TISAX® - Отговори на важни въпроси

СЪДЪРЖАНИЕ

• Какво означава TISAX®?
• Какви са предимствата на TISAX®?
• Кой наблюдава TISAX®?
• Какво е ниво на оценка?
• Има ли TISAX®е предназначен и за непроизводствени предприятия?
• Сертифициране на TISAX® без изискване на клиента?
• Съдържанието на TISAX® аналогично ли е на ISO 27001?
• Може ли да се използва cсе препоръчва комбиниран одит на TISAX® и ISO 27001?
• Как да определя обхвата на оценката на TISAX®?
• Колко време отнемат отделните оценки?
• Какво представляват големите и малките несъответствия?
• Ще замени ли TISAX® защитата на прототипи по VDA?
• Какво може да направи DQS за мен?

Какво означава TISAX®?

TISAX® - Trusted Information Security Assessment eXchange (Обмен на информация за оценка на сигурността)

TISAX® е обща процедура за оценяване и обмен в автомобилния сектор. Тя се основава на въпросник за информационна сигурност (ISA - Information Security Assessment), разработен от работната група "Информационна сигурност" на VDA, който за първи път беше използван от компаниите - членове на Германската асоциация на автомобилната индустрия (VDA), за одити на доставчици и доставчици на услуги, в чиито компании се обработва чувствителна информация. Версия 5.0 на въпросника на VDA ISA е на разположение от юли 2020 г. От 1 октомври 2020 г. тази версия е задължителна за всички нови TISAX^®-оценки.

Освен това TISAX® се основава на основните изисквания на международно признатия стандарт за информационна сигурност: ISO 27001. Той е приложим във всички отрасли и определя изискванията, правилата и методите за гарантиране на сигурността на информацията в рамките на една компания. В своите изисквания стандартът надхвърля защитата на ИТ техническите системи и включва всички корпоративни активи, които заслужават защита, напр. помещения, контрол на сигурността и архиви. С други думи: ISO 27001 осигурява защита на цялата информация, която е ценна за организацията.

Какви са предимствата на TISAX®?

• TISAX® създава единно ниво на информационна сигурност в автомобилната индустрия
• Резултатите от оценяването се признават във всички компании сред всички участници в TISAX®, което води до по-голямо доверие в одитираните компании
• Чрез взаимното признаване в мрежата на TISAX® се избягват не нужни дублиращи се и многобройни одити
• Оценката за сертифициране по TISAX® се извършва само на всеки три години, което спестява време и средства

Кой наблюдава TISAX®?

TISAX® е регистрирана търговска марка на Асоциацията ENX със седалище във Франкфурт на Майн и Париж. В качеството си на неутрален орган тя е натоварена с прилагането на TISAX®. ENX е сдружение на европейски производители на автомобили, доставчици и четири национални автомобилни асоциации, включително VDA, които основаха ENX през 2000 г. Асоциацията ENX следи за качеството на внедряването и предоставя одобрение на доставчиците на услуги за оценяване съгласно строга процедура. DQS е вписана в списъка на ENX като одобрен доставчик на услуги по одит и може да извършва оценки в цял свят. Нашите експерти са винаги на разположение, за да отговорят на вашите въпроси.

За да се постигне взаимно признаване на оценките от участниците, ENX сключва съответните договори с всички одобрени доставчици на одиторски услуги, както и с участниците в мрежата TISAX®. Чрез стандартизация и мониторинг на качеството ENX постига общо признаване на резултатите от оценките от всички участници. Избягват се ненужните дублиращи се и многократни оценки.

Въпроси и отговори за TISAX®: Какво е ниво на оценка?

TISAX® разграничава три нива на оценка (изисквания за защита) в зависимост от необходимата защита: нормално (ниво 1), високо (ниво 2) и много високо (ниво 3). От това зависят методът на одит и усилията за одит.

Ниво 1: Самооценка без проверка за достоверност, обикновено само за вътрешни цели. Резултатите от тази оценка имат само ограничено значение и не се използват в TISAX®.

