Penilaian TISAX® - Keamanan informasi dalam industri otomotif
Pengakuan timbal balik di antara semua partisipan TISAX®
Pemasok dan penyedia layanan mencapai kepercayaan yang lebih besar pada perusahaan Anda yang diaudit
Penilaian untuk sertifikasi TISAX® hanya dilakukan setiap tiga tahun
Menghemat waktu dan biaya dengan berpartisipasi dalam jaringan TISAX®
Informasi dasar tentang penilaian TISAX®
ISA juga mengacu pada ISO/SAE 62443-2-1 untuk sistem kontrol industri untuk otomatisasi dan pemantauan fasilitas produksi industri (IACS) dan teknologi operasional (OT).
Selain itu, badan yang bertanggung jawab di Asosiasi Industri Otomotif Jerman (VDA) telah menciptakan kondisi untuk menetapkan penilaian bersama dan mekanisme pertukaran dengan nama TISAX® (Trusted Information Security Assessment eXchange/Penilaian Keamanan Informasi Tepercaya eXchange). TISAX® adalah merek dagang terdaftar dari ENX Association. Asosiasi produsen otomotif Eropa, pemasok otomotif, dan asosiasi otomotif memantau kualitas penilaian TISAX® dan mengontrol persetujuan penyedia layanan audit TISAX®.
Lebih dari 10.000 lokasi kini telah dinilai berdasarkan TISAX®, menjadikan standar ini sebagai seperangkat aturan keamanan informasi kedua yang paling banyak diterapkan di seluruh dunia setelah ISO 27001. VDA dan ENX telah membentuk kelompok kerja internasional untuk TISAX® dan katalog ISA untuk mengembangkan standar lebih lanjut. Pada saat yang sama, hal ini mendorong kerja sama yang lebih erat dengan industri otomotif global. Dengan TISAX 6.0, formulir prosedur penilaian dan pertukaran yang diperbarui diterbitkan pada musim gugur tahun 2023.
TISAX® 2.2 - Wajib mulai 1 April 2024 - Catatan transisi
Katalog ISA 6.0 yang baru merupakan tonggak penting bagi TISAX®. Katalog penilaian mengarah pada penyesuaian persyaratan bagi penyedia audit, yang ditetapkan dalam peraturan TISAX® ACAR 2.2. Perubahan bahasa utama ke bahasa Inggris menggarisbawahi perspektif global dan upaya bersama untuk pembangunan di seluruh dunia. Terjemahan lebih lanjut dari TISAX VDA 6.0 direncanakan.
Perubahan terpenting dalam katalog ISA 6.0 yang baru adalah
Perubahan pada label keamanan:
- Label Keamanan Informasi diganti dengan label Ketersediaan dan Kerahasiaan. Bergantung pada peran Anda dalam rantai pasokan, Ketersediaan atau Kerahasiaan atau keduanya mungkin relevan bagi Anda.
- Label "Keamanan Informasi Tinggi" yang ada akan diganti dengan label gabungan "Ketersediaan Tinggi" dan "Kerahasiaan Tinggi". Hal yang sama berlaku untuk label Keamanan Informasi Sangat Tinggi yang sudah ada. Ini akan digantikan oleh "Ketersediaan sangat tinggi" dan "Kerahasiaan ketat".
- Kedua label harus memenuhi persyaratan dasar yang sama. Selain itu, setiap label memiliki persyaratan khusus untuk kebutuhan perlindungan yang tinggi dan sangat tinggi. Proses penilaian ditentukan oleh label, dengan mempertimbangkan peran Anda dalam rantai pasokan. Oleh karena itu, ada baiknya menanyakan kepada pelanggan Anda label mana yang relevan dengan peran Anda.
Peningkatan fokus pada keamanan informasi dan sistem OT dalam rantai pasokan
- Perusahaan terkait dalam rantai pasokan harus memenuhi persyaratan “ketersediaan tinggi” atau “ketersediaan sangat tinggi”.
- Penekanan pada sistem Teknologi Operasional (OT) dalam produksi dan bidang lainnya dalam penilaian TISAX®.
- Referensi pada IEC 62443-2-1 dan persyaratan katalog ISA yang baru mendorong fokus PL.
- Penyertaan Sistem Komunikasi dan Kontrol Industri (IACS).
- Perusahaan dalam kategori ini harus menunjukkan perlindungan yang memadai terhadap data sensitif dalam pengembangan dan produksi.
- Banyak persyaratan yang tumpang tindih dengan "Sensitivitas Tinggi" atau "Sensitivitas Sangat Tinggi".
- Perusahaan-perusahaan dalam rantai pasok yang tidak terlalu relevan namun dipercaya menyimpan informasi sensitif harus menunjukkan bahwa informasi tersebut dapat dilindungi secara memadai.
- Label "Kerahasiaan Tinggi" atau "Kerahasiaan Ketat" digunakan untuk memilih persyaratan TISAX® yang berkontribusi terhadap tujuan perlindungan ini.
- Tujuan utama penilaian selektif yang dijelaskan di atas adalah untuk memastikan bahwa perusahaan hanya perlu memenuhi persyaratan katalog ISA yang relevan dengan peran mereka.
Tantangan Baru Bagi Perusahaan Manufaktur
- Sistem OT harus tunduk pada manajemen serupa dengan yang umumnya diwajibkan untuk sistem TI TISAX®.
- Hasilnya, OT dalam manajemen aset diidentifikasi dengan risiko spesifiknya, dianalisis potensi kerentanannya, dikelola oleh karyawan yang kompeten, menjalani proses yang sesuai dengan ISMS untuk pemeliharaan jarak jauh dan praktik manajemen terbaik lainnya.
