť, což z této normy činí po normě ISO 27001 druhý nejrozšířenější soubor pravidel pro bezpečnost informací na světě. Společnosti VDA a ENX vytvořily mezinárodní pracovní skupiny pro TISAX® a katalog ISA, které mají za úkol standard dále rozvíjet. Zároveň tím podporují užší spolupráci s celosvětovým automobilovým průmyslem. S verzí TISAX 6.0 byla na podzim roku 2023 zveřejněna aktualizovaná podoba postupu posuzování a výměny informací.

Zobrazit více

Zobrazit méně

TISAX® 2.2 - Povinné od 1. dubna 2024 - poznámky k přechodu

Posouzení TISAX®, která byla uvedena do provozu do 31. března 2024, lze provést podle staré verze ISA 5.1. Prvotní nebo recertifikační posouzení zadaná od 1. dubna 2024 budou prováděna výhradně podle nového postupu TISAX® v souladu s katalogem ISA 6.0. Auditní činnosti, které jsou závislé na stávajících auditech, jako jsou posouzení plánu nápravných opatření, následná posouzení, posouzení rozšíření rozsahu nebo pokračující zjednodušená skupinová posouzení, budou nadále prováděny v souladu s verzí, podle které byl proveden původní audit.Informace o klíčových změnách v novém ISA 6.0 naleznete v příspěvku na našem blogu „Nový katalog ISA 6.0“.

Nový katalog ISA 6.0 je pro společnost TISAX® důležitým milníkem. Katalog hodnocení vede k úpravě požadavků na poskytovatele auditu, které byly definovány v předpisech TISAX® ACAR 2.2. Změna hlavního jazyka na angličtinu podtrhuje globální perspektivu a společné úsilí o celosvětový rozvoj. Plánují se další překlady TISAX VDA 6.0. Nejdůležitější změny v novém katalogu ISA 6.0 jsou tyto Změny bezpečnostních značek:

Označení Bezpečnost informací je nahrazeno označením Dostupnost a Důvěrnost. V závislosti na vaší roli v dodavatelském řetězci se vás může týkat označení Dostupnost nebo Důvěrnost, případně obě.
Stávající štítek „Information Security High“ bude nahrazen kombinovaným štítkem „Availability High“ a „Confidentiality High“. Totéž platí pro stávající štítek „Information Security Very High“. Bude nahrazen označením „Dostupnost velmi vysoká“ a „Důvěrnost přísná“.
Oba štítky musí splňovat stejný soubor základních požadavků. Kromě toho má každý štítek specifické požadavky pro vysoké a velmi vysoké potřeby ochrany. Proces hodnocení se řídí těmito štítky a zohledňuje vaši roli v dodavatelském řetězci. Proto se vyplatí ověřit si u svých zákazníků, které štítky jsou pro vaši roli relevantní.

Zvýšený důraz na bezpečnost informací a OT systémy v dodavatelském řetězci

Příslušné společnosti v dodavatelském řetězci musí splňovat požadavky „vysoké dostupnosti“ nebo „velmi vysoké dostupnosti“.
Důraz na systémy provozních technologií (OT) ve výrobě a dalších oblastech v hodnocení TISAX®.
Odkazy na normu IEC 62443-2-1 a nové požadavky katalogu ISA podporují zaměření na OT.
Zahrnutí průmyslových komunikačních a řídicích systémů (IACS).
Společnosti v této kategorii musí prokázat odpovídající ochranu citlivých dat ve vývoji a výrobě.
Mnohé požadavky se překrývají s požadavky na „vysokou citlivost“ nebo „velmi vysokou citlivost“.
Společnosti v dodavatelském řetězci, které nejsou vysoce relevantní, ale jsou jim svěřeny citlivé informace, musí prokázat, že tyto informace mohou být odpovídajícím způsobem chráněny.
Označení „Vysoká důvěrnost“ nebo „Přísná důvěrnost“ se používají pro výběr požadavků TISAX® , které přispívají k tomuto cíli ochrany.
Hlavním účelem výše popsaného selektivního posuzování je zajistit, aby společnosti musely plnit pouze ty požadavky katalogu ISA, které jsou relevantní pro jejich roli.

