Hodnotenie TISAX® - Bezpečnosť informácií v automobilovom priemysle
Vzájomné uznávanie medzi všetkými účastníkmi systému TISAX®
Dodávatelia a poskytovatelia služieb dosahujú väčšiu dôveru vo vašu auditovanú spoločnosť
Hodnotenie na získanie certifikátu TISAX® sa uskutočňuje len každé tri roky
Úspora času a nákladov vďaka účasti v sieti TISAX®
Základné informácie o hodnotení TISAX®
ISA tiež odkazuje na normu ISO/SAE 62443-2-1 pre priemyselné riadiace systémy na automatizáciu a monitorovanie priemyselných výrobných zariadení (IACS) a prevádzkových technológií (OT).
Okrem toho zodpovedné orgány Nemeckého združenia automobilového priemyslu (VDA) vytvorili podmienky na vytvorenie spoločného mechanizmu hodnotenia a výmeny pod názvom TISAX® (Trusted Information Security Assessment eXchange). TISAX® je registrovaná ochranná známka združenia ENX. Združenie európskych výrobcov automobilov, dodávateľov automobilov a združení automobilového priemyslu monitoruje kvalitu hodnotení TISAX® a kontroluje schvaľovanie poskytovateľov audítorských služieb TISAX®.
V súčasnosti bolo podľa normy TISAX® posúdených viac ako 10 000 pracovísk, čím sa táto norma stala po norme ISO 27001 druhým najrozšírenejším súborom pravidiel pre bezpečnosť informácií na svete. Spoločnosti VDA a ENX vytvorili medzinárodné pracovné skupiny pre TISAX® a katalóg ISA s cieľom ďalej rozvíjať túto normu. Zároveň tým podporujú užšiu spoluprácu s globálnym automobilovým priemyslom. S verziou TISAX 6.0 bola na jeseň 2023 zverejnená aktualizovaná podoba postupu posudzovania a výmeny.
TISAX® 2.2 - povinný od 1. apríla 2024 - poznámky k prechodu na novú normu
Nový katalóg ISA 6.0 je pre spoločnosť TISAX® dôležitým míľnikom. Katalóg hodnotenia vedie k úpravám požiadaviek na poskytovateľov auditu, ktoré boli definované v predpisoch TISAX® ACAR 2.2. Zmena hlavného jazyka na angličtinu zdôrazňuje globálnu perspektívu a spoločné úsilie o celosvetový rozvoj. Plánujú sa ďalšie preklady TISAX VDA 6.0. Najdôležitejšie zmeny v novom katalógu ISA 6.0 sú Zmeny v bezpečnostných značkách:
- Označenie Bezpečnosť informácií je nahradené označením Dostupnosť a Dôvernosť. V závislosti od vašej úlohy v dodávateľskom reťazci pre vás môže byť relevantná Dostupnosť alebo Dôvernosť, prípadne obe.
- Existujúci štítok „Information Security High“ (Vysoká bezpečnosť informácií) bude nahradený kombinovaným štítkom „Availability High“ (Vysoká dostupnosť) a „Confidentiality High“ (Vysoká dôvernosť). To isté platí pre existujúci štítok „Information Security Very High“ (Bezpečnosť informácií veľmi vysoká). Bude nahradený označením „Dostupnosť veľmi vysoká“ a „Dôvernosť prísna“.
- Obe označenia musia spĺňať rovnaký súbor základných požiadaviek. Okrem toho má každý štítok špecifické požiadavky pre vysoké a veľmi vysoké potreby ochrany. Proces hodnotenia sa riadi štítkami, pričom sa zohľadňuje vaša úloha v dodávateľskom reťazci. Preto sa oplatí overiť si u svojich zákazníkov, ktoré značky sú relevantné pre vašu úlohu.
Zvýšený dôraz na bezpečnosť informácií a OT systémy v dodávateľskom reťazci
- Príslušné spoločnosti v dodávateľskom reťazci musia spĺňať požiadavky „vysokej dostupnosti“ alebo „veľmi vysokej dostupnosti“.
- Dôraz na systémy operačných technológií (OT) vo výrobe a iných oblastiach v rámci hodnotenia TISAX®.
- Odkazy na normu IEC 62443-2-1 a nové požiadavky katalógu ISA podporujú zameranie na OT.
- Zahrnutie priemyselných komunikačných a riadiacich systémov (IACS).
- Spoločnosti v tejto kategórii musia preukázať primeranú ochranu citlivých údajov pri vývoji a výrobe.
- Mnohé z požiadaviek sa prekrývajú s požiadavkami na „vysokú citlivosť“ alebo „veľmi vysokú citlivosť“.
- Spoločnosti v dodávateľskom reťazci, ktoré nie sú vysoko relevantné, ale sú im zverené citlivé informácie, musia preukázať, že tieto informácie môžu byť primerane chránené.
- Označenia „Vysoká dôvernosť“ alebo „Prísna dôvernosť“ sa používajú na výber požiadaviek TISAX® , ktoré prispievajú k tomuto cieľu ochrany.
- Hlavným účelom uvedeného selektívneho posudzovania je zabezpečiť, aby spoločnosti museli spĺňať len tie požiadavky katalógu ISA, ktoré sú relevantné pre ich úlohu.
Nové výzvy pre výrobné spoločnosti
- Systémy OT musia podliehať riadeniu podobnému tomu, ktoré sa všeobecne vyžaduje pre IT systémy TISAX® .
