TISAX certificering van de informatiebeveiliging wordt besproken door een man en vrouw in een controlekamer

Сертификация по TISAX®



TISAX® оценяване - Информационна сигурност в автомобилната индустрия

Вие сте доставчик на продукти или услуги за автомобилната индустрия? Тогава Вие трябва да докажете наличността на Вашите услуги или сигурността на чувствителната информация, която получавате. Също така се очаква да предоставите доказателство за правилното боравене с прототипите. Като участник в процеса на TISAX® това е възможно чрез съответна оценка, която трябва да се извършва само на всеки три години. Сертификацията TISAX® е валидна за всички индустрии и определя изискванията за информационна сигурност на Вашата компания.
Вижте повече
Вижте по-малко

Взаимно признаване между всички участници в TISAX®

Доставчиците на продукти и услуги постигат по-високо доверие във Вашето одитирано дружество

Оценката за сертификация по TISAX® се провежда само на всеки три години

Спестяване на време и разходи чрез участие в мрежата на TISAX®

Beschreibung Standard/Regelwerk

Основна информация за оценяването по TISAX®

TISAX® е обща процедура за оценяване и обмен на информация в автомобилния сектор. Тя се основава на въпросник (ISA - Information Security Assessment), разработен от работната група на VDA "Information Security", който от своя страна се основава на ключови аспекти на международния стандарт ISO/IEC 27001 и е разширен с модел за оценка за зрелост.

ISA също така се позовава на ISO / SAE 62443-2-1 за индустриални системи за управление за автоматизация и мониторинг на промишлени производствени съоръжения (IACS) и оперативни технологии (OT).

Освен това, отговорните органи в Германската асоциация на автомобилната индустрия (VDA) създадоха условия за създаване на съвместен механизъм за оценка и обмен под името TISAX® (Trusted Information Security Assessment eXchange). TISAX® е регистрирана търговска марка на асоциацията ENX. Асоциацията на европейските производители на автомобили, доставчици на автомобили и автомобилни асоциации следи за качеството на оценките на TISAX® и контролира одобрението на доставчиците на одитни услуги за TISAX®.

Над 10 000 локации вече са оценени според TISAX,® което прави този стандарт вторият най-широко прилаган набор от правила за информационна сигурност в световен мащаб след ISO 27001. VDA и ENX са сформирали международни работни групи за TISAX® и каталога на ISA, за да доразвият стандарта. В същото време това насърчава по-тясното сътрудничество със световната автомобилна индустрия. С TISAX 6.0 актуализираната форма на процедурата за оценка и обмен беше публикувана през есента на 2023 г.

TISAX® 2.2 – Задължителен от 1 април 2024 г. – Бележки за прехода

Оценките по TISAX®, които са заявени до 31 март 2024 г., могат да се извършат съгласно старата версия 5.1 на ISA. Първоначалните или ресертификационните оценки, възложени от 1 април 2024 г. нататък, ще се извършват изключително съгласно новата процедура TISAX® в съответствие с каталога ISA 6.0. Одитните дейности, които зависят от съществуващи одити, като оценки на план за коригиращи действия, последващи оценки, оценки за разширяване на обхвата или продължаващи опростени групови оценки, ще продължат да се извършват в съответствие с версията, под която е извършен първоначалният одит.

Информация за ключовите промени в новия ISA 6.0 може да бъде намерена в публикацията в нашия блог „Нов каталог на ISA 6.0“.

Новият ISA Catalog 6.0 е важен крайъгълен камък за TISAX®. Каталогът за оценка води до корекции на изискванията към доставчиците на одитни услуги, които са определени в разпоредбите на TISAX® ACAR 2.2. Смяната на основния език с английски подчертава глобалната перспектива и съвместните усилия за световно развитие. Планирани са допълнителни преводи на TISAX VDA 6.0.

