Certifikácia a hodnotenie TISAX® s DQS

Hodnotenie TISAX® - Bezpečnosť informácií v automobilovom priemysle

Ste dodávateľ alebo poskytovateľ služieb pre automobilový priemysel? Potom potrebujete preukázať dostupnosť svojich služieb alebo bezpečnosť citlivých informácií, ktoré dostávate. Očakáva sa od vás aj dôkaz o správnom zaobchádzaní s prototypmi. Ako účastník procesu TISAX® to môžete urobiť prostredníctvom príslušného hodnotenia, ktoré stačí vykonať každé tri roky. Certifikácia TISAX® je platná pre všetky odvetvia a definuje požiadavky na bezpečnosť informácií vašej spoločnosti.

Vzájomné uznávanie medzi všetkými účastníkmi systému TISAX®

Dodávatelia a poskytovatelia služieb dosahujú väčšiu dôveru vo vašu auditovanú spoločnosť

Hodnotenie na získanie certifikátu TISAX® sa uskutočňuje len každé tri roky

Úspora času a nákladov vďaka účasti v sieti TISAX®

Základné informácie o hodnotení TISAX®

TISAX® je spoločný postup hodnotenia a výmeny informácií pre automobilový priemysel. Je založený na dotazníku (ISA - Information Security Assessment), ktorý vypracovala pracovná skupina VDA "Bezpečnosť informácií", ktorý je zasa založený na kľúčových aspektoch medzinárodnej normy ISO/IEC 27001 a bol rozšírený o model vyspelosti.

ISA tiež odkazuje na normu ISO/SAE 62443-2-1 pre priemyselné riadiace systémy na automatizáciu a monitorovanie priemyselných výrobných zariadení (IACS) a prevádzkových technológií (OT).

Okrem toho zodpovedné orgány Nemeckého združenia automobilového priemyslu (VDA) vytvorili podmienky na vytvorenie spoločného mechanizmu hodnotenia a výmeny pod názvom TISAX® (Trusted Information Security Assessment eXchange). TISAX® je registrovaná ochranná známka združenia ENX. Združenie európskych výrobcov automobilov, dodávateľov automobilov a združení automobilového priemyslu monitoruje kvalitu hodnotení TISAX® a kontroluje schvaľovanie poskytovateľov audítorských služieb TISAX®.

V súčasnosti bolo podľa normy TISAX® posúdených viac ako 10 000 pracovísk, čím sa táto norma stala po norme ISO 27001 druhým najrozšírenejším súborom pravidiel pre bezpečnosť informácií na svete. Spoločnosti VDA a ENX vytvorili medzinárodné pracovné skupiny pre TISAX® a katalóg ISA s cieľom ďalej rozvíjať túto normu. Zároveň tým podporujú užšiu spoluprácu s globálnym automobilovým priemyslom. S verziou TISAX 6.0 bola na jeseň 2023 zverejnená aktualizovaná podoba postupu posudzovania a výmeny.

Zobraziť viac

Zobraziť menej

TISAX® 2.2 - povinný od 1. apríla 2024 - poznámky k prechodu na novú normu

Posúdenia TISAX®, ktoré boli uvedené do prevádzky do 31. marca 2024, sa môžu vykonať podľa starej verzie ISA 5.1. Prvotné alebo recertifikačné posúdenia zadané od 1. apríla 2024 sa budú vykonávať výlučne podľa nového postupu TISAX® v súlade s katalógom ISA 6.0. Audítorské činnosti, ktoré sú závislé od existujúcich auditov, ako napríklad posúdenia plánu nápravných opatrení, následné posúdenia, posúdenia rozšírenia rozsahu alebo pokračujúce zjednodušené skupinové posúdenia, sa budú naďalej vykonávať v súlade s verziou, podľa ktorej bol vykonaný pôvodný audit.Informácie o kľúčových zmenách v novom ISA 6.0 nájdete v našom blogovom príspevku „Nový katalóg ISA 6.0“ .