Ниво 2: Проверка на правдоподобността на Вашата самооценка от доставчик на одитни услуги, като например DQS. Тези одити на информационната сигурност обикновено се провеждат като телефонна конференция, а не като одити на място - освен ако не се прилага някоя от целите на одита за защита на прототипа или вие изрично не поискате това.

Ниво 3: Проверка на достоверността на Вашата самооценка от доставчик на одиторски услуги чрез задълбочен, цялостен одит на място.

Задължително ли е въвеждането на TISAX® и за непроизводствените предприятия?

Отговорът на този въпрос зависи от контекста на вашия бизнес: Дали е необходимо да въведете TISAX®, зависи от вашия ОЕМ (производител на оригинално оборудване) или от това дали той изисква от вас да предоставите това доказателство за информационна сигурност. Освен ако производителят на автомобили не се обърне специално към вас или не видите промяна в Т&С, препоръчваме да изчакате и да видите. В миналото компаниите са се свързвали с производителя на оригинално оборудване относно изискванията за по-нататъшно сътрудничество, когато е било необходимо. Въпреки това, разбира се, от вас зависи да отправяте проактивни запитвания към партньорите си в автомобилната индустрия.

Има ли смисъл да се стремите към сертификация по TISAX® дори без изискване от страна на клиента?

В днешно време предприемането на проактивен подход към темата за информационната сигурност като цяло има голям смисъл, и то не само за доставчиците в автомобилната индустрия. Ако вашият производител на оригинално оборудване (все още) не е посочил какъв знак TISAX® се очаква от вас, добра идея е да демонстрирате ниво 3 (Ниво на оценка 3: много висока информационна сигурност). По този начин сте подготвени за всички бъдещи изисквания, без да се налага да дублирате работа. Алтернативно, световно признатият стандарт ISO/IEC 27001 предлага добро, междуотраслово въведение в информационната сигурност.

Аналогично ли е съдържанието на TISAX® на ISO 27001?

Каталогът за оценка на TISAX® произлиза от международния стандарт ISO 27001 и се основава на определените в него "контроли" (мерки). Те описват как могат да бъдат изпълнени съответните изисквания (трябва, трябва), как трябва да бъдат осигурени процесите и какви инструменти могат да бъдат използвани. Основната разлика между двата стандарта е, че TISAX® изисква да се достигне определено ниво на зрялост.

Препоръчва ли се комбиниран одит на TISAX® и ISO 27001?

Комбинираният одит определено е възможен и може да бъде извършен от DQS по всяко време. Всички одитори на TISAX® в DQS са и оторизирани одитори за ISO 27001, което означава, че двете оценки за информационна сигурност могат да бъдат извършени едновременно с малко допълнителни усилия.

Трябва ли да сме сертифицирани по ISO 27001 преди TISAX®?

Отговорът на този въпрос е: Не. защото няма изискване, че вече трябва да съществува сертифицирана система за управление на информационната сигурност в съответствие с ISO 27001. За оценката по TISAX® трябва само да докажете, че работите в съответствие със система за управление на информационната сигурност и че съответните процеси и процедури се прилагат стабилно в компанията. Тази оценка се извършва от одитор, който също така използва документите, за да определи ниво на зрялост.

Какви са предимствата на това, че вече имате сертификат по ISO 27001?

Ако вече можете да представите доказателства за наличие на сертификат ISO 27001, това, разбира се, винаги е предимство. Дори само защото за TISAX®трябва да докажете, че имате внедрено управление на информационната сигурност, а двата набора правила имат сходен обхват.

Но моля, обърнете внимание: Определението за обхвата на одита на TISAX® може да се различава от определението, изисквано за сертифициране по ISO 27001. Основните концепции не са идентични. За по-големи организации може да се обмисли и регистрирането на няколко обхвата на одит.

