LexDigital

Standard TISAX

Firmy z branży automotive wiedzą o standardzie TISAX. Podłożem standardu jest kompleks wymagań branżowych, które mają zapewnić, że dane i informacje będą bezpieczne. Standard TISAX skupia się na zapewnieniu by przetwarzanie i zarządzanie informacjami odbywało się w sposób bezpieczny i odpowiedzialny.

Standard TISAX

Dostarczając produkty lub funkcjonując jako dostawcy usług w branży automotive prawdopodobnie większość firm miała okazję zetknąć się lub co najmniej słyszeć o standardzie TISAX (TISAX standard).

Motywy podjęcia decyzji, by poddać się ocenie TISAX są różne, najczęściej jest to: 

  • inicjatywa partnera w branży - członkostwo TISAX i adekwatna ocena wskazanego poziomu bezpieczeństwa może być warunkiem współpracy;
  • własna inicjatywa firmy - etykieta TISAX pozwala utrzymać poziom konkurencyjności i kooperować z partnerami z branży motoryzacyjnej w roli dostawcy usług czy produktów,
  • wewnętrzna chęć organizacji by przeprowadzić audyt utrzymywanego systemu bezpieczeństwa wg ustrukturyzowanych wymagań.

Czym zatem jest TISAX i dlaczego koncerny motoryzacyjne przywiązują taką wagę do oceny bezpieczeństwa informacji wg TISAX?

cars, technology, vw

Co to jest TISAX i co obejmuje?

Skrót TISAX (Trusted Information Security Assessment Exchange) to mechanizm oceny dojrzałości systemów bezpieczeństwa informacji oraz wymiany informacji w branży motoryzacyjnej oparty o platformę internetową dedykowaną TISAX, zarządzaną przez stowarzyszenie ENX, które m.in utrzymuje kryteria dostawcy audytu i wymagania dotyczące oceny dostawców audytu oraz monitoruje jakość wdrożenia i wyniki oceny. TISAX wspomaga te organizacje, które przetwarzają poufne informacje swoich klientów lub chcą ocenić stopień wdrożenia rozwiązań w zakresie bezpieczeństwa informacji u własnych dostawców. Platforma internetowa TISAX umożliwia uczestnikom wymianę danych z oceny a jednocześnie ułatwia uczestnikom i dostawcom audytu kontaktowanie się ze sobą.

Autorem katalogu wymagań będących podstawą TISAX jest niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego VDA (Verband der Automobilindustrie), które powołało w 2003 roku grupę roboczą „Bezpieczeństwo informacji”. Efektem prac ekspertów z branży motoryzacyjnej było opracowanie wspólnych standardów bezpieczeństwa - VDA ISA (Information Security Assessment). Standard w wielu miejscach uwzględnia i odwołuje się do wymagań znanych z normy ISO IEC 27001. Wdrożenie standardu jest wymagane przez wiodące koncerny motoryzacyjne. Aby być gotowym do współpracy, często konieczna będzie ocena, w jaki sposób firma zabezpiecza informacje i zapewnia dostęp do potrzebnych jej danych, gwarantując tym samym ciągłość dostaw produktów czy też dostaw usług do klientów.

Kwestionariusz VDA ISA definiuje trzy grupy kryteriów, dotyczących:

  • Bezpieczeństwa Informacji - w większości uwzględniających wymagania normy ISO 27001;
  • Ochrony prototypów - w zakresie obsługi i dostaw prototypowych pojazdów, części i komponentów;
  • Ochrony Danych - z punktu widzenia spełnienia wymogów dotyczących ochrony danych osobowych.

Rdzeniem ISA jest katalog kryteriów "Bezpieczeństwo informacji", który wyróżnia siedem grup kryteriów (pytań kontrolnych):

  • Organizacja i polityki bezpieczeństwa informacji;
  • Zasoby ludzkie;
  • Bezpieczeństwo fizyczne i ciągłość działania;
  • Zarządzanie tożsamością i dostępem;
  • Bezpieczeństwo IT/ Cyberbezpieczeństwo;
  • Relacje z dostawcami;
  • Zgodność.

Pytania katalogu kryteriów " Bezpieczeństwo informacji"są obowiązkowe, pozostałe katalogi kryteriów są opcjonalne i uzależnione od celów, z którymi związana jest ocena TISAX. Wyróżnia się trzy poziomy ochrony informacji (normalny, wysoki i bardzo wysoki) i adekwatnie do tego trzy poziomy oceny - AL1, AL2, AL3. Wyższy poziom determinuje stopień zaangażowania przy dokonywaniu oceny i dokładność jej przeprowadzenia.

car doors, industry, automobiles

Jakie są zalety wdrożenia standardu TISAX?