- Výsledkom je, že OT v správe aktív sa identifikuje so svojimi špecifickými rizikami, analyzuje sa na potenciálne zraniteľnosti, spravujú ho kompetentní zamestnanci, podlieha procesom vzdialenej údržby v súlade s ISMS a ďalším osvedčeným postupom riadenia.
Aké sú výhody hodnotenia TISAX® pre vašu spoločnosť?
Ako funguje systém TISAX®?
Spoločnosť môže prevziať aj obe úlohy účastníka. Každý, kto sa chce zúčastniť na systéme TISAX® ako prispievateľ informácií, musí vykonať tieto štyri hlavné kroky:
- 1. Zaregistrovať sa online na stránke www.enx.com/TISAX.
- 2. Vybrať poskytovateľa audítorských služieb schváleného ENX, ako je napríklad DQS.
- 3. Absolvujte hodnotenie TISAX®
- 4. Vymeniť výsledky auditu na online platforme TISAX®.
Ak má spoločnosť záujem o vaše výsledky TISAX, môže sa zaregistrovať v systéme ENX ako „spotrebiteľ informácií“. Pre každého spotrebiteľa informácií sa môžete rozhodnúť, či s ním chcete zdieľať svoj aktuálny stav TISAX.
Ako funguje hodnotenie TISAX®?
Predtým, ako začnete s hodnotením TISAX®, musí vaša spoločnosť definovať jasný rozsah. To zahŕňa úroveň hodnotenia, ktorá definuje konkrétne požiadavky na hodnotenie. Tieto požiadavky môžu zahŕňať zabezpečenie „dostupnosti“ výrobných kapacít, zaručenie „dôvernosti“ zverených informácií alebo zabezpečenie „prototypových dielov“ a „osobných údajov“. Tieto základné kritériá sa vzťahujú na všetky pracoviská v rámci rozsahu pôsobnosti.
Kľúčovou výzvou je spojiť pracoviská s podobnými požiadavkami do jedného rozsahu pôsobnosti. Systém DQS môže poskytnúť cenné usmernenia k návrhu, či by malo ísť o jeden komplexný rozsah pôsobnosti alebo o viacero rozsahov. Spojenie lokalít do jedného rozsahu pôsobnosti má v zásade výhody v podobe možného zníženia náročnosti auditu, ak všetky lokality fungujú v rámci centralizovaného systému ISMS.
V prvom kroku si vyberiete schváleného poskytovateľa audítorských služieb. V druhom kroku sa uskutoční úvodné hodnotenie, preskúmanie dokumentov (samohodnotenie, nie na mieste) a následné hodnotenie (úroveň 2: nie na mieste, úroveň 3: na mieste).
Upozornenie: V rámci úrovne hodnotenia 2 existuje alternatívny spôsob hodnotenia. Namiesto kontroly hodnovernosti vykoná váš poskytovateľ audítorských služieb úplné posúdenie na diaľku. Táto metóda sa niekedy označuje ako "úroveň posúdenia 2.5". Výhodou úrovne posúdenia 2,5 je, že tento prístup je metodicky kompatibilný s úrovňou posúdenia 3. Preto je možné neskôr prejsť na úplnú skúšku Assessment Level 3 s vynaložením zvládnuteľného úsilia.
Výsledky auditu TISAX® sú zaznamenané v priebežnej správe. V prípade nezhôd sa dohodnú opatrenia, ktoré sa majú vykonať. V prípade potreby sa určí realizácia opatrení v rámci dohodnutého obdobia. Tento postup zabezpečuje, že všetky zistené problémy sa riešia účinne a bezodkladne.
Po uzavretí nezhôd sa vykoná preskúmanie účinnosti s cieľom potvrdiť uzavretie nezhôd a posúdiť celkovú účinnosť prijatých nápravných opatrení.
Konečný výsledok bude zverejnený online na portáli ENX®. Vaša spoločnosť bude následne uvedená ako účastník procesu TISAX® s príslušným označením testu. Na rozdiel od iných certifikácií neexistuje certifikát TISAX®.
Koľko stojí hodnotenie TISAX®?
Ciele ochrany sa týkajú napríklad toho, či chcete do posúdenia zahrnúť témy, ako je ochrana prototypov alebo ochrana údajov. Ak sa chcete zapojiť do postupu TISAX®, čo najskôr sa poraďte so spoločnosťou DQS, schváleným poskytovateľom audítorských služieb. Len tak môžeme určiť správny výpočet rozsahu hodnotenia a poskytnúť vám spoľahlivú cenovú ponuku na náklady na certifikáciu TISAX®.
Čo môžete od nás očakávať
- Viac ako 35 rokov skúseností s certifikáciou systémov riadenia a procesov
- Certifikáty s medzinárodnou akceptáciou
- Osobná a plynulá podpora našich špecialistov - regionálna, národná a medzinárodná
- Individuálne ponuky s flexibilnými zmluvnými podmienkami bez skrytých nákladov
Hodnotenie TISAX®
Spoločnosť DQS GmbH je registrovaným účastníkom TISAX® a prešla hodnotením TISAX® pre značku „Informačná bezpečnosť veľmi vysoká“ na úrovni hodnotenia 3. Hodnotenia TISAX® vykonávajú akreditovaní poskytovatelia hodnotiacich služieb ENX. Výsledky hodnotenia TISAX® nie sú určené pre širokú verejnosť. Výsledok hodnotenia v spoločnosti DQS GmbH je registrovaným účastníkom k dispozícii prostredníctvom portálu ENX: https://portal.enx.com/.