Аналогична ли е "дефиницията на процеса" на ISO 9001 на TISAX®?

Отговорът на този въпрос е "да". По принцип определението и структурата на процесите в съответните набори от правила винаги са едни и същи. В каталога за оценка на TISAX® също така е посочено съвсем конкретно от кои контроли трябва да се определят KPI и от кои не. Създаването на KPIs е подкрепено с примери за осигуряване на информационна сигурност в автомобилната индустрия. Затова погледът към въпросника VDA ISA помага за първоначалната представа.

Препоръчва ли се назначаването на служител по сигурността на информационните технологии при внедряването на TISAX®?

Не е задължително лицето, отговорно за въвеждането на TISAX® , да бъде от отдела за ИТ. Въпреки това, тъй като става въпрос за процеси, поддържани от ИТ, някои познания в областта на ИТ определено са от полза.

Как да определя обхвата на оценката на TISAX®?

ENX предлага стандартен обхват, който е възприет от 90% от всички участници в TISAX® . Обхватът по подразбиране е предварително определен и не може да бъде променян. Ако по време на подготовката за оценяване установите, че стандартният обхват не ви устройва, можете да коригирате обхвата на изпита при определени обстоятелства. В отделни случаи производителите на оригинално оборудване може да изискват разширения обхват. Тези специални случаи обаче са редки и ще бъдат подробно обсъдени с вас от съответното ОЕМ. Обикновено стандартният обхват е достатъчен. Той е основа за оценката на TISAX® и се приема от всички участници.

Достатъчен ли е един обхват за оценка за всички обекти?

Един обхват, който включва всички обекти, предлага предимства, но и недостатъци.

Предимства

• Само един резултат от проверката, един доклад от проверката, един срок на валидност
• Намалени разходи, тъй като централните процеси, процедури и ресурси трябва да се оценяват само веднъж

Недостатъци

• Резултатът от проверката е наличен само след като всички обекти са били оценени
• Резултатът от одита зависи от това дали всички обекти са преминали успешно одита, т.е. ако само един обект не премине успешно одита, няма да получите положителен резултат от одита

Може ли обхватът на оценката да бъде изолиран, например до "служители от критично значение за сигурността"?

ENX дава недвусмислен отговор на този въпрос за TISAX® : Всички служители, които влизат в контакт с чувствителна информация от автомобилната индустрия, трябва да бъдат включени в обхвата. Това може да бъде например и машинен оператор, който работи със строителен план на клиент. Вашето дружество трябва да определи за себе си кои служители участват в процесите, които са от значение за информационната сигурност.

Вярно ли е, че при ENX първо трябва да се подаде заявление за одит на TISAX® и едва след това може да се избере доставчик на одита?

Да, това е вярно. След онлайн регистрацията ви на www.enx.com/tisax/ и одобрението на обхвата на оценката от ENX ще получите списък с всички одобрени доставчици на услуги за оценка. Можете обаче да разгледате списъка и предварително в ENX. DQS е включен в списъка на доставчиците на услуги в ENX и може да извършва оценки в целия свят. За въпроси и отговори относно информационната сигурност в автомобилната индустрия, моля, не се колебайте да се свържете с нашите експерти.

Има ли изобщо смисъл да се прави запитване, ако нивото на зрялост е твърде ниско?

Ако при самооценката установите, че компанията ви все още има да наваксва по отношение на информационната сигурност, запитването за оценка засега няма смисъл. Препоръчително е първо да отстраните установените пропуски и след това да обмислите извършването на одит.

Колко време отнемат индивидуалните оценки?

Отговорът на въпроса за продължителността на индивидуалните оценки зависи от размера на вашата компания и от пътуванията, свързани с одитирането на вашите обекти. При среден размер на компанията 2-3 дни на място са достатъчни за процеса на оценяване.

Колко време е необходимо, за да се счита, че едно дружество е сертифицирано?

