TISAX® procjena - Sigurnost informacija u automobilskoj industriji
Međusobno priznanje među svim TISAX® sudionicima
Dobavljači i pružatelji usluga postižu veće povjerenje u vašu organizaciju
Procjena za TISAX® certifikaciju održava se samo svake tri godine
Ušteda vremena i troškova sudjelovanjem u TISAX® mreži
Osnovne informacije o TISAX® procjenama
ISA se također odnosi na ISO/SAE 62443-2-1 za industrijske upravljačke sustave za automatizaciju i nadzor industrijskih proizvodnih postrojenja (IACS) i operativne tehnologije (OT).
Osim toga, nadležna tijela u njemačkom Udruženju automobilske industrije (VDA - German Association of the Automotive Industry) stvorila su uvjete za uspostavu zajedničkog mehanizma procjene i razmjene pod nazivom TISAX® (Trusted Information Security Assessment eXchange). TISAX® je registrirani zaštitni znak Udruženja europskih proizvođača automobila, dobavljača automobila i automobilskih udruga - ENX Association. Udruženje prati kvalitetu TISAX® procjena i kontrolira odobrenje pružatelja usluga TISAX® audita.
Više od 10 000 lokacija sada je ocijenjeno prema TISAX®-u, što ovu normu čini drugim najčešće implementiranim skupom pravila za informacijsku sigurnost u svijetu nakon ISO 27001. VDA i ENX su formirali međunarodne radne skupine za TISAX® i ISA katalog za daljnji razvoj standarda. Time se istovremeno promiče uža suradnja s globalnom automobilskom industrijom. Uz TISAX 6.0, ažurirani obrazac postupka procjene i razmjene objavljen je u jesen 2023.
TISAX® - Obvezno od 1. travnja 2024. - Napomene o prijelazu
Novi ISA katalog 6.0 važna je prekretnica za TISAX®. Katalog procjena dovodi do prilagodbe zahtjeva za pružatelje audita, koji su definirani u regulativi TISAX® ACAR 2.2. Promjena glavnog jezika u engleski naglašava globalnu perspektivu i zajedničke napore za svjetski razvoj. U planu su daljnji prijevodi TISAX VDA 6.0.
Najvažnije promjene u novom ISA katalogu 6.0 su
Promjene sigurnosnih oznaka:
- Oznaka informacijske sigurnosti zamijenjena je oznakama dostupnosti i povjerljivosti. Ovisno o vašoj ulozi u opskrbnom lancu, dostupnost ili povjerljivost ili oboje mogu biti relevantni za vas.
- Postojeća oznaka "Visoka sigurnost informacija" bit će zamijenjena kombiniranim oznakama "Visoka dostupnost" i "Visoka povjerljivost". Isto vrijedi i za postojeću oznaku Sigurnost informacija vrlo visoka. Zamijenit će ga "Vrlo visoka dostupnost" i "Stroga povjerljivost".
- Obje oznake moraju ispunjavati isti skup osnovnih zahtjeva. Osim toga, svaka oznaka ima specifične zahtjeve za visoke i vrlo visoke potrebe zaštite. Proces procjene pokreću oznake, uzimajući u obzir vašu ulogu u opskrbnom lancu. Stoga je vrijedno provjeriti sa svojim kupcima koje su oznake relevantne za vašu ulogu.
Povećani fokus na informacijsku sigurnost i OT sustave u opskrbnom lancu
- Relevantne tvrtke u opskrbnom lancu moraju ispunjavati zahtjeve "visoke dostupnosti" ili "vrlo visoke dostupnosti".
- Naglasak na sustavima operativne tehnologije (OT) u proizvodnji i drugim područjima u procjeni TISAX®.
- Reference na IEC 62443-2-1 i nove zahtjeve kataloga ISA promiču OT fokus.
- Uključivanje industrijskih komunikacijskih i kontrolnih sustava (IACS).
- Tvrtke u ovoj kategoriji moraju pokazati odgovarajuću zaštitu osjetljivih podataka u razvoju i proizvodnji.
- Mnogi se zahtjevi preklapaju s "visokom osjetljivošću" ili "vrlo visokom osjetljivošću".
- Tvrtke u opskrbnom lancu koje nisu visoko relevantne, ali su im povjerene osjetljive informacije, moraju pokazati da se te informacije mogu adekvatno zaštititi.
- Oznake "Visoka povjerljivost" ili "Stroga povjerljivost" koriste se za odabir TISAX® zahtjeva koji doprinose ovom cilju zaštite.
- Glavna svrha gore opisane selektivne procjene je osigurati da tvrtke moraju ispuniti samo one zahtjeve ISA kataloga koji su relevantni za njihovu ulogu.
Novi izazovi za proizvodne tvrtke
- OT sustavi moraju podlijegati upravljanju sličnom onom koje se općenito zahtijeva za TISAX® IT sustave.
- Kao rezultat toga, OT u upravljanju imovinom je identificiran sa svojim specifičnim rizicima, analiziran na potencijalne ranjivosti, njime upravljaju kompetentni zaposlenici, podvrgnut procesima usklađenim sa ISMS-om za daljinsko održavanje i drugim najboljim praksama upravljanja.
