Hodnocení TISAX® - Bezpečnost informací v automobilovém průmyslu
Vzájemné uznávání mezi všemi účastníky systému TISAX®.
Dodavatelé a poskytovatelé služeb získají větší důvěru ve vaši auditovanou společnost.
Hodnocení pro získání certifikace TISAX® probíhá pouze jednou za tři roky.
Úspora času a nákladů díky účasti v síti TISAX®
Základní informace o hodnocení TISAX®
ISA rovněž odkazuje na normu ISO/SAE 62443-2-1 pro průmyslové řídicí systémy pro automatizaci a monitorování průmyslových výrobních zařízení (IACS) a provozní technologie (OT).
Odpovědné orgány německého sdružení automobilového průmyslu (VDA) navíc vytvořily podmínky pro vytvoření společného mechanismu hodnocení a výměny pod názvem TISAX® (Trusted Information Security Assessment eXchange). TISAX® je registrovaná ochranná známka sdružení ENX. Sdružení evropských výrobců automobilů, dodavatelů automobilů a sdružení automobilového průmyslu sleduje kvalitu hodnocení TISAX® a kontroluje schvalování poskytovatelů auditních služeb TISAX®.
V současné době bylo podle normy TISAX® posouzeno více než 10 000 pracovišť, což z této normy činí po normě ISO 27001 druhý nejrozšířenější soubor pravidel pro bezpečnost informací na světě. Společnosti VDA a ENX vytvořily mezinárodní pracovní skupiny pro TISAX® a katalog ISA, které mají za úkol standard dále rozvíjet. Zároveň tím podporují užší spolupráci s celosvětovým automobilovým průmyslem. S verzí TISAX 6.0 byla na podzim roku 2023 zveřejněna aktualizovaná podoba postupu posuzování a výměny informací.
TISAX® 2.2 - Povinné od 1. dubna 2024 - poznámky k přechodu
Nový katalog ISA 6.0 je pro společnost TISAX® důležitým milníkem. Katalog hodnocení vede k úpravě požadavků na poskytovatele auditu, které byly definovány v předpisech TISAX® ACAR 2.2. Změna hlavního jazyka na angličtinu podtrhuje globální perspektivu a společné úsilí o celosvětový rozvoj. Plánují se další překlady TISAX VDA 6.0. Nejdůležitější změny v novém katalogu ISA 6.0 jsou tyto Změny bezpečnostních značek:
- Označení Bezpečnost informací je nahrazeno označením Dostupnost a Důvěrnost. V závislosti na vaší roli v dodavatelském řetězci se vás může týkat označení Dostupnost nebo Důvěrnost, případně obě.
- Stávající štítek „Information Security High“ bude nahrazen kombinovaným štítkem „Availability High“ a „Confidentiality High“. Totéž platí pro stávající štítek „Information Security Very High“. Bude nahrazen označením „Dostupnost velmi vysoká“ a „Důvěrnost přísná“.
- Oba štítky musí splňovat stejný soubor základních požadavků. Kromě toho má každý štítek specifické požadavky pro vysoké a velmi vysoké potřeby ochrany. Proces hodnocení se řídí těmito štítky a zohledňuje vaši roli v dodavatelském řetězci. Proto se vyplatí ověřit si u svých zákazníků, které štítky jsou pro vaši roli relevantní.
Zvýšený důraz na bezpečnost informací a OT systémy v dodavatelském řetězci
- Příslušné společnosti v dodavatelském řetězci musí splňovat požadavky „vysoké dostupnosti“ nebo „velmi vysoké dostupnosti“.
- Důraz na systémy provozních technologií (OT) ve výrobě a dalších oblastech v hodnocení TISAX®.
- Odkazy na normu IEC 62443-2-1 a nové požadavky katalogu ISA podporují zaměření na OT.
- Zahrnutí průmyslových komunikačních a řídicích systémů (IACS).
- Společnosti v této kategorii musí prokázat odpovídající ochranu citlivých dat ve vývoji a výrobě.
- Mnohé požadavky se překrývají s požadavky na „vysokou citlivost“ nebo „velmi vysokou citlivost“.
- Společnosti v dodavatelském řetězci, které nejsou vysoce relevantní, ale jsou jim svěřeny citlivé informace, musí prokázat, že tyto informace mohou být odpovídajícím způsobem chráněny.
- Označení „Vysoká důvěrnost“ nebo „Přísná důvěrnost“ se používají pro výběr požadavků TISAX® , které přispívají k tomuto cíli ochrany.
- Hlavním účelem výše popsaného selektivního posuzování je zajistit, aby společnosti musely plnit pouze ty požadavky katalogu ISA, které jsou relevantní pro jejich roli.
Nové výzvy pro výrobní společnosti
- Systémy OT musí podléhat řízení podobnému tomu, které je obecně vyžadováno pro IT systémy TISAX®.
