TISAX certificering van de informatiebeveiliging wordt besproken door een man en vrouw in een controlekamer

Certificação TISAX

O seu inqué­rito


Segurança da informação na indústria automóvel

Você é um fornecedor ou prestador de serviços para a indústria automóvel? Então necessita de provar a disponibilidade dos seus serviços ou da segurança da informação sensível por si recebida. É também esperado de si que forneça evidências sobre o correcto manuseamento de protótipos. Como participante no processo TISAX®, isto é possível através de uma avaliação correspondente, que apenas necessita de ser realizada a cada três anos. A certificação TISAX® é válida para todas as indústrias e define os requisitos de segurança de informação da sua empresa.

Reconhecimento mútuo entre todos os participantes do TISAX®.

Fornecedores e prestadores de serviços alcançam maior confiança na empresa auditada

A avaliação para a certificação TISAX® só se realiza de três em três anos

Poupar tempo e custos ao participar na rede TISAX®.

Informação básica sobre a avaliação TISAX®.

O TISAX® é um procedimento comum de avaliação e intercâmbio para o sector automóvel. É baseado no questionário (ISA - Information Security Assessment) desenvolvido pelo grupo de trabalho da VDA "Information Security", que por sua vez se baseia em aspectos chave da norma internacional ISO/IEC 27001 e foi ampliado para incluir um modelo de maturidade.

ISA refere-se também á ISO/SAE 62443-2-1 para sistemas de controlo industrial para a automatização e monitorização de instalações de produção industriais (IACS) e tecnologias operacionais (OT).

Além disso, os organismos responsáveis da Associação Alemã da Indústria Automóvel (VDA) criaram as condições para o estabelecimento do mecanismo conjunto de avaliação e intercâmbio sob o nome TISAX® (Trusted Information Security Assessment eXchange). O TISAX® é uma marca registada da Associação ENX. A Associação de fabricantes europeus de automóveis, fornecedores e associações do ramo automóvel monitorizam a qualidade das avaliações TISAX® e controlam a aprovação dos prestadores de serviços de auditoria TISAX®.

Mais de 10,000 localizações já foram avaliadas de acordo com o TISAX®, tornando esta norma o segundo conjunto de regras mais amplamente implementado para a segurança da informação a nível mundial, depois da ISO 27001. A VDA e a ENX formaram grupos de trabalho internacionais para o TISAX® e o catálogo ISA para desenvolver ainda mais a norma. Ao mesmo tempo, isto promove uma cooperação mais estreita com a indústria automóvel global. Com o TISAX 6.0, a forma actualizada do procedimento de avaliação e intercâmbio foi publicada no outono de 2023.

Mostrar mais
Mostrar menos

TISAX® 2.2 - Obrigatório a partir de 1 de Abril de 2024 - notas de Transição

As avaliações TISAX® que foram solicitadas até 31 de março de 2024 podem ser realizadas de acordo com a antiga versão 5.1 da ISA. As avaliações iniciais ou de recertificação solicitadas a partir de 1 de abril de 2024 serão realizadas exclusivamente de acordo com o novo procedimento TISAX®, em conformidade com o catálogo 6.0 da ISA. As actividades de auditoria que dependem de auditorias existentes, tais como avaliações de planos de ação correctivos, avaliações de acompanhamento, avaliações de extensão de âmbito ou avaliações de grupos simplificados continuados, continuarão a ser realizadas de acordo com a versão ao abrigo da qual a auditoria original foi realizada.

Informação sobre as alterações chave na nova ISA 6.0 podem ser encontradas no nosso blog post "Novo Catálogo ISA 6.0"

O novo Catálogo ISA 6.0 é um marco importante para o TISAX®. O catálogo de avaliação conduz a ajustes dos requisitos para os prestadores de serviços de auditoria, que foram definidos nos regulamentos TISAX® ACAR 2.2. A alteração da língua principal para inglês sublinha a perspectiva global e os esforços conjuntos para o desenvolvimento mundial. Estão planeadas outras traduções do TISAX VDA 6.0.

As alterações mais importantes no novo catálogo ISA 6.0 são

alterações ás etiquetas de segurança:

