TISAX® (Trusted Information Security Assessment Exchange) to globalny proces oceny bezpieczeństwa informacji w branży motoryzacyjnej opracowany przez niemiecką organizację ENX Association. Opiera się na kwestionariuszu bezpieczeństwa informacji (ISA – Information Security Assessment) opracowanym przez VDA (Verband der Automobilindustrie), czyli Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego.
Od lipca 2020 r. obowiązywała wersja 5.0 kwestionariusza VDA ISA. Natomiast w październiku 2023 r. na stronie ENX pojawiła się nowa wersja checklisty VDA ISA 6.0.
Celem TISAX® jest zapewnienie jednolitego poziomu bezpieczeństwa informacji w całym łańcuchu dostaw w przemyśle motoryzacyjnym.
Jakie są kluczowe aspekty TISAX®?
Zabezpieczenie poufnych informacji, prototypów, ochrona reputacji marki i budowanie lojalności klientów to jedne z najważniejszych zadań TISAX®. Do kluczowych aspektów procesu należą:
- Zabezpieczenie danych
- Ochrona informacji poufnych – dotyczy różnego rodzaju informacji obejmujących dane klientów, tajemnice handlowe, projekty techniczne, innowacje i inne wrażliwe dane, które w istotny sposób wpływają na przedsiębiorstwa motoryzacyjne.
- Zapobieganie wyciekom danych – zarówno tym celowym jak i przypadkowym poprzez wdrożenie odpowiednich środków zabezpieczeń, takich jak szyfrowanie, kontrola dostępu i monitoring systemów.
- Standaryzacja
- Jednolite wymogi – TISAX® eliminuje różnice w podejściu do bezpieczeństwa informacji między różnymi firmami i dostawcami, co ułatwia współpracę i wymianę danych w branży motoryzacyjnej.
- Zgodność z międzynarodowymi normami – TISAX® czerpie z uznanych międzynarodowych standardów, takich jak ISO/IEC 27001, co gwarantuje zgodność z najlepszymi praktykami w zakresie zarządzania bezpieczeństwem informacji.
- Ocena i certyfikacja
- Audyty – w skład procesu oceny wchodzą szczegółowe audyty przeprowadzone przez akredytowane jednostki certyfikujące, które weryfikują zgodność firmy z wymaganiami TISAX®. W trakcie audytów analizowane są procesy, polityki oraz technologie stosowane przez firmę.
- Akredytowane jednostki certyfikujące – audyty TISAX® przeprowadzają niezależne i akredytowane jednostki certyfikujące w celu zapewnienia obiektywizmu i rzetelności oceny.
- Wymiana wyników
- Platforma wymiany – ENX Association udostępnia wyniki TISAX® w swojej własnej platformie. Dzięki temu firmy mogą w prosty sposób udostępnić i zweryfikować wyniki oceny bezpieczeństwa swoich partnerów biznesowych.
- Transparentność i zaufanie – wymiana wyników TISAX® na platformie ENX Association pomaga budować zaufanie i zwiększa przejrzystość łańcucha dostaw. Firmy uczestniczące w wymianie wyników mogą być pewne, że ich partnerzy spełniają wysokie standardy bezpieczeństwa.
Proces certyfikacji TISAX®
Proces TISAX® składa się z trzech głównych etapów:
- Rejestracja
- Ocena
- Wymiana
Stanowią one ocenę dojrzałości systemów bezpieczeństwa informacji branży motoryzacyjnej. Pokrótce je opiszemy.
Rejestracja
W pierwszym kroku firma rejestruje na platformie Stowarzyszenia ENX. W trakcie rejestracji organizacja dostarcza wymaganych informacji o przedsiębiorstwie, określa zakres oceny, czyli które części i jakie procesy należy objąć audytem.
Ocena
Ten etap przebiega na podstawie katalogu ocen VDA-ISA. Polega na przeprowadzeniu samooceny swoich systemów bezpieczeństwa informacji. Te czynności mogą obejmować analizę technicznych środków zabezpieczeń, procedur zarządzania danymi oraz świadomości pracowników na temat bezpieczeństwa informacji.
Samoocena pomaga zidentyfikować luki i obszary wymagające poprawy przed właściwym audytem. Wyniki samooceny warto dokumentować, co pozwala firmie przygotować się do formalnego audytu. Dokumentacja może zawierać szczegółowe opisy procesów, wykaz używanych technologii oraz raporty dotyczące ryzyka i zarządzania incydentami.
Po etapie samooceny, firmy przygotowują się do audytu zewnętrznego. Wprowadzają niezbędne korekty i udoskonalenia w swoich systemach bezpieczeństwa informacji.
W kolejnym kroku firma wybiera akredytowaną jednostkę certyfikującą. Wybór odpowiedniego audytora to element kluczowy, ponieważ musi posiadać wysokie kompetencje oraz bardzo dobrze znać wymagania TISAX®.
Następnie akredytowana jednostka certyfikująca przeprowadza audyt, który obejmuje szczegółową analizę zgodności z wymaganiami TISAX®. Audytorzy dokonują przeglądu dokumentacji, wywiady z pracownikami oraz inspekcję technicznych środków zabezpieczeń.
Po ukończeniu audytu, audytorzy sporządzają szczegółowy raport, w którym opisują wyniki, w tym wszelkie niezgodności i zalecenia dotyczące poprawy. Firma ma możliwość zapoznania się z wynikami oraz wprowadzenia korekt przed ostatecznym zatwierdzeniem certyfikacji. Następnie audytor może przeprowadzić dodatkową ocenę, aby upewnić się, że wszystkie niezgodności zostały usunięte.
