Общите разходи за оценка по TISAX® надхвърлят значително сумата, посочена във фактурата на одитора. За доставчиците на автомобилни компоненти и доставчиците на услуги, които преценяват ниво 2 на оценката, вътрешните усилия, качеството на документацията и бъдещите възможности за надграждане могат значително да повлияят на общата инвестиция.

Общото схващане за ниво 2 на оценката

Когато доставчиците в автомобилната индустрия за първи път проучват вариантите за оценка по TISAX®, ниво 2 (AL2) обикновено изглежда като логичната отправна точка. Таксите за външна оценка са по-ниски от тези за по-високите нива. Тя се извършва дистанционно, така че няма нужда от пътуване, а на хартия пътят към сертификат по TISAX® изглежда по-кратък и по-евтин.

Въпреки това организациите, които планират своя път към TISAX® единствено въз основа на таксите за оценка, често се сблъскват с по-сложна реалност. Общият обем на усилията, необходими за получаване и поддържане на сертификат по TISAX®, зависи от фактори, които далеч надхвърлят това, което фигурира във фактурата на одитора.

За доставчиците в автомобилната индустрия е от решаващо значение да разберат цялостната картина, преди да се ангажират с дадено ниво на оценка.

Какво всъщност изисква ниво 2 на оценка

Ниво 2 на оценка по TISAX® представлява оценка на правдоподобността. Задачата на оценителя е да прецени дали самооценката на организацията правдоподобно описва функционираща система за управление на информационната сигурност (ISMS), която отговаря на изискванията от каталога на ISA.

За разлика от ниво 3 на оценка, ниво 2 не включва проверка на място на внедрените контролни мерки. Оценката се извършва предимно въз основа на писмената самооценка на организацията и подкрепящата документация.

Това има решаващо значение: качеството на самооценката определя успеха на процеса.

За AL2 оценителят трябва да може да разбере как се изпълнява всяка цел на контрол, като се основава единствено на писменото описание в каталога на ISA. Документите с доказателства служат за подкрепа на тези обяснения — те не ги заместват. Ако текстът на самооценката е неясен, непоследователен или недостатъчно подробен, никакво количество допълнителна документация не може да компенсира това. В такива случаи се налагат ревизии и допълнителни цикли на преглед, което удължава както сроковете, така и вътрешните усилия.

Защо вътрешните усилия често се подценяват

Таксите за оценка са видими. Вътрешните усилия не са — и точно това хваща много организации неподготвени.

Подготовката на правдоподобна самооценка изисква подробно и документирано разбиране за това как функционират контролите за информационна сигурност в цялата организация. Това обикновено включва принос от:

  • отделите за информационна сигурност и ИТ
  • Отделите по човешки ресурси и управление на съоръженията
  • Отделите за съответствие и правни въпроси
  • Изпълнителното ръководство

Необходимото време зависи до голяма степен от експертния опит и старанието на лицето, отговорно за документирането на контролните механизми в каталога на ISA. Организациите с добре установена система за управление на информационната сигурност (ISMS) и персонал, запознат с изискванията на TISAX®, често могат да завършат процеса ефективно. За разлика от тях, организациите с по-малко развита система за управление на информационната сигурност (ISMS) обикновено се сблъскват със значително по-големи усилия при събирането на необходимата информация и описанието на основните процеси и контролни мерки по ясен и разбираем начин. Въз основа на опита от оценките, добре подготвените организации обикновено инвестират около 24 часа в подготовката на правдоподобна самооценка. По-слабо подготвените организации могат да се нуждаят от 48 часа или повече — а допълнителните цикли на преглед, поискани по време на проверката за правдоподобност, могат да увеличат това време още повече.

AL2 срещу AL2.5: По-балансиран поглед върху общия обем на усилията

Предположението, че по-ниското ниво на оценка автоматично означава по-ниска обща инвестиция, не винаги е вярно.

Когато се сравняват AL2 и AL2.5 по отношение на общия обем на усилията — включително както вътрешната подготовка на организацията, така и работата по прегледа на оценителя — картината изглежда различно от това, което подсказват само таксите за оценка:

Ниво на оценкаПриблизителен вътрешен усилиеВъншни усилия за оценка
AL2~28 часаНиско
AL2.5~10 часаПо-висока

 

AL2.5 предполага по-задълбочена оценка и по-активна роля на одитора, което води до по-високи външни разходи. Въпреки това, намалената вътрешна тежест при подготовката може да превърне AL2.5 в наистина по-ефективен вариант за организации, които не разполагат с необходимата дисциплина при документирането или с кадрови ресурси, за да проведат ефективно висококачествена самооценка по AL2.

Нито един от вариантите не е по принцип за предпочитане. Подходящият избор зависи от конкретните обстоятелства на организацията, а не от това кой вариант изглежда по-евтин в предложението за оценка.

Рискът от промяна на изискванията

Много организации започват своя път към TISAX® с ясно и конкретно изискване от един-единствен клиент: да получат сертификат на ниво на оценка 2. В този момент AL2 изглежда като единственият разумен избор.