  • A Etiqueta de Segurança de Informação é substituída  pelas Etiquetas de Disponibilidade e Confidencialidade. Dependendo do seu papel na cadeia de fornecimento, Disponibilidade e Confidencialidade ou ambas  podem ser relevantes para si.
  • A Etiqueta existente "Segurança de Informação Elevada" será substituída pelas Etiquetas combinadas  "Disponibilidade Elevada" e "Confidencialidade Elevada". O mesmo aplica-se á Etiqueta Segurança de Informação Muito Elevada existente. Será substituída pelas Etiquetas "Disponibilidade Muito Elevada" e "Confidencialidade Rígida".
  • Ambas as etiquetas devem cumprir o mesmo conjunto de requisitos base. Além disso, cada etiqueta tem requisitos específicos para necessidades de proteção elevadas e muito elevadas. O processo de avaliação é orientado pelas etiquetas, tendo em conta o seu papel na cadeia de fornecimento. Por conseguinte, vale a pena verificar com os seus clientes quais as etiquetas que são relevantes para a sua função.Maior atenção à segurança da informação e aos sistemas OT na cadeia de fornecimento.
  • Empresas relevantes na cadeia de fornecimento devem cumprir requisitos de "disponibilidade elevada" ou "disponibilidade muito elevada".
  • Ênfase nos sistemas de Tecnologia Operacional (TO) na produção e noutras áreas da avaliação TISAX®.
  • As referências à norma IEC 62443-2-1 e os novos requisitos do catálogo ISA promovem o foco nas OT.
  • Inclusão de sistemas de comunicação e controlo industriais (IACS).
  • As empresas desta categoria devem demonstrar uma proteção adequada dos dados sensíveis no desenvolvimento e na produção.
  • Muitos dos requisitos sobrepõem-se aos requisitos de "Sensibilidade elevada" ou "Sensibilidade muito elevada".
  • As empresas na cadeia de fornecimento que não são altamente relevantes mas às quais são confiadas informações sensíveis devem demonstrar que estas informações podem ser adequadamente protegidas.
  • Os rótulos "Confidencialidade elevada" ou "Confidencialidade rígida" são utilizados para selecionar os requisitos TISAX® que contribuem para este objectivo de protecção.
  • O principal objetivo da avaliação selectiva acima descrita é assegurar que as empresas apenas têm de cumprir os requisitos do catálogo ISA que são relevantes para a sua função.Novos desafios para as empresas de fabrico
  • Os sistemas OT devem ser objeto de uma gestão semelhante à que é geralmente exigida para os sistemas informáticos TISAX®.
  • Como resultado, a OT na gestão de activos é identificada com os seus riscos específicos, analisada quanto a potenciais vulnerabilidades, gerida por funcionários competentes, sujeita a processos compatíveis com o ISMS para manutenção remota e outras melhores práticas de gestão..
Mostrar mais
Mostrar menos

Quais são as vantagens de uma avaliação TISAX® para a sua empresa?

Como prestador de serviços ou fornecedor do sector automóvel, tem de demonstrar aos seus clientes que cumpre os seus requisitos de segurança da informação. Até agora, estas avaliações eram efectuadas principalmente pelos próprios fabricantes. Os participantes registados na rede TISAX® podem selecionar um prestador de serviços de avaliação através de uma plataforma online comum e encomendar uma avaliação. As vantagens para as empresas superam as desvantagens:

  • Podem ser evitadas avaliações duplicadas e múltiplas por diferentes clientes, poupando tempo e dinheiro.
  • Reconhecimento interempresarial de avaliações para participantes no TISAX
  • Resultados fiáveis graças ao catálogo de avaliação harmonizado, que assegura um processo de avaliação coerente
  • Aumento da confiança na empresa avaliada através de um rótulo TISAX®.

Após uma avaliação bem sucedida, receberá um rótulo TISAX® na plataforma online TISAX®. Esta etiqueta é comparável a um certificado e serve para reforçar a confiança na sua empresa e para confirmar os seus esforços para garantir a segurança da informação.

Mostrar mais
Mostrar menos

Como funciona o TISAX®?

No TISAX® , os participantes podem assumir duas funções diferentes: o "Consumidor de Informação" (passivo), por exemplo, é um fabricante que gostaria de receber informações sobre um fornecedor, e o "Contribuinte de Informação". (activo), é, por exemplo, um fornecedor de peças ou prestador de serviços que gostaria de ser auditado quanto à adequação, a fim de receber pedidos dos fabricantes.

Uma empresa também pode assumir as duas funções de participante. Qualquer pessoa que deseje participar no TISAX® como Contribuinte de Informação deve seguir os quatro passos principais a seguir:

  • 1. Registe-se online em www.enx.com/TISAX.
  • 2. Selecione um provedor de serviços de auditoria aprovado pela ENX, como a DQS
  • 3. Submeter-se a uma avaliação TISAX®.
  • 4. Partilhar os resultados da auditoria na plataforma online TISAX®.

Se uma empresa estiver interessada nos seus resultados TISAX, pode registar-se na ENX como "consumidor de informação". Pode decidir, para cada consumidor de informação, se pretende partilhar com eles o seu estado atual no TISAX.

Mostrar mais
Mostrar menos
Business28.png

Como funciona uma avaliação TISAX®?