Nový katalóg ISA 6.0 je pre spoločnosť TISAX® dôležitým míľnikom. Katalóg hodnotenia vedie k úpravám požiadaviek na poskytovateľov auditu, ktoré boli definované v predpisoch TISAX® ACAR 2.2. Zmena hlavného jazyka na angličtinu zdôrazňuje globálnu perspektívu a spoločné úsilie o celosvetový rozvoj. Plánujú sa ďalšie preklady TISAX VDA 6.0. Najdôležitejšie zmeny v novom katalógu ISA 6.0 sú Zmeny v bezpečnostných značkách:

Označenie Bezpečnosť informácií je nahradené označením Dostupnosť a Dôvernosť. V závislosti od vašej úlohy v dodávateľskom reťazci pre vás môže byť relevantná Dostupnosť alebo Dôvernosť, prípadne obe.
Existujúci štítok „Information Security High“ (Vysoká bezpečnosť informácií) bude nahradený kombinovaným štítkom „Availability High“ (Vysoká dostupnosť) a „Confidentiality High“ (Vysoká dôvernosť). To isté platí pre existujúci štítok „Information Security Very High“ (Bezpečnosť informácií veľmi vysoká). Bude nahradený označením „Dostupnosť veľmi vysoká“ a „Dôvernosť prísna“.
Obe označenia musia spĺňať rovnaký súbor základných požiadaviek. Okrem toho má každý štítok špecifické požiadavky pre vysoké a veľmi vysoké potreby ochrany. Proces hodnotenia sa riadi štítkami, pričom sa zohľadňuje vaša úloha v dodávateľskom reťazci. Preto sa oplatí overiť si u svojich zákazníkov, ktoré značky sú relevantné pre vašu úlohu.

Zvýšený dôraz na bezpečnosť informácií a OT systémy v dodávateľskom reťazci

Príslušné spoločnosti v dodávateľskom reťazci musia spĺňať požiadavky „vysokej dostupnosti“ alebo „veľmi vysokej dostupnosti“.
Dôraz na systémy operačných technológií (OT) vo výrobe a iných oblastiach v rámci hodnotenia TISAX®.
Odkazy na normu IEC 62443-2-1 a nové požiadavky katalógu ISA podporujú zameranie na OT.
Zahrnutie priemyselných komunikačných a riadiacich systémov (IACS).
Spoločnosti v tejto kategórii musia preukázať primeranú ochranu citlivých údajov pri vývoji a výrobe.
Mnohé z požiadaviek sa prekrývajú s požiadavkami na „vysokú citlivosť“ alebo „veľmi vysokú citlivosť“.
Spoločnosti v dodávateľskom reťazci, ktoré nie sú vysoko relevantné, ale sú im zverené citlivé informácie, musia preukázať, že tieto informácie môžu byť primerane chránené.
Označenia „Vysoká dôvernosť“ alebo „Prísna dôvernosť“ sa používajú na výber požiadaviek TISAX® , ktoré prispievajú k tomuto cieľu ochrany.
Hlavným účelom uvedeného selektívneho posudzovania je zabezpečiť, aby spoločnosti museli spĺňať len tie požiadavky katalógu ISA, ktoré sú relevantné pre ich úlohu.

Nové výzvy pre výrobné spoločnosti

Systémy OT musia podliehať riadeniu podobnému tomu, ktoré sa všeobecne vyžaduje pre IT systémy TISAX® .
Výsledkom je, že OT v správe aktív sa identifikuje so svojimi špecifickými rizikami, analyzuje sa na potenciálne zraniteľnosti, spravujú ho kompetentní zamestnanci, podlieha procesom vzdialenej údržby v súlade s ISMS a ďalším osvedčeným postupom riadenia.

Zobraziť viac

Zobraziť menej

Aké sú výhody hodnotenia TISAX® pre vašu spoločnosť?