Автомобилната екосистема обаче е динамична. Нови взаимоотношения с клиенти, разширен обхват на проектите или промени в класификацията на информацията могат да създадат необходимост от по-високи нива на оценка — понякога в рамките на същия период на валидност. Сценариите, които често възникват, включват:

  • Работа със строго поверителна информация
  • Изисквания, свързани с много висока наличност
  • Разширяване на обхвата, включващо защита на прототипи
  • Допълнителни изисквания, специфични за производителите на оригинално оборудване

Никоя организация не може да предвиди с сигурност всички бъдещи изисквания. Но отчитането на потенциалните бизнес развития още на етапа на планиране — вместо да се реагира на тях по-късно — може да помогне за избягване на ненужно дублиране на усилията.

Разбиране на истинската цена на преминаването от AL2

За организации, които започват от AL2 и по-късно се нуждаят от AL3, пътят към преминаването не е толкова ясен, колкото може да изглежда.

Тъй като AL2 се фокусира върху правдоподобността, а не върху проверката на контрола на място, методологичното припокриване между AL2 и AL3 е ограничено. Преминаването от AL2 към AL3 като цяло изисква усилия, сравними с тези за провеждане на първоначална оценка по AL3 от нулата. За едно местоположение това може да означава приблизително 24 часа усилия за оценка — по същество пълно презапочване.

За разлика от това, организациите, които започват от AL2.5, могат да отговарят на изискванията за диференциална оценка при преминаване към AL3. В зависимост от обхвата и етикетите, това може значително да намали усилията за оценка при преминаването към по-високо ниво.

Това не означава, че AL2 е грешна отправна точка. Но за организации, при които има реална вероятност да се наложи AL3 в бъдеще, икономическите аспекти на започването от по-високо ниво заслужават внимателно обмисляне.

Когато AL2 е правилният избор

Въпреки изброените по-горе фактори, ниво на оценка 2 е подходящ и ефективен избор за много организации. То може да бъде особено подходящо, когато:

  • Организацията вече поддържа добре документирана система за управление на информационната сигурност (ISMS)
  • Съответният персонал има солиден опит с изискванията и терминологията на TISAX®
  • Може да се подготви висококачествена самооценка с минимален брой итерации
  • Няма предвидимо изискване за преминаване към AL3 по време на текущия цикъл на оценяване

При тези условия ниво 2 на оценка може да осигури надежден път към получаване на сертификат по TISAX®, като същевременно се ограничат разходите за външна оценка.

Ключови въпроси, които да ви насочат при вземането на решение относно нивото на оценка

Вместо да се фокусират върху таксите за оценка, организациите биха спечелили повече, ако обмислят следните съображения:

  1. Колко зряла е съществуващата ни документация по ISMS? Могат ли от документираните процеси лесно да се изведат ясни и разбираеми описания на контролните мерки?
  2. Разполагаме ли с вътрешни ресурси, за да проведем задълбочен процес на самооценка, без да създаваме затруднения?
  3. Какви сертификати изискват настоящите ни клиенти? Има ли някой от тях, който вече отговаря на ниво AL3 или потенциално ще отговаря в близко бъдеще?
  4. Разширяваме ли се към нови клиентски взаимоотношения, които може да имат различни или по-високи очаквания по TISAX®?
  5. Какъв е нашият реалистичен път за надграждане? Ако AL3 стане необходимо, колко би ни струвал този преход от всяка от началните точки?

Отговорите на тези въпроси относно нивата на оценка по TISAX®, съчетани с мненията на екипите по информационна сигурност, ИТ и бизнес, осигуряват далеч по-надеждна основа за вземане на решения, отколкото простото сравняване на таксите за оценка.

Поглед отвъд таксите за оценка

Често се приема, че ниво на оценка 2 е най-икономичният път към получаване на сертификат по TISAX®. За организации с добре установени практики за документиране и без предвидима нужда от по-високи нива на оценка това предположение може и да е вярно.

За други обаче истинските разходи за AL2 — измерени в усилията за вътрешна подготовка, итерациите на прегледа и потенциалните разходи за надграждане — могат да надхвърлят видимите спестявания от таксите за оценка.

Най-рентабилното ниво на оценка не е непременно това с най-ниската начална цена. Това е нивото, което осигурява правилния баланс между усилия, гаранции и гъвкавост за конкретната ситуация на вашата организация.

Не сте сигурни кое ниво на оценка по TISAX® е подходящо за вашата организация?

Запознайте се с характеристиките, изискванията за усилия и пътищата за преминаване към по-високо ниво на AL2, AL2.5 и AL3, за да вземете информирано решение за оценката.

Научете повече за нивата на TISAX
Автор

Holger Schmeken

Продуктов мениджър и експерт по информационна сигурност и разработка на софтуер. Холгер Шмекен допринася с експертния си опит и като одитор по ISO 27001 с компетентност по процедурата за одит KRITIS.

Loading...

Свързани статии и събития

Това също може да Ви интересува
Блог
Loading...

Кризисна комуникация по време на атака с рансъмуер: Управление на информацията при извънредна ситуация

Блог
Loading...

Управление на конфигурацията в информационната сигурност

Блог
Loading...

Сигурност в облака с ISO 27001:2022