TISAX® certifikacija u Bosni i Hercegovini

TISAX® Procjena - Sigurnost informacija u automobilskoj industriji u BiH

Jeste li dobavljač ili pružatelj usluga za automobilsku industriju? Onda morate dokazati dostupnost svojih usluga ili sigurnost osjetljivih informacija koje primate. Od vas se također očekuje da pružite dokaz o ispravnom rukovanju prototipovima. Kao učesnik u TISAX® procesu, to je moguće kroz odgovarajuću procjenu, koju je potrebno provesti samo jednom svake tri godine. TISAX® certifikat važi za sve industrije i definiše zahtjeve vaše kompanije za sigurnost informacija.

Međusobno priznanje među svim TISAX® učesnicima

Dobavljači i pružatelji usluga postižu veće povjerenje u auditiranu firmu u BiH

Procjena za TISAX® certifikaciju održava se samo svake tri godine

Ušteda vremena i troškova učestvovanjem u TISAX® mreži

Osnovne informacije o TISAX® procjenama

TISAX® je uobičajeni postupak procjene i razmjene za automobilski sektor. Temelji se na upitniku (ISA - Information Security Assessment) koji je razvila VDA radna skupina "Informacijska sigurnost", a koji se pak temelji na ključnim aspektima međunarodnog standarda ISO/IEC 27001 te je proširen tako da uključuje model zrelosti.

ISA se takođe poziva na ISO/SAE 62443-2-1 za industrijske upravljačke sisteme za automatizaciju i nadzor industrijskih proizvodnih objekata (IACS) i operativnih tehnologija (OT).

Osim toga, nadležna tijela u njemačkom Udruženju automobilske industrije (VDA - German Association of the Automotive Industry) stvorila su uslove za uspostavu zajedničkog mehanizma procjene i razmjene pod nazivom TISAX® (Trusted Information Security Assessment eXchange). TISAX® je registrovani zaštitni znak Udruženja europskih proizvođača automobila, dobavljača automobila i automobilskih udruga - ENX Association. Udruženje prati kvalitet TISAX® procjena i kontroliše odobrenje pružatelja usluga TISAX® audita.

Više od 10.000 lokacija je sada procijenjeno prema TISAX®-u, što ovaj standard čini drugim najšire implementiranim skupom pravila za sigurnost informacija u svijetu nakon ISO 27001. VDA i ENX su formirali međunarodne radne grupe za TISAX® i ISA katalog za dalji razvoj standarda. Istovremeno, ovo promoviše bližu saradnju sa globalnom automobilskom industrijom. Uz TISAX 6.0, ažurirani obrazac postupka ocjenjivanja i razmjene objavljen je u jesen 2023. godine.

Prikaži više

Prikaži manje

TISAX® 2.2 - Obavezno od 1. aprila 2024. - Prijelazne napomene

TISAX® procjene koje su naručene do 31. marta 2024. mogu se izvršiti prema staroj verziji ISA 5.1. Inicijalna ili recertifikacijska ocjenjivanja naručena od 1. aprila 2024. nadalje će se provoditi isključivo po novoj TISAX® proceduri u skladu s ISA katalogom 6.0. Audit aktivnosti koje zavise od postojećih audita, kao što su procjene plana korektivnih akcija, naknadne procjene, procjene proširenja opsega ili kontinuirane pojednostavljene grupne procjene, nastavit će se obavljati u skladu s verzijom prema kojoj je izvršen prvobitni audit.

Informacije o ključnim promjenama u novom ISA 6.0 možete pronaći u našem blog postu "Novi ISA katalog 6.0".

Novi ISA katalog 6.0 je važna prekretnica za TISAX®. Katalog ocjenjivanja dovodi do prilagođavanja zahtjeva za pružaoce audita, koji su definisani u TISAX® ACAR 2.2 propisima. Promjena glavnog jezika u engleski naglašava globalnu perspektivu i zajedničke napore za svjetski razvoj. Planirani su daljnji prevodi TISAX VDA 6.0.

Najvažnije promjene u novom ISA katalogu 6.0 su

Promjene sigurnosnih oznaka:

Oznaka Informacijska sigurnost zamijenjena je oznakama dostupnosti i povjerljivosti. Ovisno o vašoj ulozi u lancu nabavke, dostupnost ili povjerljivost ili oboje mogu biti relevantni za vas.
Postojeća oznaka "Informacijska sigurnost Visoka" bit će zamijenjena kombinovanim oznakama "Visoka dostupnost" i "Visoka povjerljivost". Isto se odnosi i na postojeću oznaku za vrlo visoku sigurnost informacija. Bit će zamijenjen sa "Vrlo visoka dostupnost" i "Stroga povjerljivost".
Obje oznake moraju ispunjavati isti skup osnovnih zahtjeva. Osim toga, svaka etiketa ima posebne zahtjeve za visoke i vrlo visoke potrebe zaštite. Proces procjene je vođen etiketama, uzimajući u obzir vašu ulogu u lancu snabdevanja. Stoga je vrijedno provjeriti sa svojim klijentima koje su oznake relevantne za vašu ulogu.

