Musíte předložit doklad o zabezpečení informací, které vám byly poskytnuty v souladu s požadavky "Posouzení bezpečnosti informací VDA" (VDA ISA)? Náš odborník na normy Holger Schmeken poskytuje odpovědi na důležité otázky týkající se TISAX® - společného postupu testování a výměny informací v automobilovém průmyslu. Okruh společností, kterých se to týká, je větší, než se možná původně předpokládalo. Kromě klasických dodavatelů Tier 1 je certifikace TISAX® stále častěji vyžadována i od dodavatelů na dalších dílčích úrovních - a také například od poskytovatelů služeb v oblasti zpracování dat nebo reklamy, tedy od partnerských firem automobilového průmyslu v nejširším slova smyslu.

Loading...

Co znamená zkratka TISAX®?

TISAX® - Trusted Information Security Assessment eXchange (Důvěryhodná výměna informací o bezpečnosti).

TISAX® je společný postup posuzování a výměny pro automobilový průmysl. Vychází z dotazníku o bezpečnosti informací (ISA - Information Security Assessment) vyvinutého pracovní skupinou VDA "Bezpečnost informací", který byl poprvé použit členskými společnostmi Německého svazu automobilového průmyslu (VDA) pro audity dodavatelů a poskytovatelů služeb, v jejichž společnostech se zpracovávají citlivé informace. Verze 5.1 dotazníku VDA ISA je k dispozici od roku 2022. Tato verze je od ledna 2022 povinná pro všechna nová hodnocení TISAX®. Práce s novým katalogem auditů TISAX® 5.1 by nyní měla být jednodušší a efektivnější - jak pro uživatele, tak pro auditory.

TISAX® navíc vychází ze základních požadavků mezinárodně uznávaného standardu pro bezpečnost informací: ISO 27001. Je použitelná ve všech odvětvích a definuje požadavky, pravidla a metody pro zajištění bezpečnosti informací ve společnosti. Norma ve svých požadavcích překračuje rámec ochrany technických systémů IT a zahrnuje všechna firemní aktiva hodná ochrany, například prostory, bezpečnostní kontroly a archivy. Jinými slovy: ISO 27001 zajišťuje ochranu všech informací, které mají pro organizaci hodnotu.

Jaké jsou výhody systému TISAX®?

  • TISAX® vytváří jednotnou úroveň zabezpečení informací v automobilovém průmyslu.
  • Výsledky hodnocení jsou uznávány napříč společnostmi mezi všemi účastníky systému TISAX®, což vede k větší důvěře v auditované společnosti
  • Vzájemným uznáváním v síti TISAX® se předchází zbytečným duplicitním a vícenásobným auditům .
  • Hodnocení pro certifikaci TISAX® probíhá pouze jednou za tři roky, což šetří čas a peníze
Loading...

TISAX: dobré plánování je základem úspěšného hodnocení

Stojíte před úkolem splnit požadavky automobilového průmyslu z hlediska bezpečnosti informací? Pak byste měli učinit některá důležitá rozhodnutí v předstihu před hodnocením TISAX®. Naše bezplatná bílá kniha vám poskytne návod.

Kdo monitoruje systém TISAX®?

TISAX® je registrovaná ochranná známka sdružení ENX se sídlem ve Frankfurtu nad Mohanem a v Paříži. Jako neutrální orgán je pověřena prováděním systému TISAX®. ENX je sdružení evropských výrobců automobilů, dodavatelů a čtyř národních automobilových sdružení, včetně VDA, které ENX založilo v roce 2000. Sdružení ENX dohlíží na kvalitu implementace a uděluje schválení poskytovatelům služeb posuzování podle přísného postupu. Společnost DQS je zařazena do seznamu ENX jako schválený poskytovatel auditorských služeb a může provádět posuzování po celém světě. Naši odborníci jsou vždy k dispozici pro zodpovězení vašich dotazů.

Aby bylo dosaženo vzájemného uznávání hodnocení ze strany účastníků, uzavírá ENX příslušné smlouvy se všemi schválenými poskytovateli auditorských služeb i s účastníky sítě TISAX®. Prostřednictvím standardizace a sledování kvality dosahuje ENX společného uznávání výsledků hodnocení všemi účastníky. Předchází se tak zbytečnému duplicitnímu a vícenásobnému posuzování.

Otázky a odpovědi týkající se systému TISAX®: Co je to úroveň hodnocení?