Най-важните промени в новия каталог ISA 6.0 са

Промени на етикетите за сигурност:

  • Етикетът за информационна сигурност се заменя с етикетите за наличност и поверителност. В зависимост от Вашата роля във веригата на доставки, наличността или поверителността или и двете може да са от значение за Вас.
  • Съществуващи етикети "Information Security High" ще бъдат заменени с комбинираните етикети "Availability High" и "Confidentiality High". Същото важи и за съществуващ етикет за информационна сигурност Very High. Той ще бъде заменен с "Availability very high" и "Confidentiality strict".
  • И двата етикета трябва да отговарят на един и същ набор от базови изисквания. Освен това всеки етикет има специфични изисквания за високи и много високи потребности от защита. Процесът на оценка се ръководи от етикетите, като се взема предвид Вашата роля във веригата на доставки. Затова си струва да проверите с клиентите си, кои етикети са подходящи за Вашата роля.

Повишен фокус върху информационната сигурност и OT системите във веригата на доставки:

  • Релевантните компании във веригата на доставки трябва да отговарят на изискванията за " high availability" или "very high availability".
  • Акцент върху системите за оперативни технологии (OT) в производството и други области в оценката TISAX®.
  • Препратките към IEC 62443-2-1 и новите изисквания на каталога на ISA насърчават фокуса върху OT.
  • Включване на индустриални комуникационни и контролни системи (IACS).
  • Дружествата от тази категория трябва да демонстрират адекватна защита на чувствителните данни при разработването и производството. 
  • Много от изискванията се припокриват с тези за „Висока чувствителност“ или „Много висока чувствителност“.
  • Дружествата във веригата на доставки, които не са с висока степен на значимост, но на които е поверена чувствителна информация, трябва да докажат, че тази информация може да бъде адекватно защитена. 
  • Етикетите „Поверително“ или „Строго поверително“ се използват за избор на изискванията на TISAX® , които допринасят за тази цел на защита.
  • Основната цел на селективната оценка, описана по-горе, е да се гарантира, че дружествата трябва да изпълняват само изискванията на каталога на ISA, които са от значение за тяхната роля. Нови предизвикателства пред производствените компании
  • OT системите трябва да бъдат обект на управление, подобно на това, което обикновено се изисква за TISAX® IT системи
  • В резултат на това OT в управлението на активи се идентифицира със своите специфични рискове, анализира се за потенциални уязвимости, управлява се от компетентни служители, подлага се на съвместими със ISMS процеси за дистанционна поддръжка и други най-добри практики за управление.
Anforderungen

Какви са предимствата на оценката по TISAX® за Вашата компания?

Като изпълнител на услуги или доставчик в автомобилната индустрия, трябва да демонстрирате на клиентите си, че отговаряте на техните изисквания за информационна сигурност. Досега тези оценки се извършваха главно от самите производители. Регистрираните участници в мрежата TISAX® могат да изберат доставчик на услуги за оценка чрез обща онлайн платформа и да поръчат оценка. Предимствата за компаниите са повече от недостатъците:

  • Дублиращите се и множество оценки от различни клиенти могат да бъдат избегнати, спестявайки време и пари.
  • Междуфирмено признаване на оценките за участниците в TISAX®
  • Надеждни резултати благодарение на хармонизирания каталог за оценка, който осигурява последователен процес на оценка
  • Повишено доверие в оценяваната компания чрез етикет TISAX®

След успешна оценка ще получите етикет TISAX® на онлайн платформата TISAX®. Този етикет е сравним със сертификат и служи за укрепване на доверието във Вашата компания и за потвърждаване на Вашите усилия за осигуряване на информационна сигурност.

Wie funktioniert

Как работи TISAX®?

В TISAX® участниците могат да имат две различни роли: "Потребител на информация" (пасивен), например е производител, който би искал да получи информация за даден доставчик, и "Приносител на информация" (активен), например доставчик на части или доставчик на услуги, който би искал да бъде проверен за пригодност, за да получава поръчки от производители.

Дадена компания може да поеме и двете роли на участник. Всеки, който желае да участва в TISAX® като "Приносител на информация", трябва да предприеме следните четири основни стъпки:

  • 1. Да се регистрира онлайн на адрес www.enx.com/TISAX
  • 2. Да избере одобрен от ENX доставчик на одитни услуги, като например DQS
  • 3. Да премине оценяване по TISAX®
  • 4. Да предостави резултатите от одита в онлайн платформата TISAX®.