Apa manfaat penilaian TISAX® bagi perusahaan Anda?
- Duplikat dan penilaian ganda oleh pelanggan yang berbeda dapat dihindari
- Pengakuan lintas perusahaan atas penilaian keamanan informasi untuk partisipan TISAX®
- Keandalan hasil karena katalog tes ISA VDA yang harmonis
- Penguatan kepercayaan pada perusahaan yang diaudit dengan label TISAX®
Setelah penilaian berhasil, Anda akan menerima label TISAX® di platform online TISAX®. Label ini sebanding dengan sertifikat dan berfungsi untuk memperkuat kepercayaan pada perusahaan Anda dan untuk mengkonfirmasi upaya Anda dalam memastikan keamanan informasi.
Bagaimana TISAX® bekerja?
Sebuah perusahaan juga dapat mengambil kedua peran partisipan. Siapapun yang ingin berpartisipasi dalam TISAX® sebagai Kontributor Informasi harus mengambil empat langkah utama berikut:
- Registrasi online di www.enx.com/TISAX
- Pilih penyedia layanan audit yang disetujui ENX seperti DQS
- Menjalani penilaian TISAX®
- Bertukar hasil audit pada platform online TISAX®.
Jika sebuah perusahaan tertarik dengan hasil TISAX Anda, perusahaan tersebut dapat mendaftar ke ENX sebagai "Konsumen Informasi". Anda dapat memutuskan untuk setiap Konsumen Informasi apakah Anda ingin membagikan status TISAX Anda saat ini kepada mereka.
Bagaimana cara kerja penilaian TISAX®?
Sebelum Anda memulai penilaian TISAX®, perusahaan Anda harus menentukan cakupan yang jelas. Hal ini mencakup tingkat penilaian, yang menentukan persyaratan penilaian spesifik. Persyaratan ini dapat mencakup memastikan "ketersediaan" kapasitas produksi, menjamin "kerahasiaan" informasi yang dipercayakan, atau mengamankan "bagian prototipe" dan "data pribadi". Kriteria dasar ini berlaku untuk semua lokasi dalam cakupannya.
Tantangan utamanya adalah menggabungkan lokasi dengan persyaratan serupa ke dalam satu cakupan. DQS dapat memberikan panduan desain yang berharga mengenai apakah itu harus berupa cakupan tunggal yang komprehensif atau cakupan ganda. Pada prinsipnya, terdapat keuntungan menggabungkan lokasi dalam satu lingkup dalam bentuk kemungkinan pengurangan upaya audit jika semua lokasi beroperasi di bawah SMKI/ISMS terpusat.
Sebagai peserta TISAX® Anda harus mendaftar terlebih dahulu secara online. ID cakupan kemudian akan ditetapkan oleh ENX. Harap dicatat bahwa ada biaya layanan yang terkait dengan proses pendaftaran ini, yang akan dikenakan untuk setiap lokasi dalam cakupan Anda.
Pada langkah pertama, Anda memilih penyedia layanan audit yang disetujui. Pada langkah kedua, ada kick-off, tinjauan dokumen (penilaian sendiri, bukan di tempat) dan penilaian selanjutnya (Level 2: tidak di lokasi, Level 3: di lokasi).
Harap diperhatikan: Ada metode alternatif untuk melakukan penilaian di Asesmen Level 2. Alih-alih pemeriksaan plausibilitas, penyedia layanan audit Anda melakukan penilaian jarak jauh secara penuh. Metode ini kadang-kadang disebut sebagai "Asesmen Level 2.5." Keuntungan dari Asesmen Level 2.5 adalah bahwa pendekatan ini secara metodologis kompatibel dengan Asesmen Level 3. Oleh karena itu, dimungkinkan untuk meningkatkan ke ujian Asesmen Level 3 penuh di kemudian hari dengan upaya yang dapat dikelola.
Hasil audit TISAX® dicatat dalam laporan sementara. Jika terjadi ketidaksesuaian, langkah-langkah yang akan diterapkan disepakati. Jika perlu, pelaksanaan tindakan tersebut ditentukan dalam jangka waktu yang disepakati. Prosedur ini memastikan bahwa semua masalah yang teridentifikasi ditangani secara efektif dan segera.
Setelah ketidaksesuaian telah ditutup, tinjauan efektivitas dilakukan untuk memvalidasi penutupan ketidaksesuaian dan untuk menilai efektivitas keseluruhan tindakan perbaikan yang diambil.
Hasil akhir akan dipublikasikan secara online di portal ENX®. Perusahaan Anda kemudian akan terdaftar sebagai peserta dalam proses TISAX® dengan label pengujian yang sesuai. Berbeda dengan sertifikasi lainnya, tidak ada sertifikat TISAX®.
Berapa biaya penilaian TISAX®?
Sasaran perlindungan, misalnya, adalah tentang apakah Anda ingin menyertakan topik seperti perlindungan prototipe atau perlindungan data dalam penilaian. Jika Anda ingin terlibat dalam prosedur TISAX®, bicarakan dengan DQS, penyedia layanan audit Anda yang disetujui, sedini mungkin. Ini adalah satu-satunya cara kami dapat menentukan penghitungan yang benar untuk cakupan penilaian, dan memberikan penawaran yang dapat diandalkan untuk biaya sertifikasi TISAX® Anda.
Apa yang dapat Anda harapkan dari kami
- Lebih dari 35 tahun pengalaman dalam sertifikasi sistem manajemen dan proses
- Sertifikat dengan penerimaan internasional
- Dukungan personal dan lancar dari spesialis kami - secara regional, nasional, dan internasional
- Penawaran individu dengan persyaratan kontrak yang fleksibel tanpa biaya tersembunyi