- Výsledkem je, že OT ve správě aktiv je identifikován se svými specifickými riziky, analyzován z hlediska potenciálních zranitelností, spravován kompetentními pracovníky, podroben procesům pro vzdálenou údržbu v souladu s ISMS a dalším osvědčeným postupům řízení.
Jaké jsou výhody hodnocení TISAX® pro vaši společnost?
Jak funguje systém TISAX®?
Společnost může také převzít obě role účastníka. Každý, kdo se chce zapojit do systému TISAX® jako přispěvatel informací, musí provést následující čtyři hlavní kroky:
- 1. Zaregistrovat se online na adrese www.enx.com/TISAX
- 2. Vybrat si poskytovatele auditorských služeb schváleného ENX, jako je například DQS.
- 3. Podstoupit hodnocení TISAX®
- 4. Vyměňte si výsledky auditu na online platformě TISAX®.
Pokud má společnost zájem o vaše výsledky TISAX, může se zaregistrovat v systému ENX jako „spotřebitel informací“. U každého spotřebitele informací se můžete rozhodnout, zda s ním chcete sdílet svůj aktuální stav v systému TISAX.
Jak funguje hodnocení TISAX®?
Než začnete s hodnocením TISAX®, musí vaše společnost definovat jasný rozsah. To zahrnuje úroveň hodnocení, která definuje konkrétní požadavky na hodnocení. Tyto požadavky mohou zahrnovat zajištění „dostupnosti“ výrobních kapacit, zaručení „důvěrnosti“ svěřených informací nebo zabezpečení „prototypových dílů“ a „osobních údajů“. Tato základní kritéria se vztahují na všechna pracoviště v oblasti působnosti.
Klíčovým úkolem je spojit místa s podobnými požadavky do jednoho rozsahu. Systém DQS může poskytnout cenné pokyny pro návrh, zda by se mělo jednat o jeden komplexní rozsah, nebo o více rozsahů. Spojení pracovišť pod jeden rozsah má v zásadě výhody v podobě možného snížení náročnosti auditu, pokud všechna pracoviště fungují v rámci centralizovaného systému ISMS.
V prvním kroku si vyberete schváleného poskytovatele auditorských služeb. Ve druhém kroku proběhne úvodní hodnocení, přezkum dokumentů (sebehodnocení, ne na místě) a následné hodnocení (úroveň 2: ne na místě, úroveň 3: na místě).
Upozornění: Pro hodnocení na úrovni 2 existuje alternativní metoda. Namísto kontroly věrohodnosti provede váš poskytovatel auditorských služeb úplné posouzení na dálku. Tato metoda se někdy označuje jako "úroveň posouzení 2.5". Výhodou posouzení úrovně 2,5 je, že tento přístup je metodicky kompatibilní s posouzením úrovně 3. Proto je možné později s zvládnutelným úsilím přejít na plnou zkoušku Assessment Level 3.
Výsledky auditu TISAX® jsou zaznamenány v průběžné zprávě. V případě neshod jsou dohodnuta opatření, která je třeba provést. V případě potřeby je stanoveno provedení opatření v dohodnutém termínu. Tento postup zajišťuje, že všechny zjištěné problémy jsou řešeny účinně a neprodleně.
Po uzavření neshod se provede přezkum účinnosti, aby se potvrdilo uzavření neshod a posoudila celková účinnost přijatých nápravných opatření.
Konečný výsledek bude zveřejněn online na portálu ENX®. Vaše společnost pak bude uvedena jako účastník procesu TISAX® s odpovídajícím označením testu. Na rozdíl od jiných certifikací neexistuje žádný certifikát TISAX®.
Kolik stojí posouzení TISAX®?
Cíle ochrany se týkají například toho, zda chcete do posouzení zahrnout témata, jako je ochrana prototypů nebo ochrana dat. Pokud se chcete zapojit do postupu TISAX®, poraďte se co nejdříve se společností DQS, schváleným poskytovatelem auditorských služeb. Jen tak můžeme určit správný výpočet rozsahu posouzení a poskytnout vám spolehlivou nabídku nákladů na certifikaci TISAX®.
Co od nás můžete očekávat
- Více než 35 let zkušeností s certifikací systémů řízení a procesů
- Certifikáty s mezinárodním uznáním
- Osobní a bezproblémová podpora našich specialistů - na regionální, národní i mezinárodní úrovni
- Individuální nabídky s flexibilními smluvními podmínkami bez skrytých nákladů
Hodnocení TISAX®
Společnost DQS GmbH je registrovaným účastníkem systému TISAX® a prošla hodnocením TISAX® pro získání označení „Information Security Very High“ na úrovni hodnocení 3. Hodnocení TISAX® provádějí akreditovaní poskytovatelé hodnotících služeb ENX. Výsledky hodnocení TISAX® nejsou určeny pro širokou veřejnost. Výsledek hodnocení ve společnosti DQS GmbH je registrovaným účastníkům k dispozici prostřednictvím portálu ENX: https://portal.enx.com/.