Ако дадена компания се интересува от Вашите резултати от TISAX, тя може да се регистрира в ENX като „Потребител на информация“. Вие можете да решите за всеки потребител на информация дали искате да споделите текущия си статус в TISAX с него.

Business28.png

Как работи оценката TISAX®?

Преди да започнете с оценката на TISAX®, Вашата компания трябва да определи ясен обхват. Това включва нивото на оценка, което определя специфичните изисквания за оценка. Тези изисквания могат да включват осигуряване на „наличност“ на производствени мощности, гарантиране на „конфиденциалността“ на поверената информация или осигуряване на „прототипни части“ и „лични данни“. Тези основни критерии се прилагат за всички локации в обхвата.
Ключово предизвикателство е да се комбинират локации с подобни изисквания в един обхват. DQS може да предостави ценни насоки за проектиране дали трябва да бъде един цялостен обхват или множество обхвати. По принцип има предимства при комбинирането на локации в един обхват под формата на възможно намаляване на усилията за одит, ако всички локации работят под централизирана ISMS.

В първата стъпка избирате одобрен доставчик на одитни услуги. Във втората стъпка има начален етап, преглед на документите (самооценка, не на място) и последваща оценка (ниво 2: не на място, ниво 3: на място).

Моля, обърнете внимание, че има алтернативен метод за провеждане на оценяване в ниво 2. Вместо проверка за достоверност, Вашият доставчик на одитни услуги извършва пълна дистанционна оценка. Този метод понякога се нарича "Ниво на оценка 2.5". Предимството на ниво на оценка 2.5 е, че подходът е методологически съвместим с ниво на оценка 3. Следователно е възможно да се премине към пълна оценка на ниво Оценка 3 на по-късна дата с управляеми усилия.

Резултатите от одита на TISAX® се записват в междинен доклад. В случай на несъответствия се договарят мерките, които трябва да бъдат приложени. При необходимост изпълнението на мерките се определя в договорен срок. Тази процедура гарантира, че всички идентифицирани проблеми се адресират ефективно и своевременно.

След като несъответствията бъдат приключени, се извършва преглед на ефикасността, за да се потвърди приключването на несъответствията и да се оцени цялостната ефикасност на предприетите коригиращи действия.

Крайният резултат ще бъде публикуван онлайн в портала ENX®. След това Вашата компания ще бъде посочена като участник в процеса на TISAX® със съответния тестов етикет. За разлика от други сертификации, няма сертификат TISAX®.

Banking13.png

Цена на оценяването по TISAX®?

Два важни фактора оказват влияние върху обхвата на цялостното оценяване и съответно върху разходите. Възможно е оценяване на базата на разширен обхват, стандартен обхват или ограничен обхват. Вашето решение за обхвата трябва да бъде добре подготвено и да се определя от желаните цели за защита, но също така и от размера на Вашата компания.

Целите за защита например се отнасят до това, дали искате да включите в оценката теми като защита на прототипи или защита на данни. Ако искате да се включите в процедурата TISAX®, говорете възможно най-рано с DQS - Вашия одобрен доставчик на одитни услуги. Само така можем да определим правилната калкулация на обхвата на оценката и да Ви предоставим достоверна оферта за цената на Вашата сертификация по TISAX®.

Business2.png

Какво можете да очаквате от нас

  • DQS е одобрен доставчик на одитни услуги на Асоциацията ENX
  • Оценка с добавена стойност за информационната сигурност във Вашата организация
  • Акредитации за всички съответни регулации в автомобилната индустрия
  • Одитори с опит в индустрията и експерти от областта
  • Над 35 години опит в сертификацията на системи за управление и процеси
  • Международно признати сертификати
  • Персонално и безпроблемно съдействие от нашите специалисти - на регионално, национално и международно ниво
  • Индивидуални оферти с гъвкави договорни условия без скрити разходи

Запитване за оферта

Вашето лице за контакт: инж. Хайко Шмидт

Ще се радваме да Ви предоставим индивидуална оферта за процеса TISAX.

Вашето запитване