Nové výzvy pro výrobní společnosti

Systémy OT musí podléhat řízení podobnému tomu, které je obecně vyžadováno pro IT systémy TISAX®.
Výsledkem je, že OT ve správě aktiv je identifikován se svými specifickými riziky, analyzován z hlediska potenciálních zranitelností, spravován kompetentními pracovníky, podroben procesům pro vzdálenou údržbu v souladu s ISMS a dalším osvědčeným postupům řízení.

Zobrazit více

Zobrazit méně

Jaké jsou výhody hodnocení TISAX® pro vaši společnost?

Jako poskytovatel nebo dodavatel služeb pro automobilový průmysl musíte svým zákazníkům prokázat, že splňujete jejich požadavky na zabezpečení informací. Doposud tato hodnocení prováděli především sami výrobci. Registrovaní účastníci sítě TISAX® si mohou vybrat poskytovatele služeb posuzování prostřednictvím společné online platformy a zadat posouzení. Výhody pro společnosti převažují nad nevýhodami:

Lze se vyhnout duplicitním a vícenásobným posouzením různými klienty, což šetří čas i peníze.
Uznávání hodnocení napříč společnostmi pro účastníky systému TISAX®.
Spolehlivé výsledky díky harmonizovanému katalogu hodnocení, který zajišťuje konzistentní proces hodnocení.
Zvýšená důvěra v hodnocenou společnost díky označení TISAX®.

Po úspěšném posouzení obdržíte na online platformě TISAX® štítek TISAX®. Tento štítek je srovnatelný s certifikátem a slouží k posílení důvěry ve vaši společnost a potvrzení vašeho úsilí o zajištění bezpečnosti informací.

Jak funguje systém TISAX®?

V systému TISAX® mohou účastníci zaujmout dvě různé role: "Spotřebitel informací" (pasivní), což je například výrobce, který by chtěl získat informace o dodavateli, a "Přispěvatel informací" (aktivní), například dodavatel dílů nebo poskytovatel služeb, který by chtěl být prověřen z hlediska vhodnosti, aby mohl přijímat objednávky od výrobců.

Společnost může také převzít obě role účastníka. Každý, kdo se chce zapojit do systému TISAX® jako přispěvatel informací, musí provést následující čtyři hlavní kroky:

1. Zaregistrovat se online na adrese www.enx.com/TISAX
2. Vybrat si poskytovatele auditorských služeb schváleného ENX, jako je například DQS.
3. Podstoupit hodnocení TISAX®
4. Vyměňte si výsledky auditu na online platformě TISAX®.

Pokud má společnost zájem o vaše výsledky TISAX, může se zaregistrovat v systému ENX jako „spotřebitel informací“. U každého spotřebitele informací se můžete rozhodnout, zda s ním chcete sdílet svůj aktuální stav v systému TISAX.

Zobrazit více

Zobrazit méně

Jak funguje hodnocení TISAX®?

Než začnete s hodnocením TISAX®, musí vaše společnost definovat jasný rozsah. To zahrnuje úroveň hodnocení, která definuje konkrétní požadavky na hodnocení. Tyto požadavky mohou zahrnovat zajištění „dostupnosti“ výrobních kapacit, zaručení „důvěrnosti“ svěřených informací nebo zabezpečení „prototypových dílů“ a „osobních údajů“. Tato základní kritéria se vztahují na všechna pracoviště v oblasti působnosti.
Klíčovým úkolem je spojit místa s podobnými požadavky do jednoho rozsahu. Systém DQS může poskytnout cenné pokyny pro návrh, zda by se mělo jednat o jeden komplexní rozsah, nebo o více rozsahů. Spojení pracovišť pod jeden rozsah má v zásadě výhody v podobě možného snížení náročnosti auditu, pokud všechna pracoviště fungují v rámci centralizovaného systému ISMS.