Antes de iniciar a avaliação TISAX®, a sua empresa deve definir um âmbito claro. Isto inclui o nível de avaliação, que define os requisitos de avaliação específicos. Estes requisitos podem incluir a garantia da "disponibilidade" das capacidades de produção, a garantia da "confidencialidade" das informações confiadas ou a segurança de "peças de protótipo" e "dados pessoais". Estes critérios de base aplicam-se a todos os sítios abrangidos pelo âmbito de aplicação.


Um desafio fundamental é combinar locais com requisitos semelhantes num único âmbito. A DQS pode fornecer uma valiosa orientação de conceção sobre se deve ser um único âmbito abrangente ou vários âmbitos. Em princípio, existem vantagens em combinar locais num único âmbito, sob a forma de uma possível redução do esforço de auditoria se todos os locais operarem sob um SGSI centralizado

Como participante no TISAX®, deve primeiro registar-se online. A identificação do âmbito será então atribuída pela ENX. Tenha em atenção que existem taxas de serviço associadas a este processo de registo, que serão cobradas por cada localização dentro do seu âmbito

No primeiro passo, você selecciona um prestador de serviços de auditoria aprovado. No segundo passo, há um pontapé de saída, a revisão de documentos (auto-avaliação, não no local) e uma avaliação subsequente (Nível 2: não no local, Nível 3: no local).

Por favor note: Existe um método alternativo para realização de uma avaliação no nível de avaliação 2. Em vez de uma verificação de plausibilidade, o seu fornecedor de serviços de auditoria realiza uma avaliação totalmente remota. Este método é por vezes referido como "Nível de avaliação 2.5". A vantagem de um nível de avaliação 2.5 é que a abordagem é metodicamente compatível com o nível de avaliação 3. É, portanto, possível actualizar para um exame de avaliação nível 3 completo mais tarde com esforço gerido.

Os resultados da auditoria TISAX® são registados num relatório intercalar. Em caso de não-conformidades, são acordadas as medidas a implementar. Se necessário, a implementação das medidas é determinada dentro de um período acordado. Este procedimento garante que todos os problemas identificados são tratados de forma efectiva e rápida.

Uma vez encerradas as não-conformidades, é realizada uma análise da eficácia para validar o encerramento das não-conformidades e avaliar a eficácia global das medidas correctivas tomadas.

O resultado final será publicado online no portal ENX®. A sua empresa será então listada como participante no processo TISAX® com o rótulo de teste correspondente. Ao contrário de outras certificações, não existe um certificado TISAX®.

Banking13.png

Quanto custa a avaliação do TISAX®?

Dois factores importantes influenciam o âmbito de toda a avaliação e, portanto, os custos. As avaliações são possíveis com base num âmbito alargado, num âmbito standard ou num âmbito restrito. A sua decisão por um âmbito deve ser bem preparada e determinada pelos objectivos de protecção desejados, mas também pela dimensão da sua empresa.

As metas de protecção, por exemplo, são sobre se você deseja incluir tópicos como a protecção de protótipos ou a protecção de dados na avaliação. Se você se quiser envolver no procedimento TISAX®, fale com a DQS, seu provedor de serviços de auditoria aprovado, o mais cedo possível. Esta é a única forma de determinarmos o cálculo correto para o âmbito da avaliação e fornecer-lhe um orçamento confiável para o custo da sua certificação TISAX®.

Mostrar mais
Mostrar menos
Business2.png

O que você pode esperar de nós

  • A DQS é um prestador de serviços de auditoria aprovado pela Associação ENX
  • Visão de valor acrescentado sobre a segurança da informação na sua organização
  • Acreditações para todos os regulamentos relevantes na indústria automóvel
  • Auditores e especialistas da indústria com experiência na área
  • Mais de 35 anos de experiência na certificação de sistemas e processos de gestão
  • Certificados com aceitação internacional
  • Apoio pessoal e sem problemas dos nossos especialistas - a nível regional, nacional e internacional
  • Ofertas individuais com condições contractuais flexíveis sem custos ocultos
Mostrar mais
Mostrar menos
TISAX logo on the topic “Availability of results”

Avaliação TISAX®

A DQS GmbH é um participante registado no TISAX® e foi submetida a uma avaliação TISAX® para obter o rótulo "Segurança da informação muito elevada" no nível de avaliação 3. As avaliações TISAX® são efectuadas por prestadores de serviços de avaliação acreditados pela ENX. Os resultados da avaliação TISAX® não se destinam ao público em geral. O resultado da avaliação na DQS GmbH está disponível para os participantes registados através do portal ENX: https://portal.enx.com/

Descarregue o documento aqui
Contact-Europe-man-2-shutterstock_1929520355.jpg

Solicite uma cotação

O seu contacto local

Teremos todo o prazer em lhe fornecer uma oferta personalizada para o processo TISAX.

Sua questão

Alguma pergunta?

Estamos aqui para si.
Contacte-nos