TISAX® - Odgovori na važna pitanja

CONTENT

• Šta znači TISAX^®?
• Koji su benefiti od TISAX^®?
• Ko nadgleda TISAX^®?
• Šta je nivo pricjene?
• Da li je TISAX^® također za neproizvođačke firme?
• TISAX^® certifikacija bez zahtjeva kupaca?
• Da li je sadržaj TISAX^® analogan sa ISO 27001?
• Da li se preporučuje kombinovati audit TISAX^® i ISO 27001?
• Kako da definišem opseg TISAX^® procjene?
• Koliko traje individualna procjena?
• Šta su veće i manje neusklađenosti?
• Da li će TISAX^® zamjeniti VDA zaštitu prototipa?
• Šta DQS može učiniti za mene?

Šta znači TISAX^®?

TISAX^® - Procjena razmjene povjerljivih sigurnosnih informacija (Trusted Information Security Assessment eXchange)

TISAX^® je uobičajena procedura procjene i razmjene za automobilski sektor. Zasnovan je na upitniku o sigurnosti informacija (ISA - Information Security Assessment) koji je razvila VDA radna grupa "Informacijska sigurnost", a koji su prve koristile kompanije članice Njemačkog udruženja automobilske industrije (VDA) za audite dobavljača i pružaoca usluga u čijim se kompanijama obrađuju osjetljive informacije. Verzija 5.1 VDA ISA upitnika dostupna je od 2022. Ova verzija je obavezna za sve nove TISAX® procjene od januara 2022. Rad s novim TISAX® 5.1 katalogom auditi bi sada trebali biti lakši i efikasniji - i za korisnike i za auditore.

Osim toga, TISAX® je zasnovan na osnovnim zahtjevima međunarodno priznatog standarda za sigurnost informacija: ISO 27001. Primjenjiv je u svim industrijama i definiše zahtjeve, pravila i metode za osiguranje sigurnosti informacija unutar kompanije. Standard u svojim zahtjevima prevazilazi zaštitu IT tehničkih sistema i uključuje svu korporativnu imovinu vrijednu zaštite, npr. prostorije, sigurnosne kontrole i arhive. Drugim riječima: ISO 27001 osigurava zaštitu svih informacija koje su od vrijednosti za organizaciju.

Koji su benefiti od TISAX^®?

• TISAX® stvara ujednačen nivo sigurnosti informacija u automobilskoj industriji
• Rezultati ocjenjivanja su priznati u svim kompanijama među svim TISAX® učesnicima, što dovodi do većeg povjerenja u auditirane kompanije
• Nepotrebno dupliranje i višestruki auditi izbjegavaju se uzajamnim priznavanjem u TISAX® mreži
• Procjena za TISAX® certifikaciju se odvija samo svake tri godine, što štedi vrijeme i novac

Ko nadgleda TISAX^®?

TISAX^® je registrovani zaštitni znak ENX Asocijacije, sa sjedištem u Frankfurtu na Majni i Parizu. Kao neutralnom tijelu, povjerava mu se implementacija TISAX®-a. ENX je udruženje evropskih proizvođača automobila, dobavljača i četiri nacionalna automobilska udruženja, uključujući VDA, koja je osnovala ENX 2000. godine. ENX Udruženje prati kvalitet implementacije i daje odobrenje pružaocima usluga procene prema strogoj proceduri. DQS je naveden kod ENX kao odobreni pružaoc audit usluga i može vršiti procjene širom svijeta. Naši stručnjaci su uvijek na raspolaganju da odgovore na vaša pitanja.

U cilju postizanja međusobnog priznavanja procjena od strane učesnika, ENX zaključuje odgovarajuće ugovore sa svim odobrenim pružaocima usluga audita kao i sa učesnicima u TISAX® mreži. Standardizacijom i praćenjem kvaliteta, ENX postiže zajedničko priznanje rezultata ocjenjivanja među svim učesnicima. Izbjegava se nepotrebno dupliranje i višestruke procjene.

Pitanja i odgovori o TISAX^®: Šta je nivo procjene?

TISAX^® razlikuje tri nivoa procjene (zahtjeve zaštite), u zavisnosti od zahtjevane zaštite: normalan (nivo 1), visok (nivo 2) i veoma visok (nivo 3). Metod audita i audit napor zavise od toga.

Nivo 1: Samoprocjena bez provjere vjerodostojnosti, obično samo za interne svrhe. Ovi rezultati procjene imaju samo ograničen značaj i ne koriste se u TISAX-u^®.