V prvním kroku si vyberete schváleného poskytovatele auditorských služeb. Ve druhém kroku proběhne úvodní hodnocení, přezkum dokumentů (sebehodnocení, ne na místě) a následné hodnocení (úroveň 2: ne na místě, úroveň 3: na místě).

Upozornění: Pro hodnocení na úrovni 2 existuje alternativní metoda. Namísto kontroly věrohodnosti provede váš poskytovatel auditorských služeb úplné posouzení na dálku. Tato metoda se někdy označuje jako "úroveň posouzení 2.5". Výhodou posouzení úrovně 2,5 je, že tento přístup je metodicky kompatibilní s posouzením úrovně 3. Proto je možné později s zvládnutelným úsilím přejít na plnou zkoušku Assessment Level 3.

Výsledky auditu TISAX® jsou zaznamenány v průběžné zprávě. V případě neshod jsou dohodnuta opatření, která je třeba provést. V případě potřeby je stanoveno provedení opatření v dohodnutém termínu. Tento postup zajišťuje, že všechny zjištěné problémy jsou řešeny účinně a neprodleně.

Po uzavření neshod se provede přezkum účinnosti, aby se potvrdilo uzavření neshod a posoudila celková účinnost přijatých nápravných opatření.

Konečný výsledek bude zveřejněn online na portálu ENX®. Vaše společnost pak bude uvedena jako účastník procesu TISAX® s odpovídajícím označením testu. Na rozdíl od jiných certifikací neexistuje žádný certifikát TISAX®.

Kolik stojí posouzení TISAX®?

Rozsah celého posouzení, a tedy i náklady, ovlivňují dva důležité faktory. Posouzení je možné provést na základě rozšířeného rozsahu, standardního rozsahu nebo omezeného rozsahu. Vaše rozhodnutí pro rozsah by mělo být dobře připraveno a určeno požadovanými cíli ochrany, ale také velikostí vaší společnosti.

Cíle ochrany se týkají například toho, zda chcete do posouzení zahrnout témata, jako je ochrana prototypů nebo ochrana dat. Pokud se chcete zapojit do postupu TISAX®, poraďte se co nejdříve se společností DQS, schváleným poskytovatelem auditorských služeb. Jen tak můžeme určit správný výpočet rozsahu posouzení a poskytnout vám spolehlivou nabídku nákladů na certifikaci TISAX®.

Zobrazit více

Zobrazit méně

Co od nás můžete očekávat

Společnost DQS je schváleným poskytovatelem auditorských služeb sdružení ENX.
Poznatky o bezpečnosti informací ve vaší organizaci s přidanou hodnotou
Akreditace pro všechny relevantní předpisy v automobilovém průmyslu
Zkušení auditoři z oboru a odborníci z praxe

Více než 35 let zkušeností s certifikací systémů řízení a procesů
Certifikáty s mezinárodním uznáním
Osobní a bezproblémová podpora našich specialistů - na regionální, národní i mezinárodní úrovni
Individuální nabídky s flexibilními smluvními podmínkami bez skrytých nákladů

Zobrazit více

Zobrazit méně

Hodnocení TISAX®

Společnost DQS GmbH je registrovaným účastníkem systému TISAX® a prošla hodnocením TISAX® pro získání označení „Information Security Very High“ na úrovni hodnocení 3. Hodnocení TISAX® provádějí akreditovaní poskytovatelé hodnotících služeb ENX. Výsledky hodnocení TISAX® nejsou určeny pro širokou veřejnost. Výsledek hodnocení ve společnosti DQS GmbH je registrovaným účastníkům k dispozici prostřednictvím portálu ENX: https://portal.enx.com/.

Stáhněte si dokument zde