Wymiana
Wyniki audytu zostają opisane w szczegółowym raporcie, który określa stopień zgodności z wymaganiami TISAX® oraz wszelkie zalecenia dotyczące poprawy. Następnie wyniki zostają udostępnione w ramach platformy Stowarzyszenia ENX. Ma to na celu wspieranie wzajemnej transparentności i zaufania między firmami.
Ciągłe doskonalenie
Certyfikacja TISAX® to proces ciągłego doskonalenia. Po uzyskaniu certyfikacji firmy zobowiązane są do ciągłego monitorowania i doskonalenia swoich systemów bezpieczeństwa informacji w celu dalszego utrzymania zgodności z wymaganiami procesu.
Trzeba też pamiętać, że certyfikacja TISAX® wymaga regularnych reaudycji zazwyczaj co trzy lata, aby potwierdzić, że firmy nadal spełniają wymogi i skutecznie zarządzają bezpieczeństwem informacji. Jest to szczególnie istotne w obliczu zmieniającego się środowiska technologicznego oraz stale ewoluujących zagrożeń cybernetycznych.
Porównanie ISO/IEC 27001 z TISAX®
Punktem wyjścia dla stworzenia VDA ISA była, m.in. norma ISO/IEC 27001. Zarówno ISO/IEC 27001 jak i TISAX® skupiają się na bezpieczeństwie informacji, ale mają różne zakresy, cele i zastosowania. Co więcej, TISAX® sporo czerpie z kluczowych elementów normy ISO/IEC 27001, więc po wprowadzeniu tej normy pozostaje niewielki obszar do uzupełnienia, aby otrzymać certyfikat.
Na czym polegają główne podobieństwa?
System zarządzania bezpieczeństwem informacji i podejście oparte na ryzyku
Ustanowienie, wdrożenie, utrzymanie i ciągłe doskonalenie systemu zarządzania bezpieczeństwem informacji (ISMS) zgodnie z modelami zarządzania i najlepszymi praktykami to jeden z celów ISO/IEC 27001. TISAX® także wymaga posiadania takiego systemu, ale zgodnego z wymaganiami VDA ISA 6.0 (Verband der Automobilindustrie Information Security), czyli procesem oceny bezpieczeństwa informacji stworzonym przez VDA dla potrzeb przemysłu motoryzacyjnego.
ISO/IEC 27001 i TISAX® opierają się na podejściu do zarządzania ryzykiem. Organizacje muszą zidentyfikować, ocenić i zarządzać ryzykiem, aby chronić swoje zasoby informacyjne i zminimalizować wystąpienie wszelkich zagrożeń.
Proces audytu i certyfikacji oraz kontrole bezpieczeństwa
Zarówno ISO/IEC 27001 jak i TISAX® wymagają przeprowadzenia audytu przez akredytowaną jednostkę certyfikującą. Audyt obejmuje przegląd zgodności z wymaganiami standardów. Odpowiednio dla ISO/IEC 27001 to ISMS, a dla TISAX® VDA ISA.
ISO/IEC 27001 zawiera bardzo dobrze znany załącznik A, który opisuje 114 kontrolnych środków bezpieczeństwa. Dla TISAX® te kwestie opisuje VDA ISA.
W ramach ISO/IEC 27001 oraz TISAX® oczekiwane jest aktywne zaangażowanie najwyższego kierownictwa we wsparcie tworzenia i utrzymania polityk oraz procedur bezpieczeństwa.
Zarządzanie incydentami i ciągłe doskonalenie
Procesy identyfikacji raportowania, analizowania i reagowania to wymogi ISO/IEC 27001 w zakresie zarządzania incydentami. Z kolei VDA ISA narzuca wymagania co do reagowania na incydenty w ramach TISAX®.
Standard ISO/IEC 27001 kładzie duży nacisk na ciągłe doskonalenie zgodnie ze procesem PDCA (Plan-Do-Check-Act), czyli cyklem Deminga. To charakterystyczny schemat ilustrujący zasadę ciągłego, procesowego doskonalenia działalności organizacji. TISAX® także wymaga ciągłego utrzymania wysokich standardów bezpieczeństwa informacji, aby zapewnić ich skuteczność i adekwatność wobec dynamicznych zmian w środowisku cyfrowym.
Trzeba też pamiętać, że ISO/IEC 27001 nie zapewnia pełnej zgodności z TISAX®. Dlatego najlepiej potwierdzić z akredytowanym audytorem, jaką pracę należy jeszcze wykonać, aby otrzymać certyfikat.
Korzyści z TISAX®
TISAX® stanowi kluczowe narzędzie dla firm z branży motoryzacyjnej. Pomaga zapewnić wysoki i jednolity poziom bezpieczeństwa informacji, zgodność z wymaganiami branżowymi oraz utrzymać zaufanie wśród partnerów biznesowych. Standaryzacja i podejście do oceny ryzyka przyczyniają się do zwiększenia cyberbezpieczeństwa i stabilności w całym łańcuchu dostaw.
Certyfikacja podnosi świadomość wśród pracowników oraz poziom kompetencji. Wprowadza także efektywność operacyjną, ponieważ wyniki oceny są uznawane przez wszystkie firmy wśród uczestników TISAX®. Zostaje także zredukowana potrzeba przeprowadzania wielokrotnych audytów przez różne firmy, co pomaga zaoszczędzić czas i zasoby.
Posiadanie certyfikatu TISAX® sprawia też, że firma buduje przewagę konkurencyjną. Proces certyfikacji może okazać się wymagający, ale sprawę może ułatwić norma ISO/IEC 27001.
Redaktorka Net Complex Blog