TISAX® rozlišuje tři úrovně posouzení (požadavky na ochranu) v závislosti na požadované ochraně: normální (úroveň 1), vysoká (úroveň 2) a velmi vysoká (úroveň 3). Od toho se odvíjí metoda auditu a náročnost auditu.

Úroveň 1: Vlastní posouzení bez kontroly věrohodnosti, obvykle pouze pro interní účely. Výsledky tohoto posouzení mají pouze omezený význam a v systému TISAX® se nepoužívají.

Úroveň 2: Kontrola věrohodnosti vašeho sebehodnocení poskytovatelem auditorských služeb, například DQS. Tyto audity bezpečnosti informací se obvykle provádějí jako telefonická konference, nikoli jako audity na místě - pokud se na ně nevztahuje některý z cílů auditu ochrany prototypu nebo pokud o to výslovně nepožádáte.

Novinkou je alternativní metoda provádění hodnocení na úrovni hodnocení 2. Místo kontroly věrohodnosti provede poskytovatel auditorských služeb kompletní test na dálku. Tato metoda se někdy označuje jako "Assessment-Level 2.5". Výhodou je, že tento přístup je metodicky kompatibilní s úrovní posuzování 3. Proto je možné později s zvládnutelným úsilím přejít na úplnou zkoušku na úrovni posouzení 3.

Úroveň 3: Kontrola věrohodnosti vašeho sebehodnocení poskytovatelem auditorských služeb prostřednictvím hloubkového, komplexního auditu na místě.

Je zavedení systému TISAX® nutností i pro nevýrobní společnosti?

Odpověď na tuto otázku závisí na kontextu vašeho podniku: Zda je nutné zavést systém TISAX®, závisí na vašem výrobci OEM (výrobce originálního vybavení), resp. na tom, zda od vás tento důkaz o bezpečnosti informací vyžaduje. Pokud se na vás výrobce automobilů výslovně neobrátí nebo pokud nezaznamenáte změnu v technických podmínkách, doporučujeme vyčkat a uvidíte. V minulosti byly společnosti v případě potřeby kontaktovány výrobcem OEM ohledně požadavků na další spolupráci. Je však samozřejmě na vás, abyste se aktivně dotazovali svých partnerů v automobilovém průmyslu.

Ale jak?

Dodavateli automobilového průmyslu, společnosti Mubea, se díky certifikaci ISO 27001 od společnosti DQS podařilo standardizovat bezpečnost informací v deseti evropských zemích, čímž se dobře umístil mezi konkurencí.

Profitujte ze zkušen­ostí os­tat­ních - přečtěte si jejich příspěvek na blogu

Má smysl usilovat o certifikaci TISAX® i bez požadavku zákazníka?

Proaktivní přístup k tématu bezpečnosti informací má v dnešní době obecně velký smysl, a to nejen pro dodavatele v automobilovém průmyslu. Pokud váš výrobce OEM (zatím) nespecifikuje, jaká značka TISAX® se od vás očekává, je dobré prokázat úroveň 3 (Assessment Level 3: velmi vysoká bezpečnost informací). Tímto způsobem budete připraveni na všechny budoucí požadavky, aniž byste museli duplikovat práci.

Alternativou je celosvětově uznávaná norma ISO/IEC 27001, která nabízí dobrý úvod do problematiky bezpečnosti informací napříč odvětvími. Revidovaná verze normy byla zveřejněna 25. října 2022.

ISO 27001 - Systém řízení bezpečnosti informací

Holistický systém řízení podle normy ISO ★ Efektivní zavedení procesu řízení rizik ★ Neustálé zlepšování úrovně zabezpečení

Další in­form­a­ce o ISO 27001

Je obsah normy TISAX® analogický normě ISO 27001?

Katalog hodnocení TISAX® je odvozen z mezinárodní normy ISO 27001 a vychází z v ní definovaných "kontrol" (opatření). Popisují, jak lze příslušné požadavky (musí, mělo by) realizovat, jak mají být zajištěny procesy a jaké nástroje lze použít. Hlavní rozdíl mezi oběma normami spočívá v tom, že TISAX® vyžaduje dosažení určité úrovně vyspělosti.

Doporučuje se kombinovaný audit norem TISAX® a ISO 27001?

Kombinovaný audit je rozhodně možný a DQS jej může kdykoli provést. Mnozí auditoři TISAX® ve společnosti DQS jsou zároveň autorizovanými auditory pro ISO 27001, což znamená, že obě posouzení bezpečnosti informací lze provést současně bez většího úsilí.

