Standard TISAX
Firmy z branży automotive wiedzą o standardzie TISAX. Podłożem standardu jest kompleks wymagań branżowych, które mają zapewnić, że dane i informacje będą bezpieczne. Standard TISAX skupia się na zapewnieniu by przetwarzanie i zarządzanie informacjami odbywało się w sposób bezpieczny i odpowiedzialny.
.png)
Dostarczając produkty lub funkcjonując jako dostawcy usług w branży automotive prawdopodobnie większość firm miała okazję zetknąć się lub co najmniej słyszeć o standardzie TISAX (TISAX standard).
Motywy podjęcia decyzji, by poddać się ocenie TISAX są różne, najczęściej jest to:
- inicjatywa partnera w branży - członkostwo TISAX i adekwatna ocena wskazanego poziomu bezpieczeństwa może być warunkiem współpracy;
- własna inicjatywa firmy - etykieta TISAX pozwala utrzymać poziom konkurencyjności i kooperować z partnerami z branży motoryzacyjnej w roli dostawcy usług czy produktów,
- wewnętrzna chęć organizacji by przeprowadzić audyt utrzymywanego systemu bezpieczeństwa wg ustrukturyzowanych wymagań.
Czym zatem jest TISAX i dlaczego koncerny motoryzacyjne przywiązują taką wagę do oceny bezpieczeństwa informacji wg TISAX?
Co to jest TISAX i co obejmuje?
Skrót TISAX (Trusted Information Security Assessment Exchange) to mechanizm oceny dojrzałości systemów bezpieczeństwa informacji oraz wymiany informacji w branży motoryzacyjnej oparty o platformę internetową dedykowaną TISAX, zarządzaną przez stowarzyszenie ENX, które m.in utrzymuje kryteria dostawcy audytu i wymagania dotyczące oceny dostawców audytu oraz monitoruje jakość wdrożenia i wyniki oceny. TISAX wspomaga te organizacje, które przetwarzają poufne informacje swoich klientów lub chcą ocenić stopień wdrożenia rozwiązań w zakresie bezpieczeństwa informacji u własnych dostawców. Platforma internetowa TISAX umożliwia uczestnikom wymianę danych z oceny a jednocześnie ułatwia uczestnikom i dostawcom audytu kontaktowanie się ze sobą.
Autorem katalogu wymagań będących podstawą TISAX jest niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego VDA (Verband der Automobilindustrie), które powołało w 2003 roku grupę roboczą „Bezpieczeństwo informacji”. Efektem prac ekspertów z branży motoryzacyjnej było opracowanie wspólnych standardów bezpieczeństwa - VDA ISA (Information Security Assessment). Standard w wielu miejscach uwzględnia i odwołuje się do wymagań znanych z normy ISO IEC 27001. Wdrożenie standardu jest wymagane przez wiodące koncerny motoryzacyjne. Aby być gotowym do współpracy, często konieczna będzie ocena, w jaki sposób firma zabezpiecza informacje i zapewnia dostęp do potrzebnych jej danych, gwarantując tym samym ciągłość dostaw produktów czy też dostaw usług do klientów.
Kwestionariusz VDA ISA definiuje trzy grupy kryteriów, dotyczących:
- Bezpieczeństwa Informacji - w większości uwzględniających wymagania normy ISO 27001;
- Ochrony prototypów - w zakresie obsługi i dostaw prototypowych pojazdów, części i komponentów;
- Ochrony Danych - z punktu widzenia spełnienia wymogów dotyczących ochrony danych osobowych.
Rdzeniem ISA jest katalog kryteriów "Bezpieczeństwo informacji", który wyróżnia siedem grup kryteriów (pytań kontrolnych):
- Organizacja i polityki bezpieczeństwa informacji;
- Zasoby ludzkie;
- Bezpieczeństwo fizyczne i ciągłość działania;
- Zarządzanie tożsamością i dostępem;
- Bezpieczeństwo IT/ Cyberbezpieczeństwo;
- Relacje z dostawcami;
- Zgodność.