Zašto je TISAX® koristan za vašu organizaciju?
- Izbjegavanje višestrukih procjena različitih kupaca
- Priznanje procjena informacijske sigurnosti među organizacijama za TISAX® sudionike
- Pouzdanost rezultata zahvaljujući usklađenom VDA ISA katalogu ispitivanja
- Jačanje povjerenja u auditirane organizacije s oznakom TISAX®
Nakon uspješne procjene primit ćete TISAX® oznaku na TISAX® online platformi. Ova oznaka je usporediva s certifikatom i služi za jačanje povjerenja u vašu tvrtku i potvrdu vaših nastojanja da osigurate informacijsku sigurnost.
Kako izgleda sudjelovanje u TISAX®-u?
Poduzeće može preuzeti i obje uloge sudionika. Svatko tko želi sudjelovati u TISAX®-u kao doprinositelj informacija mora poduzeti sljedeća četiri glavna koraka:
1. Registrirajte se online na www.enx.com/TISAX
2. Odaberite pružatelja usluga audita kojeg je odobrio ENX, kao što je DQS
3. Prođite TISAX® procjenu
4. Razmijenite rezultate audita na TISAX® internetskoj platformi.
Ako je tvrtka zainteresirana za vaše TISAX rezultate, može se registrirati kod ENX-a kao "Potrošač informacija". Za svakog Potrošača informacija možete odlučiti želite li s njim podijeliti svoj trenutni TISAX status.
Kako izgleda TISAX® procjena?
Prije nego što počnete s procjenom TISAX®, vaša tvrtka mora definirati jasan opseg. To uključuje razinu ocjenjivanja, koja definira specifične zahtjeve ocjenjivanja. Ovi zahtjevi mogu uključivati osiguranje "raspoloživosti" proizvodnih kapaciteta, jamčenje "povjerljivosti" povjerenih informacija ili osiguranje "dijelova prototipa" i "osobnih podataka". Ovi osnovni kriteriji primjenjuju se na sva mjesta unutar opsega.
Ključni izazov je spajati mjesta sa sličnim zahtjevima u jedan opseg. DQS može pružiti vrijedne smjernice za dizajn ovisno o tome treba li to biti jedan sveobuhvatni opseg ili više opsega. U načelu, postoje prednosti spajanja lokacija pod jednim djelokrugom u obliku mogućeg smanjenja napora audita ako sve lokacije rade pod centraliziranim ISMS-om.
Kao sudionik TISAX®-a prvo se morate registrirati elektroničkom prijavom. Nakon toga ENX dodjeljuje ID opseg. Imajte na umu da postoje naknade za usluge povezane s ovim postupkom registracije, koje će se naplatiti za svaku lokaciju unutar vašeg opsega.
Prvi korak je odabir odobrenog pružatelja usluga provođenja audita. Drugi korak je pregled dokumentacije (samoprocjena, ne na licu mjesta) i naknadna procjena (Razina 2: ne na licu mjesta, Razina 3: na licu mjesta).
Napomena: Postoji alternativna metoda za provođenje procjene Razine 2. Umjesto provjere vjerodostojnosti, vaš pružatelj usluga provođenja audita provodi cijelu procjenu na daljinu. Ova se metoda ponekad naziva Razinom 2.5. Prednost procjene razine 2.5 ja da je pristup metodički kompatibilan s procjenom razine 3. Stoga je moguće prijeći na potpunu procjenu razine 3 kasnije uz razuman napor.
Nalazi TISAX® audita bilježe se u privremenom izvještaju. U slučaju nesukladnosti dogovaraju se mjere koje je potrebno provesti. Po potrebi se provedba mjera utvrđuje u dogovorenom roku. Ovaj postupak osigurava učinkovito i brzo rješavanje svih utvrđenih problema.
Nakon zatvaranja nesukladnosti provodi se provjera učinkovitosti putem audita kako bi se potvrdilo uklanjanje nesukladnosti i procijenila ukupna učinkovitost poduzetih korektivnih radnji.
Završni izvještaj se objavljuje na ENX® internetskom portalu. Tu je vaše poduzeće navedeno kao sudionik s odgovarajućom oznakom audita. Za razliku od ostalih certifikata, ne postoji TISAX® certifikat.
Koliko košta TISAX® procjena?
Ciljevi zaštite, na primjer, odnose se na to želite li u procjenu uključiti teme poput zaštite prototipa ili zaštite podataka. Ako se želite provesti TISAX® audit, razgovarajte s DQS-om, svojim odobrenim pružateljem usluga auditiranja, što je prije moguće. To je jedini način na koji možemo odrediti točan izračun za opseg procjene i pružiti vam pouzdanu ponudu za cijenu vašeg TISAX® certifikata.
Što možete očekivati od nas
- Više od 35 godina iskustva u certificiranju sustava upravljanja i procesa
- Međunarodno priznati certifikati
- Osobna podrška naših stručnjaka - na regionalnoj, nacionalnoj i međunarodnoj razini
- Prilagođene ponude s fleksibilnim uvjetima ugovora bez skrivenih troškova