Nivo 2: Provjera vjerodostojnosti vaše samoprocjene od strane pružaoca usluga audita kao što je DQS. Ovi auditi sigurnosti informacija obično se provode kao telefonska konferencija, a ne kao auditi na licu mjesta - osim ako se primjenjuje jedan od ciljeva audita zaštite prototipa ili ako to izričito zatražite.

Ono što je novo je alternativni metod za provođenje procjene na nivou procjene 2. Umjesto provjere vjerodostojnosti, vaš pružatelj usluga audita provodi kompletan udaljeni test. Ovaj metod se ponekad naziva i „nivo procjene 2.5“. Prednost je u tome što je pristup metodološki kompatibilan sa nivoom ocjenjivanja 3. Stoga je moguće naknadno nadograditi na ispit nivoa 3 pune procjene uz napor kojim se može upravljati.

Nivo 3: Provjera vjerodostojnosti vaše samoprocjene od strane pružaoca audit usluga kroz dubinski, sveobuhvatni audit na licu mjesta.

Da li je uvođenje TISAX^® također obaveza za neproizvođačke kompanije?

Odgovor na ovo pitanje zavisi od konteksta vašeg poslovanja: da li ćete morati da implementirate TISAX® ili ne zavisi od vašeg OEM (proizvođača originalne opreme), ili da li oni zahtjevaju da dostavite ovaj dokaz o sigurnosti informacija. Osim ako vam se proizvođač automobila posebno ne obrati ili vidite promjenu u Uslovima i odredbama, preporučuje se da sačekate i vidite. U prošlosti su kompanije kontaktirane od strane OEM-a u vezi sa zahtjevima za dalju saradnju kada je to potrebno. Međutim, na vama je naravno da se proaktivno raspitate kod svojih partnera u automobilskoj industriji.

Da li ima smisla težiti za TISAX^® certifikacijom i bez zahtjeva kupaca?

Zauzimanje proaktivnog pristupa temi informacione sigurnosti općenito ima mnogo smisla ovih dana, i to ne samo za dobavljače u automobilskoj industriji. Ako vaš OEM (još) ne precizira koja se TISAX® oznaka od vas očekuje, dobra je ideja pokazati nivo 3 (Nivo procjene 3: vrlo visoka sigurnost informacija). Na taj način ste spremni za sve buduće zahtjeve bez potrebe za dupliranjem posla.

Alternativno, globalno priznati standard ISO/IEC 27001 nudi dobar uvod u informacionu sigurnost među industrijama. Revidirana verzija standarda objavljena je 25. oktobra 2022.

Da li je sadržaj TISAX^® analogan sa ISO 27001?

TISAX® katalog ocjenjivanja je izveden iz međunarodnog standarda ISO 27001 i oslanja se na "kontrole" (mjere) definisane u njemu. Oni opisuju kako se odgovarajući zahtjevi (mora, treba) mogu implementirati, kako se procesi trebaju osigurati i koji alati se mogu koristiti. Ključna razlika između ova dva standarda je u tome što TISAX® zahtjeva određeni nivo zrelosti za postizanje.

Da li se preporučuje kombinovati audit TISAX^® i ISO 27001?

Kombinovani audit je definitivno moguć i može je izvršiti DQS u bilo kojem trenutku. Svi TISAX® auditori u DQS-u su također ovlašteni auditori za ISO 27001, što znači da se obje procjene za sigurnost informacija mogu izvršiti istovremeno uz malo dodatnih napora.

Da li moram biti certificiran u skladu sa ISO 27001 prije TISAX^®?

Odgovor na ovo pitanje je: Ne. Zato što ne postoji zahtjev da certificirani sistem upravljanja sigurnošću informacija u skladu sa ISO 27001 već mora postojati. Za TISAX® procjenu potrebno je samo dokazati da radite prema sistemu upravljanja sigurnošću informacija i da se odgovarajući procesi i procedure stabilno implementiraju u kompaniji. Ovu procjenu vrši auditor, koji također koristi dokumente za dodjelu nivoa zrelosti.

Koje su prednosti već imati ISO 27001 certifikaciju?

Ako već možete pružiti dokaz o ISO 27001 certifikatu, ovo je naravno uvijek prednost. Samo zato što za TISAX® morate dokazati da imate implementirano upravljanje sigurnošću informacija i da oba skupa pravila imaju sličnu pokrivenost.