Wdrożenie standardu niewątpliwie przyczynia się do poniesienia poziomu świadczonych przez firmę usług, a także wzmacnia jej pozycję w kontaktach z potencjalnymi partnerami. Inne korzyści to m.in.:

  • Zapewnienie, dzięki zintegrowanym procesom wymiany informacji na portalu ENX, dostępu do jednolitych dowodów spełnienia wymogów bezpieczeństwa informacji potwierdzonych w ramach niezależnego audytu co zwiększa konkurencyjność firmy.
  • Indywidualna decyzja każdego uczestnika co do zakresu wymiany informacji dotyczącej swojej firmy, tzn. komu zostaną ujawnione wyniki i jak szczegółowo.
  • Uczestnik TISAX może dokonać wymiany informacji w branży automotive, może również wykorzystać wyniki do własnych potrzeb w zakresie zarządzania ryzykiem firmy.
  • Regularna trzyletnia ważność oceny pozwala ograniczyć wysiłek organizacji w zakresie obsługi kolejnych certyfikacji, a także zapobiegać powielaniu ocen.

Etapy procesu rejestracji i oceny TISAX

Całkowity czas trwania procesu związanego z uzyskaniem oceny TISAX zależy od wielu czynników. Wiele zależy od tego, czy firma ma obecnie wdrożony i skutecznie utrzymywany system zarządzania bezpieczeństwem informacji (np. w oparciu o wymagania normy ISO 27001), bądź jego elementy. Trzyetapowy proces TISAX jest wspierany platformą ENX i przewiduje:

Rejestrację uczestnika TISAX oraz wskazanie zakresu oceny TISAX w zakresie wdrożenia lub udoskonalenia  systemu zarządzania bezpieczeństwem informacji.

Poddanie się ocenie TISAX - proces oceny jest poprzedzony fazą samooceny opartej na kwestionariuszu VDA ISA i przyjmuje najczęściej formę audytu wewnętrznego realizowanego przez wyspecjalizowaną firmę doradczą, po to, by dowiedzieć się, czy obecny system zarządzania bezpieczeństwem informacji odpowiada oczekiwanemu poziomowi dojrzałości w oparciu o ISA. Po tym etapie następuje z zasady okres usuwania stwierdzonych luk w systemie bezpieczeństwa, a następnie etap ścisłej oceny bezpieczeństwa informacji (ISA) w ramach audytu prowadzonego przez akredytowanych dostawców audytu.

Wymiana wyników oceny TISAX (zarówno z obecnymi, jak i potencjalnymi partnerami). Wymiana wyników oceny jest dostępna dla zarejestrowanych uczestników i odbywa się dopiero po przeprowadzeniu audytu i wyraźnym opublikowaniu wyników firmy w formie znormalizowanych podsumowań (Raport TISAX). Po zakończeniu procesu oceny, firma, która spełniła wszystkie wymagania, otrzymuje "Etykietę TISAX" - widoczną dla branży.

engineer, engineering, teamwork

Jak LexDigital może pomóc Twojej organizacji w procesie wdrożeniowym

Jeżeli organizacja podjęła decyzję o poddaniu się ocenie TISAX, z zasady będzie potrzebowała partnera, który pomoże wdrożyć poszczególne elementy systemu, a także podpowie oraz wskaże sprawdzone rozwiązania. LexDigital sp. z o.o. posiada bogate doświadczenie w realizacji projektów dotyczących wdrażania systemów zarządzania bezpieczeństwem informacji i ochrony danych osobowych, m.in. w oparciu o wymagania ISO 27001, VDA ISA (TISAX) oraz RODO. Podczas współpracy zapewnimy rzetelną diagnozę stanu obecnego, pomożemy wdrożyć wymagane elementy systemu, przeprowadzimy firmę przez proces samooceny i rzetelnie przygotujemy ją do audytu. Zapewnimy też profesjonalne wsparcie podczas samego audytu i na etapie uzyskiwania etykiety TISAX.

Polecane

Co to jest "przetwarzanie danych osobowych"?

Co to jest "przetwarzanie danych osobowych"?

"Przetwarzanie danych osobowych" jest jednym z kluczowych pojęć związanych z ochroną prywatności w dzisiejszym świecie cyfrowym. Oznacza ono wszelkie operacje wykonywane na danych osobowych, takie jak m.n. zbieranie, przechowywanie, czy udostępnianie ich innym podmiotom.

GRC — Governance Risk Compliance

GRC — Governance Risk Compliance

GRC to skrót od angielskich pojęć Governance Risk Compliance, co wolnym tłumaczeniu oznacza: ład korporacyjnym ryzyko i zgodność. Innymi słowy, jest pojęciem, które określa podejście do zarządzania ryzykiem i zgodnością w organizacjach. GRC pomaga firmom w identyfikacji, zarządzaniu i kontrolowaniu różnych rodzajów ryzyk związanych z działalnością biznesową oraz zapewnia, że organizacja działa zgodnie z wymaganiami regulacyjnymi i etycznymi.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk