TISAX® Procjena - Sigurnost informacija u automobilskoj industriji u BiH
Međusobno priznanje među svim TISAX® učesnicima
Dobavljači i pružatelji usluga postižu veće povjerenje u auditiranu firmu u BiH
Procjena za TISAX® certifikaciju održava se samo svake tri godine
Ušteda vremena i troškova učestvovanjem u TISAX® mreži
Osnovne informacije o TISAX® procjenama
ISA se takođe poziva na ISO/SAE 62443-2-1 za industrijske upravljačke sisteme za automatizaciju i nadzor industrijskih proizvodnih objekata (IACS) i operativnih tehnologija (OT).
Osim toga, nadležna tijela u njemačkom Udruženju automobilske industrije (VDA - German Association of the Automotive Industry) stvorila su uslove za uspostavu zajedničkog mehanizma procjene i razmjene pod nazivom TISAX® (Trusted Information Security Assessment eXchange). TISAX® je registrovani zaštitni znak Udruženja europskih proizvođača automobila, dobavljača automobila i automobilskih udruga - ENX Association. Udruženje prati kvalitet TISAX® procjena i kontroliše odobrenje pružatelja usluga TISAX® audita.
Više od 10.000 lokacija je sada procijenjeno prema TISAX®-u, što ovaj standard čini drugim najšire implementiranim skupom pravila za sigurnost informacija u svijetu nakon ISO 27001. VDA i ENX su formirali međunarodne radne grupe za TISAX® i ISA katalog za dalji razvoj standarda. Istovremeno, ovo promoviše bližu saradnju sa globalnom automobilskom industrijom. Uz TISAX 6.0, ažurirani obrazac postupka ocjenjivanja i razmjene objavljen je u jesen 2023. godine.
TISAX® 2.2 - Obavezno od 1. aprila 2024. - Prijelazne napomene
Novi ISA katalog 6.0 je važna prekretnica za TISAX®. Katalog ocjenjivanja dovodi do prilagođavanja zahtjeva za pružaoce audita, koji su definisani u TISAX® ACAR 2.2 propisima. Promjena glavnog jezika u engleski naglašava globalnu perspektivu i zajedničke napore za svjetski razvoj. Planirani su daljnji prevodi TISAX VDA 6.0.
Najvažnije promjene u novom ISA katalogu 6.0 su
Promjene sigurnosnih oznaka:
- Oznaka Informacijska sigurnost zamijenjena je oznakama dostupnosti i povjerljivosti. Ovisno o vašoj ulozi u lancu nabavke, dostupnost ili povjerljivost ili oboje mogu biti relevantni za vas.
- Postojeća oznaka "Informacijska sigurnost Visoka" bit će zamijenjena kombinovanim oznakama "Visoka dostupnost" i "Visoka povjerljivost". Isto se odnosi i na postojeću oznaku za vrlo visoku sigurnost informacija. Bit će zamijenjen sa "Vrlo visoka dostupnost" i "Stroga povjerljivost".
- Obje oznake moraju ispunjavati isti skup osnovnih zahtjeva. Osim toga, svaka etiketa ima posebne zahtjeve za visoke i vrlo visoke potrebe zaštite. Proces procjene je vođen etiketama, uzimajući u obzir vašu ulogu u lancu snabdevanja. Stoga je vrijedno provjeriti sa svojim klijentima koje su oznake relevantne za vašu ulogu.
Povećan fokus na sigurnost informacija i OT sisteme u lancu nabavke
- Relevantne kompanije u lancu nabavke moraju ispuniti zahtjeve "visoke dostupnosti" ili "vrlo visoke dostupnosti".
- Naglasak na sistemima operativne tehnologije (OT) u proizvodnji i drugim područjima u TISAX® procjeni.
- Reference na IEC 62443-2-1 i novi zahtjevi ISA kataloga promovišu OT fokus.
- Uključivanje industrijskih komunikacijskih i kontrolnih sistema (IACS).
- Kompanije u ovoj kategoriji moraju pokazati adekvatnu zaštitu osjetljivih podataka u razvoju i proizvodnji.
- Mnogi zahtjevi se preklapaju sa "visokom osjetljivošću" ili "vrlo visokom osjetljivošću".
- Kompanije u lancu snabdijevanja koje nisu visoko relevantne, ali su im povjerene osjetljive informacije, moraju pokazati da se te informacije mogu adekvatno zaštititi.
- Oznake "Visoka povjerljivost" ili "Stroga povjerljivost" koriste se za odabir zahtjeva TISAX® koji doprinose ovom cilju zaštite.
- Glavna svrha gore opisane selektivne procjene je osigurati da kompanije moraju ispuniti samo zahtjeve ISA kataloga koji su relevantni za njihovu ulogu.
Novi izazovi za proizvodne kompanije
- OT sistemi moraju biti predmet upravljanja sličnog onom koji je generalno potreban za TISAX® IT sisteme.