Ali imajte na umu: definicija opsega audita TISAX® može se razlikovati od definicije potrebne za ISO 27001 certifikaciju. Osnovni koncepti nisu identični. Za veće organizacije može se razmotriti i registracija višestrukih opsega audita.

Da li je "definicija procesa" u ISO 9001 analogna sa TISAX^®?

Odgovor na ovo pitanje je "da". U principu, definicija i struktura procesa u odgovarajućim skupovima pravila je uvijek ista. TISAX® katalog ocjenjivanja također sasvim konkretno navodi iz kojih kontrola KPI-i moraju biti određeni, a iz kojih ne. Kreiranje KPI-a je potkrijepljeno primjerima kako bi se osigurala sigurnost informacija u automobilskoj industriji. Pogled na VDA ISA upitnik zato pomaže u početnom pregledu.

Da li je IT sigurnosni referent preporučen za implementaciju TISAX^®?

Nije obavezno da osoba odgovorna za uvođenje TISAX®-a dolazi iz IT odjela. Međutim, budući da su uključeni procesi podržani IT-om, određeno IT znanje je definitivno korisno.

Kako da definišem opseg TISAX^® procjene?

ENX nudi standardni opseg koji je usvojilo 90% svih TISAX® učesnika. Zadani opseg je unaprijed definisan i ne može se mijenjati. Ako tokom pripreme za ocjenu ustanovite da standardni opseg ne odgovara, možete prilagoditi opseg vašeg ispita pod određenim okolnostima. U pojedinačnim slučajevima, OEM-ovi mogu zahtijevati prošireni opseg. Međutim, ovi posebni slučajevi su rijetki i dotični OEM će o njima detaljno razgovarati s vama. Obično je dovoljan standardni opseg. To je osnova za TISAX® procjenu i prihvataju je svi učesnici.

Da li je jedan opseg procjene dovoljan za sve lokacije?

Jedinstveni opseg koji uključuje sve lokacije nudi prednosti, ali i nedostatke.

Za kompanije sa više lokacija, redovna TISAX® procedura procjene može biti prilično opsežna. Pod određenim uslovima nudimo alternativu – „pojednostavljenu grupnu procjenu“ (SGA). Pojednostavljeno grupno ocjenjivanje je poseban slučaj TISAX® procedure ocjenjivanja. Ako su zahtjevi ispunjeni, to može smanjiti napor u odnosu na redovnu TISAX® procjenu. Ova posebna TISAX® procedura procjene je za kompanije sa najmanje tri lokacije i centralizovanim, visoko razvijenim sistemom upravljanja sigurnošću informacija (ISMS). Dodatak opisuje u kojim okolnostima možete imati koristi od pojednostavljene grupne procjene i kako možete proći kroz poseban proces procjene.

Može li se opseg procjene izolirati, npr. za "zaposlenike kritične za sigurnost"?

ENX na ovo pitanje, TISAX® odgovara nedvosmisleno: Svi zaposleni koji dolaze u kontakt sa osjetljivim informacijama iz automobilske industrije moraju biti uključeni u opseg. To također može biti, na primjer, rukovalac mašinama koji radi sa planom izgradnje od kupca. Vaša kompanija mora sama definisati koji zaposleni su uključeni u procese koji su relevantni za sigurnost informacija.

Da li je tačno da se kod ENX-a prvo mora podnijeti prijava za TISAX® audit, a tek onda se može odabrati pružalac audita?

Da, to je tačno. Nakon vaše online registracije na www.enx.com/tisax/ i odobrenja opsega procjene od strane ENX-a, dobit ćete listu svih odobrenih pružalaca usluga ocjenjivanja. Međutim, također možete unaprijed pogledati listu na ENX-u. DQS je naveden kao dobavljač usluga u ENX-u i može vršiti procjene širom svijeta. Za pitanja i odgovore u vezi sa sigurnošću informacija u automobilskoj industriji, slobodno kontaktirajte naše stručnjake.

Ima li upit uopšte smisla ako je nivo zrelosti prenizak?

Ako u samoprocjeni utvrdite da vaša kompanija još treba nešto da nadoknadi u pogledu sigurnosti informacija, zahtjev za procjenom za sada nema smisla. Preporučuje se da prvo zatvorite identificirane nedostatke, a zatim razmotrite audit.

Koliko traje individualna procjena?

Odgovor na pitanje o trajanju pojedinačnih procjena zavisi od veličine vaše kompanije i putovanja uključenih u audit vaših lokacija. Za prosječnu veličinu kompanije, 2-3 dana na licu mjesta su dovoljna za proces procjene.