Pytania katalogu kryteriów " Bezpieczeństwo informacji"są obowiązkowe, pozostałe katalogi kryteriów są opcjonalne i uzależnione od celów, z którymi związana jest ocena TISAX. Wyróżnia się trzy poziomy ochrony informacji (normalny, wysoki i bardzo wysoki) i adekwatnie do tego trzy poziomy oceny - AL1, AL2, AL3. Wyższy poziom determinuje stopień zaangażowania przy dokonywaniu oceny i dokładność jej przeprowadzenia.
Jakie są zalety wdrożenia standardu TISAX?
Wdrożenie standardu niewątpliwie przyczynia się do poniesienia poziomu świadczonych przez firmę usług, a także wzmacnia jej pozycję w kontaktach z potencjalnymi partnerami. Inne korzyści to m.in.:
- Zapewnienie, dzięki zintegrowanym procesom wymiany informacji na portalu ENX, dostępu do jednolitych dowodów spełnienia wymogów bezpieczeństwa informacji potwierdzonych w ramach niezależnego audytu co zwiększa konkurencyjność firmy.
- Indywidualna decyzja każdego uczestnika co do zakresu wymiany informacji dotyczącej swojej firmy, tzn. komu zostaną ujawnione wyniki i jak szczegółowo.
- Uczestnik TISAX może dokonać wymiany informacji w branży automotive, może również wykorzystać wyniki do własnych potrzeb w zakresie zarządzania ryzykiem firmy.
- Regularna trzyletnia ważność oceny pozwala ograniczyć wysiłek organizacji w zakresie obsługi kolejnych certyfikacji, a także zapobiegać powielaniu ocen.
Etapy procesu rejestracji i oceny TISAX
Całkowity czas trwania procesu związanego z uzyskaniem oceny TISAX zależy od wielu czynników. Wiele zależy od tego, czy firma ma obecnie wdrożony i skutecznie utrzymywany system zarządzania bezpieczeństwem informacji (np. w oparciu o wymagania normy ISO 27001), bądź jego elementy. Trzyetapowy proces TISAX jest wspierany platformą ENX i przewiduje:
Rejestrację uczestnika TISAX oraz wskazanie zakresu oceny TISAX w zakresie wdrożenia lub udoskonalenia systemu zarządzania bezpieczeństwem informacji.
Poddanie się ocenie TISAX - proces oceny jest poprzedzony fazą samooceny opartej na kwestionariuszu VDA ISA i przyjmuje najczęściej formę audytu wewnętrznego realizowanego przez wyspecjalizowaną firmę doradczą, po to, by dowiedzieć się, czy obecny system zarządzania bezpieczeństwem informacji odpowiada oczekiwanemu poziomowi dojrzałości w oparciu o ISA. Po tym etapie następuje z zasady okres usuwania stwierdzonych luk w systemie bezpieczeństwa, a następnie etap ścisłej oceny bezpieczeństwa informacji (ISA) w ramach audytu prowadzonego przez akredytowanych dostawców audytu.
Wymiana wyników oceny TISAX (zarówno z obecnymi, jak i potencjalnymi partnerami). Wymiana wyników oceny jest dostępna dla zarejestrowanych uczestników i odbywa się dopiero po przeprowadzeniu audytu i wyraźnym opublikowaniu wyników firmy w formie znormalizowanych podsumowań (Raport TISAX). Po zakończeniu procesu oceny, firma, która spełniła wszystkie wymagania, otrzymuje "Etykietę TISAX" - widoczną dla branży.
Jak LexDigital może pomóc Twojej organizacji w procesie wdrożeniowym
Jeżeli organizacja podjęła decyzję o poddaniu się ocenie TISAX, z zasady będzie potrzebowała partnera, który pomoże wdrożyć poszczególne elementy systemu, a także podpowie oraz wskaże sprawdzone rozwiązania. LexDigital sp. z o.o. posiada bogate doświadczenie w realizacji projektów dotyczących wdrażania systemów zarządzania bezpieczeństwem informacji i ochrony danych osobowych, m.in. w oparciu o wymagania ISO 27001, VDA ISA (TISAX) oraz RODO. Podczas współpracy zapewnimy rzetelną diagnozę stanu obecnego, pomożemy wdrożyć wymagane elementy systemu, przeprowadzimy firmę przez proces samooceny i rzetelnie przygotujemy ją do audytu. Zapewnimy też profesjonalne wsparcie podczas samego audytu i na etapie uzyskiwania etykiety TISAX.