- Kao rezultat toga, OT u upravljanju imovinom je identifikovan sa svojim specifičnim rizicima, analiziran na potencijalne ranjivosti, kojim upravljaju kompetentni zaposleni, podvrgnut je procesima kompatibilnim sa ISMS-om za daljinsko održavanje i drugim najboljim praksama upravljanja.
Koje su prednosti TISAX® procjene za vašu organizaciju?
- Izbjegavanje višestrukih procjena različitih kupaca
- Priznanje procjena informacijske sigurnosti među firmama za TISAX® učesnike
- Pouzdanost rezultata zahvaljujući usklađenom VDA ISA katalogu ispitivanja
- Jačanje povjerenja u auditirane firme u Bosni i Hercegovini s oznakom TISAX®
Nakon uspješne procjene dobit ćete oznaku TISAX® na TISAX® online platformi. Ova oznaka je uporediva sa certifikatom i služi za jačanje povjerenja u Vašu kompaniju i potvrdu Vaših napora da osigurate sigurnost informacija.
Kako izgleda učestvovanje u TISAX®-u?
Kako izgleda TISAX® procjena u BiH?
Pre nego što počnete sa TISAX® procjenom, vaša kompanija mora da definiše jasan opseg. Ovo uključuje nivo ocjenjivanja, koji definiše specifične zahtjeve za ocjenjivanje. Ovi zahtjevi mogu uključivati osiguranje "dostupnosti" proizvodnih kapaciteta, garanciju "povjerljivosti" povjerenih informacija ili osiguranje "prototipnih dijelova" i "ličnih podataka". Ovi osnovni kriteriji primjenjuju se na sve lokacije unutar opsega.
Ključni izazov je kombinovati lokacije sa sličnim zahtjevima u jedan opseg. DQS može pružiti vrijedne smjernice za dizajn o tome treba li to biti jedan sveobuhvatan opseg ili višestruki opseg. U principu, postoje prednosti kombinovanja lokacija pod jednim opsegom u vidu mogućeg smanjenja napora audita ako sve lokacije rade pod centralizovanim ISMS-om.
Kao TISAX® učesnik morate se prvo registrovati na mreži. ENX će tada dodijeliti ID opsega. Imajte na umu da postoje naknade za usluge povezane s ovim procesom registracije, koje će se naplaćivati za svaku lokaciju u vašem opsegu.
U prvom koraku birate odobrenog pružatelja usluga audita. U drugom koraku, postoji kick-off sastanak, pregled dokumenta (samoprocjena, ne na licu mjesta) i naknadna procjena (Nivo 2: nije na licu mjesta, Nivo 3: na licu mjesta).
Imajte na umu: postoji alternativni metod za provođenje procjene na nivou procjene 2. Umjesto provjere vjerodostojnosti, vaš pružatelj audit usluga provodi potpunu udaljenu procjenu. Ova metoda se ponekad naziva "Nivo procjene 2.5." Prednost Nivoa ocjenjivanja 2.5 je u tome što je pristup metodološki kompatibilan sa Nivoom ocjenjivanja 3. Stoga je moguće nadograditi na puni ispit Nivoa 3 ocjenjivanja kasnije uz napor kojim se može upravljati.
Rezultati TISAX® audita bilježe u privremenom izvještaju. U slučaju neusklađenosti, dogovaraju se mjere koje će se primijeniti. Po potrebi se realizacija mjera utvrđuje u dogovorenom roku. Ova procedura osigurava da se svi identificirani problemi rješavaju efikasno i brzo.
Nakon što su neusklađenosti zatvorene, vrši se pregled efektivnosti kako bi se potvrdilo zatvaranje neusklađenosti i procijenila ukupna efikasnost preduzetih korektivnih akcija.
Konačni rezultat će biti objavljen online na ENX® portalu. Vaša kompanija će tada biti navedena kao učesnik u TISAX® procesu sa odgovarajućom oznakom za testiranje. Za razliku od ostalih certifikacija, ne postoji TISAX® certifikat.
Koliko košta TISAX® procjena u BiH?
Ciljevi zaštite, na primjer, odnose se na to želite li u procjenu uključiti teme poput zaštite prototipa ili zaštite podataka. Ako želite provesti TISAX® audit, razgovarajte s DQS-om, svojim odobrenim pružateljem usluga auditiranja, što je prije moguće. To je jedini način na koji možemo odrediti tačan izračun za opseg procjene i pružiti vam pouzdanu ponudu za cijenu vaše TISAX® certifikacije.
Šta možete očekivati od nas
- Više od 35 godina iskustva globalno i 20 godina iskustva u Bosni i Hercegovini u certificiranju sistema upravljanja i procesa
- Međunarodno priznati certifikati
- Lična podrška naših stručnjaka - u Bosni i Hercegovini, regionalno i globalno
- Prilagođene ponude sa fleksibilnim uslovima ugovora bez skrivenih troškova