Ako poskytovateľ alebo dodávateľ služieb pre automobilový priemysel musíte svojim zákazníkom preukázať, že spĺňate ich požiadavky na bezpečnosť informácií. Doteraz tieto hodnotenia vykonávali najmä samotní výrobcovia. Registrovaní účastníci siete TISAX® si môžu vybrať poskytovateľa služieb posudzovania prostredníctvom spoločnej online platformy a objednať si posúdenie. Výhody pre spoločnosti prevažujú nad nevýhodami:

Dá sa vyhnúť duplicitným a viacnásobným posúdeniam zo strany rôznych klientov, čo šetrí čas a peniaze.
Uznávanie hodnotení medzi spoločnosťami pre účastníkov systému TISAX®
Spoľahlivé výsledky vďaka harmonizovanému katalógu hodnotení, ktorý zabezpečuje konzistentný proces hodnotenia
Zvýšená dôvera v hodnotenú spoločnosť vďaka značke TISAX®

Po úspešnom hodnotení získate na online platforme TISAX® štítok TISAX®. Tento štítok je porovnateľný s certifikátom a slúži na posilnenie dôvery vo vašu spoločnosť a na potvrdenie vášho úsilia o zaistenie bezpečnosti informácií.

Ako funguje systém TISAX®?

V systéme TISAX® môžu účastníci prevziať dve rôzne úlohy: "spotrebiteľ informácií" (pasívny), napríklad je to výrobca, ktorý by chcel získať informácie o dodávateľovi, a "prispievateľ informácií" (aktívny), napríklad je to dodávateľ dielov alebo poskytovateľ služieb, ktorý by chcel byť preverený z hľadiska vhodnosti, aby mohol prijímať objednávky od výrobcov.

Spoločnosť môže prevziať aj obe úlohy účastníka. Každý, kto sa chce zúčastniť na systéme TISAX® ako prispievateľ informácií, musí vykonať tieto štyri hlavné kroky:

1. Zaregistrovať sa online na stránke www.enx.com/TISAX.
2. Vybrať poskytovateľa audítorských služieb schváleného ENX, ako je napríklad DQS.
3. Absolvujte hodnotenie TISAX®
4. Vymeniť výsledky auditu na online platforme TISAX®.

Ak má spoločnosť záujem o vaše výsledky TISAX, môže sa zaregistrovať v systéme ENX ako „spotrebiteľ informácií“. Pre každého spotrebiteľa informácií sa môžete rozhodnúť, či s ním chcete zdieľať svoj aktuálny stav TISAX.

Zobraziť viac

Zobraziť menej

Ako funguje hodnotenie TISAX®?

Predtým, ako začnete s hodnotením TISAX®, musí vaša spoločnosť definovať jasný rozsah. To zahŕňa úroveň hodnotenia, ktorá definuje konkrétne požiadavky na hodnotenie. Tieto požiadavky môžu zahŕňať zabezpečenie „dostupnosti“ výrobných kapacít, zaručenie „dôvernosti“ zverených informácií alebo zabezpečenie „prototypových dielov“ a „osobných údajov“. Tieto základné kritériá sa vzťahujú na všetky pracoviská v rámci rozsahu pôsobnosti.
Kľúčovou výzvou je spojiť pracoviská s podobnými požiadavkami do jedného rozsahu pôsobnosti. Systém DQS môže poskytnúť cenné usmernenia k návrhu, či by malo ísť o jeden komplexný rozsah pôsobnosti alebo o viacero rozsahov. Spojenie lokalít do jedného rozsahu pôsobnosti má v zásade výhody v podobe možného zníženia náročnosti auditu, ak všetky lokality fungujú v rámci centralizovaného systému ISMS.