Povećan fokus na sigurnost informacija i OT sisteme u lancu nabavke

Relevantne kompanije u lancu nabavke moraju ispuniti zahtjeve "visoke dostupnosti" ili "vrlo visoke dostupnosti".
Naglasak na sistemima operativne tehnologije (OT) u proizvodnji i drugim područjima u TISAX® procjeni.
Reference na IEC 62443-2-1 i novi zahtjevi ISA kataloga promovišu OT fokus.
Uključivanje industrijskih komunikacijskih i kontrolnih sistema (IACS).
Kompanije u ovoj kategoriji moraju pokazati adekvatnu zaštitu osjetljivih podataka u razvoju i proizvodnji.
Mnogi zahtjevi se preklapaju sa "visokom osjetljivošću" ili "vrlo visokom osjetljivošću".
Kompanije u lancu snabdijevanja koje nisu visoko relevantne, ali su im povjerene osjetljive informacije, moraju pokazati da se te informacije mogu adekvatno zaštititi.
Oznake "Visoka povjerljivost" ili "Stroga povjerljivost" koriste se za odabir zahtjeva TISAX® koji doprinose ovom cilju zaštite.
Glavna svrha gore opisane selektivne procjene je osigurati da kompanije moraju ispuniti samo zahtjeve ISA kataloga koji su relevantni za njihovu ulogu.

Novi izazovi za proizvodne kompanije

OT sistemi moraju biti predmet upravljanja sličnog onom koji je generalno potreban za TISAX® IT sisteme.
Kao rezultat toga, OT u upravljanju imovinom je identifikovan sa svojim specifičnim rizicima, analiziran na potencijalne ranjivosti, kojim upravljaju kompetentni zaposleni, podvrgnut je procesima kompatibilnim sa ISMS-om za daljinsko održavanje i drugim najboljim praksama upravljanja.

Prikaži više

Prikaži manje

Koje su prednosti TISAX® procjene za vašu organizaciju?

Kao pružatelj usluga ili dobavljač u automobilskoj industriji, morate svojim kupcima dokazati da ispunjavate zahtjeve informacijske sigurnosti. Do sada su te procjene prvenstveno obavljali sami proizvođači. Registrovani učesnici u Bosni i Hercegovini u TISAX® mreži sada mogu odabrati pružatelja usluge audita putem zajedničke internetske platforme i zatražiti procjenu. Prednosti za firme nadmašuju nedostatke:

Izbjegavanje višestrukih procjena različitih kupaca
Priznanje procjena informacijske sigurnosti među firmama za TISAX® učesnike
Pouzdanost rezultata zahvaljujući usklađenom VDA ISA katalogu ispitivanja
Jačanje povjerenja u auditirane firme u Bosni i Hercegovini s oznakom TISAX®

Nakon uspješne procjene dobit ćete oznaku TISAX® na TISAX® online platformi. Ova oznaka je uporediva sa certifikatom i služi za jačanje povjerenja u Vašu kompaniju i potvrdu Vaših napora da osigurate sigurnost informacija.

Prikaži više

Prikaži manje

Kako izgleda učestvovanje u TISAX®-u?

U TISAX®-u učesnici iz Bosne i Hercegovine mogu preuzeti dvije različite uloge: "Korisnik informacija" (pasivna uloga) je, na primjer, proizvođač koji želi primati informacije o dobavljaču, a "Doprinositelj informacija" (aktivna uloga) je, na primjer, dobavljač dijelova ili pružatelj usluga koji auditom želi dokazati svoju podobnost za primanje narudžbi od proizvođača.

Firme u Bosni i Hercegovini također mogu preuzeti obje uloge učesnika. Svako ko želi učestvovati u TISAX®-u kao doprinositelj informacija mora poduzeti sljedeća četiri glavna koraka:

1. Registrujte se online na www.enx.com/TISAX2. Odaberite pružatelja usluga audita kojeg je odobrio ENX, kao što je DQS3. Prođite TISAX® procjenu4. Razmijenite rezultate audita na TISAX® internetskoj platformi.

Ako je kompanija zainteresovana za vaše TISAX rezultate, može se registrovati kod ENX-a kao "Korisnik informacija". Za svakog korisnika informacija možete odlučiti da li želite s njima podijeliti svoj trenutni TISAX status.

Kako izgleda TISAX® procjena u BiH?