Целият процес на одит на TISAX® може да отнеме максимум девет месеца. Той започва с първоначалния одит и завършва с последния последващ одит. Ако процесът на оценяване не може да приключи в рамките на посочения период, няма да получите етикет TISAX®.

Ако Вашето дружество отговаря на всички критерии или показва само незначителни несъответствия, докладът за оценка се изпраща в ENX. Веднага след като той бъде приет, ще получите своя (временен) етикет TISAX®. Ако има сериозни несъответствия, които трябва първо да бъдат отстранени, етикетът е валиден от деня, в който несъответствието се счита за отстранено.

Въпроси и отговори за TISAX®: Какво представляват етикетите TISAX®?

Етикетите са резултат от процеса на оценяване и обобщават вашия резултат. Те са йерархично свързани помежду си. Т.е. ако получите определен етикет, автоматично получавате и "етикетите под" него. Етикетите могат да бъдат разглеждани само в портала ENX. Срокът им на валидност обикновено е три години.

Какво представляват големите и малките несъответствия?

Значително несъответствие е налице, когато несъответствието поражда съмнения относно цялостната ефективност на вашата система за управление на информационната сигурност или когато то поражда значителни рискове за информационната сигурност. Такъв е случаят, например, ако се изисква двуфакторна идентификация и тя все още не е въведена.

Незначително несъответствие е налице, например ако несъответствието не поставя под съмнение цялостната ефективност на вашата система за управление на информационната сигурност, нито създава значителен риск за информационната сигурност в автомобилната индустрия. Например изолирани или спорадични грешки и недостатъци при изпълнението.

Трябва ли да представям и доказателства за ефективността на отделните мерки?

Отговорът е "да". След като създадете своя каталог от мерки и ги приложите, тяхната ефективност ще бъде проверена. По тази причина процесът на сертифициране предвижда и период от девет месеца.

Как мога да определя броя на служителите "предварително"?

По-конкретно: Как мога да определя точния брой на служителите предварително, ако допълнителните служители могат да бъдат наети едва след подписването на договора с нашия клиент?

Диапазонът, в който се класифицират служителите за TISAX® , е значително по-голям, отколкото за международния стандарт ISO 27001. TISAX® класифицира броя на служителите, например, в диапазони 0-50, 51-150 и т.н. Така че, ако знаете приблизително колко нови служители ще бъдат наети, можете да се поставите в подходящ диапазон.

Колко документа трябва да бъдат на разположение, за да се спази изискванията на TISAX®?

Тук не е възможно да се направи общо изявление. Това винаги зависи от размера и дейността на вашето дружество. Теоретично можете да обхванете всичко в един документ, стига да имате ясен преглед. Въпреки това е препоръчително да създадете няколко документа, които обхващат свързани теми.

Ще замени ли TISAX® защитата на прототипи по VDA?

Тъй като TISAX® включва отделен модул за защита на прототипи, в който отделните критерии са разгледани много по-подробно, отколкото досега, може да се предположи, че в дългосрочен план TISAX® ще замени предишните набори от правила за информационна сигурност в автомобилната индустрия. Понастоящем обаче все още е валидна версия 3.0 на VDA за защита на прототипи от 2018 г.

Въпроси и отговори относно TISAX® - Какво може да направи DQS за мен?

DQS е включена в списъка на ENX като одобрен доставчик на одиторски услуги и може да извършва оценки в целия свят. Всички наши одитори по TISAX ^®са също така одобрени одитори за международния стандарт ISO 27001, което означава, че и двата стандарта могат да бъдат оценени от DQS едновременно и с малко допълнителни усилия. Нашите експерти с удоволствие ще отговорят на вашите въпроси относно информационната сигурност в автомобилната индустрия. Очакваме с нетърпение да разговаряме с вас.

Експертиза и доверие

Нашите технически статии се пишат изключително от нашите вътрешни експерти по стандартизация и дългогодишни одитори. Ако имате някакви въпроси относно съдържанието или нашите автори, моля, не се колебайте да се свържете с нас.