V prvom kroku si vyberiete schváleného poskytovateľa audítorských služieb. V druhom kroku sa uskutoční úvodné hodnotenie, preskúmanie dokumentov (samohodnotenie, nie na mieste) a následné hodnotenie (úroveň 2: nie na mieste, úroveň 3: na mieste).

Upozornenie: V rámci úrovne hodnotenia 2 existuje alternatívny spôsob hodnotenia. Namiesto kontroly hodnovernosti vykoná váš poskytovateľ audítorských služieb úplné posúdenie na diaľku. Táto metóda sa niekedy označuje ako "úroveň posúdenia 2.5". Výhodou úrovne posúdenia 2,5 je, že tento prístup je metodicky kompatibilný s úrovňou posúdenia 3. Preto je možné neskôr prejsť na úplnú skúšku Assessment Level 3 s vynaložením zvládnuteľného úsilia.

Výsledky auditu TISAX® sú zaznamenané v priebežnej správe. V prípade nezhôd sa dohodnú opatrenia, ktoré sa majú vykonať. V prípade potreby sa určí realizácia opatrení v rámci dohodnutého obdobia. Tento postup zabezpečuje, že všetky zistené problémy sa riešia účinne a bezodkladne.

Po uzavretí nezhôd sa vykoná preskúmanie účinnosti s cieľom potvrdiť uzavretie nezhôd a posúdiť celkovú účinnosť prijatých nápravných opatrení.

Konečný výsledok bude zverejnený online na portáli ENX®. Vaša spoločnosť bude následne uvedená ako účastník procesu TISAX® s príslušným označením testu. Na rozdiel od iných certifikácií neexistuje certifikát TISAX®.

Koľko stojí hodnotenie TISAX®?

Rozsah celého hodnotenia, a teda aj náklady, ovplyvňujú dva dôležité faktory. Posúdenie je možné na základe rozšíreného rozsahu, štandardného rozsahu alebo obmedzeného rozsahu. Vaše rozhodnutie pre rozsah by malo byť dobre pripravené a určené požadovanými cieľmi ochrany, ale aj veľkosťou vašej spoločnosti.

Ciele ochrany sa týkajú napríklad toho, či chcete do posúdenia zahrnúť témy, ako je ochrana prototypov alebo ochrana údajov. Ak sa chcete zapojiť do postupu TISAX®, čo najskôr sa poraďte so spoločnosťou DQS, schváleným poskytovateľom audítorských služieb. Len tak môžeme určiť správny výpočet rozsahu hodnotenia a poskytnúť vám spoľahlivú cenovú ponuku na náklady na certifikáciu TISAX®.

Zobraziť viac

Zobraziť menej

Čo môžete od nás očakávať

Spoločnosť DQS je schváleným poskytovateľom audítorských služieb združenia ENX
Poznatky o informačnej bezpečnosti vo vašej organizácii s pridanou hodnotou
Akreditácie pre všetky príslušné predpisy v automobilovom priemysle
Skúsení audítori a odborníci z odvetvia

Viac ako 35 rokov skúseností s certifikáciou systémov riadenia a procesov
Certifikáty s medzinárodnou akceptáciou
Osobná a plynulá podpora našich špecialistov - regionálna, národná a medzinárodná
Individuálne ponuky s flexibilnými zmluvnými podmienkami bez skrytých nákladov

Zobraziť viac

Zobraziť menej

Hodnotenie TISAX®

Spoločnosť DQS GmbH je registrovaným účastníkom TISAX® a prešla hodnotením TISAX® pre značku „Informačná bezpečnosť veľmi vysoká“ na úrovni hodnotenia 3. Hodnotenia TISAX® vykonávajú akreditovaní poskytovatelia hodnotiacich služieb ENX. Výsledky hodnotenia TISAX® nie sú určené pre širokú verejnosť. Výsledok hodnotenia v spoločnosti DQS GmbH je registrovaným účastníkom k dispozícii prostredníctvom portálu ENX: https://portal.enx.com/.

Stiahnite si dokument tu