Pre nego što počnete sa TISAX® procjenom, vaša kompanija mora da definiše jasan opseg. Ovo uključuje nivo ocjenjivanja, koji definiše specifične zahtjeve za ocjenjivanje. Ovi zahtjevi mogu uključivati osiguranje "dostupnosti" proizvodnih kapaciteta, garanciju "povjerljivosti" povjerenih informacija ili osiguranje "prototipnih dijelova" i "ličnih podataka". Ovi osnovni kriteriji primjenjuju se na sve lokacije unutar opsega.

Ključni izazov je kombinovati lokacije sa sličnim zahtjevima u jedan opseg. DQS može pružiti vrijedne smjernice za dizajn o tome treba li to biti jedan sveobuhvatan opseg ili višestruki opseg. U principu, postoje prednosti kombinovanja lokacija pod jednim opsegom u vidu mogućeg smanjenja napora audita ako sve lokacije rade pod centralizovanim ISMS-om.

U prvom koraku birate odobrenog pružatelja usluga audita. U drugom koraku, postoji kick-off sastanak, pregled dokumenta (samoprocjena, ne na licu mjesta) i naknadna procjena (Nivo 2: nije na licu mjesta, Nivo 3: na licu mjesta).

Imajte na umu: postoji alternativni metod za provođenje procjene na nivou procjene 2. Umjesto provjere vjerodostojnosti, vaš pružatelj audit usluga provodi potpunu udaljenu procjenu. Ova metoda se ponekad naziva "Nivo procjene 2.5." Prednost Nivoa ocjenjivanja 2.5 je u tome što je pristup metodološki kompatibilan sa Nivoom ocjenjivanja 3. Stoga je moguće nadograditi na puni ispit Nivoa 3 ocjenjivanja kasnije uz napor kojim se može upravljati.

Rezultati TISAX® audita bilježe u privremenom izvještaju. U slučaju neusklađenosti, dogovaraju se mjere koje će se primijeniti. Po potrebi se realizacija mjera utvrđuje u dogovorenom roku. Ova procedura osigurava da se svi identificirani problemi rješavaju efikasno i brzo.

Nakon što su neusklađenosti zatvorene, vrši se pregled efektivnosti kako bi se potvrdilo zatvaranje neusklađenosti i procijenila ukupna efikasnost preduzetih korektivnih akcija.

Konačni rezultat će biti objavljen online na ENX® portalu. Vaša kompanija će tada biti navedena kao učesnik u TISAX® procesu sa odgovarajućom oznakom za testiranje. Za razliku od ostalih certifikacija, ne postoji TISAX® certifikat.

Koliko košta TISAX® procjena u BiH?

Dva važna faktora utječu na opseg cjelokupne procjene, a time i na troškove procjene u Bosni i Hercegovini. Procjene su moguće na temelju proširenog opsega, standardnog opsega ili ograničenog opsega. Vaša odluka o opsegu treba biti dobro pripremljena i određena prema željenim ciljevima zaštite, ali i veličini vaše firme.

Ciljevi zaštite, na primjer, odnose se na to želite li u procjenu uključiti teme poput zaštite prototipa ili zaštite podataka. Ako želite provesti TISAX® audit, razgovarajte s DQS-om, svojim odobrenim pružateljem usluga auditiranja, što je prije moguće. To je jedini način na koji možemo odrediti tačan izračun za opseg procjene i pružiti vam pouzdanu ponudu za cijenu vaše TISAX® certifikacije.

Prikaži više

Prikaži manje

Šta možete očekivati od nas

DQS je ovlašteni pružatelj usluga auditiranja Udruženja ENX Association
Vrijedan uvid u sigurnost podataka vaše organizacije
Akreditacije za sve relevantne propise u automobilskoj industriji
Auditori u Bosni i Hercegovini s iskustvom u industriji i stručnjaci iz relevantnih područja

Više od 35 godina iskustva globalno i 20 godina iskustva u Bosni i Hercegovini u certificiranju sistema upravljanja i procesa
Međunarodno priznati certifikati
Lična podrška naših stručnjaka - u Bosni i Hercegovini, regionalno i globalno
Prilagođene ponude sa fleksibilnim uslovima ugovora bez skrivenih troškova

Prikaži više

Prikaži manje

TISAX® Procjena

DQS GmbH je registrovani TISAX® učesnik i prošao je TISAX® procjenu za oznaku „Vrlo visoka sigurnost informacija“ na nivou procjene 3. TISAX® procjene vrše ENX akreditovani pružaoci usluga procjene. Rezultati TISAX® procjene nisu namijenjeni široj javnosti. Rezultat provjere u DQS GmbH dostupan je registrovanim učesnicima putem ENX portala: https://portal.enx.com/

Prezumite dokument ovdje