Koliko vremena je potrebno da se kompanija smatra certificiranom?

Cijeli TISAX® proces audita može trajati najviše devet mjeseci. Počinje inicijalnim auditom i završava se posljednjim naknadnim auditom. Ako se proces procjene ne može završiti u navedenom periodu, nećete dobiti TISAX® oznaku.

Ako vaša kompanija ispunjava sve kriterije ili pokazuje samo manje neusklađenosti, izveštaj o procjeni se dostavlja ENX-u. Čim ovo bude prihvaćeno, dobit ćete svoju (privremenu) oznaku TISAX®. Ako postoje veće neusklađenosti koje se prvo moraju otkloniti, oznaka važi od dana kada se smatra da je neusklađenost otklonjena.

Pitanja i odgovori o TISAX^®: Šta su TISAX^® oznake?

Oznake su rezultat procesa procjene i sažimaju vaš rezultat. One su hijerarhijski povezane jedne s drugima. tj. ako dobijete određenu oznaku, automatski dobijate "oznake ispod" nje. Etikete se mogu pogledati samo na ENX portalu. Njihov rok važenja je obično tri godine.

Šta su veće i manje neusklađenosti?

Velika neusklađenost je kada neusklađenost izaziva sumnju u ukupnu efikasnost vašeg sistema upravljanja sigurnošću informacija ili kada uzrokuje značajne rizike za sigurnost informacija. To je slučaj, na primjer, ako je potrebna dvofaktorska identifikacija, a to još nije implementirano.

Manja neusklađenost postoji, na primjer, ako neusklađenost niti dovodi u pitanje ukupnu efikasnost vašeg sistema upravljanja sigurnošću informacija niti predstavlja značajan rizik za sigurnost informacija u automobilskoj industriji. Na primjer, izolirane ili sporadične greške i nedostaci implementacije.

Da li je potrebno dostaviti i dokaze o učinkovitosti pojedinačnih mjera?

Odgovor je "da". Nakon što kreirate svoj katalog mjera i implementirate ih, njihova učinkovitost će biti provjerena. Iz tog razloga, proces certifikacije predviđa i period od devet mjeseci.

Kako mogu "unaprijed" utvrditi broj zaposlenih?

Konkretno: Kako mogu unaprijed odrediti tačan broj zaposlenih ako se dodatni zaposlenici mogu zaposliti tek nakon potpisivanja ugovora sa našim klijentom?

Raspon u kojem su zaposleni klasifikovani za TISAX® je znatno veći nego za međunarodni standard ISO 27001. TISAX® klasifikuje broj zaposlenih, na primjer, u 0-50, 51-150, itd. Dakle, ako znate otprilike koliko će biti novih zaposlenih angažovano, možete se postaviti u odgovarajući rang.

Koliko dokumenata treba da bude dostupno da bi se postigla usklađenost sa TISAX^®?

Ovdje nije moguće dati opštu izjavu. To uvijek zavisi od veličine i aktivnosti vaše kompanije. Teoretski, sve možete pokriti u jednom dokumentu, sve dok imate jasan pregled. Međutim, preporučljivo je napraviti nekoliko dokumenata koji pokrivaju srodne teme.

Da li će TISAX^® zamijeniti VDA zaštitu prototipa?

Budući da TISAX® uključuje poseban modul za zaštitu prototipa, koji ulazi u mnogo više detalja o pojedinačnim kriterijima nego što je to bio slučaj ranije, može se pretpostaviti da će dugoročno TISAX® zamijeniti prethodne skupove pravila za sigurnost informacija u automobilskoj industriji. Trenutno, međutim, VDA zaštita prototipa verzija 3.0 iz 2018. još uvijek vrijedi.

Pitanja i odgovori o TISAX^® - Šta DQS može učiniti za mene?

DQS je naveden kod ENX-a kao odobreni pružalac usluga audita i može vršiti procjene širom svijeta. Svi naši TISAX ® auditori su također ovlašteni auditori za međunarodni standard ISO 27001, što znači da DQS može ocijeniti oba standarda u isto vrijeme i uz malo dodatnih napora. Naši stručnjaci će rado odgovoriti na vaša pitanja o sigurnosti informacija u automobilskoj industriji. Radujemo se razgovoru s vama.

Ekspertiza i povjerenje

Naše tehničke članke pišu isključivo naši interni stručnjaci za standarde i dugogodišnji auditori. Ako imate bilo kakvih pitanja u vezi sa sadržajem ili našim autorima, slobodno nas kontaktirajte.