"Systém TISAX® jako první nabízí možnost zajistit jednotnou úroveň bezpečnosti informací v celém automobilovém průmyslu, a to na základě robustního základu dotazníku VDA a zásad ISO 27001."

Musím být před zavedením systému TISAX® certifikován podle normy ISO 27001?

Odpověď na tuto otázku zní: Ne. Neexistuje totiž žádný požadavek, že by již musel existovat certifikovaný systém řízení bezpečnosti informací podle normy ISO 27001. Pro hodnocení TISAX® musíte pouze prokázat, že pracujete podle systému řízení bezpečnosti informací a že příslušné procesy a postupy jsou ve společnosti stabilně zavedeny. Toto posouzení provádí auditor, který také na základě dokumentů přiřazuje úroveň vyspělosti.

Jaké jsou výhody toho, že již máte certifikaci ISO 27001?

Pokud již můžete doložit certifikát ISO 27001, je to samozřejmě vždy výhoda. Už jen proto, že pro TISAX® musíte prokázat, že máte zavedené řízení bezpečnosti informací, a oba soubory pravidel mají podobný rozsah.

"Digitalizace automobilového průmyslu: V oblasti bezpečnosti informací roste počet aplikací a dat ve vozidlech a s tím roste i plocha útoků a potenciál škod."

Upozornění: Definice rozsahu auditu TISAX® se však může lišit od definice požadované pro certifikaci ISO 27001. Základní pojmy nejsou totožné. U větších organizací lze také zvážit registraci více rozsahů auditu.

Je "definice procesu" normy ISO 9001 analogická s definicí TISAX®?

Odpověď na tuto otázku zní "ano". Definice a struktura procesů v odpovídajících souborech pravidel je v zásadě vždy stejná. V katalogu hodnocení TISAX® je také zcela konkrétně uvedeno, z jakých kontrol se KPI musí stanovit a z jakých nikoliv. Tvorba KPI je podložena příklady pro zajištění bezpečnosti informací v automobilovém průmyslu. Pohled do dotazníku VDA ISA proto pomáhá s prvotním přehledem.

Doporučuje se při zavádění systému TISAX® osoba odpovědná za bezpečnost IT?

Není povinné, aby osoba odpovědná za zavedení systému TISAX® pocházela z oddělení IT. Protože se však jedná o procesy podporované IT, je určitá znalost IT rozhodně výhodná.

Jak definovat rozsah hodnocení TISAX®?

Společnost ENX nabízí standardní rozsah, který přijímá 90 % všech účastníků systému TISAX® . Standardní rozsah je předdefinován a nelze jej měnit. Pokud během přípravy na hodnocení zjistíte, že vám standardní rozsah nevyhovuje, můžete si rozsah zkoušky za určitých okolností upravit. V jednotlivých případech mohou výrobci OEM požadovat rozšířený rozsah. Tyto zvláštní případy jsou však vzácné a příslušný OEM je s vámi podrobně projedná. Za normálních okolností je standardní rozsah dostačující. Je základem pro hodnocení TISAX® a je akceptován všemi účastníky.

Loading...

TISAX: dobré plánování pro dobré hodnocení

Stojíte před úkolem splnit požadavky automobilového průmyslu z hlediska bezpečnosti informací? Pak byste měli učinit některá důležitá rozhodnutí v předstihu před hodnocením TISAX®. Naše bezplatná bílá kniha vám poskytne návod.

Postačuje jeden rozsah posouzení pro všechna pracoviště?

Jeden rozsah, který zahrnuje všechny lokality, nabízí výhody, ale také nevýhody.

Výhody

  • Pouze jeden výsledek inspekce, jedna inspekční zpráva, jedno datum ukončení platnosti.
  • Snížení nákladů, protože centrální procesy, postupy a zdroje stačí posoudit pouze jednou.

Nevýhody

  • Výsledek auditu je k dispozici až po posouzení všech pracovišť
  • Výsledek auditu závisí na tom, zda všechna pracoviště auditem projdou, tj. pokud pouze jedno pracoviště auditem neprojde, neobdržíte pozitivní výsledek auditu

U společností s mnoha pobočkami může být pravidelný postup hodnocení TISAX® poměrně rozsáhlý. Za určitých podmínek nabízíme alternativu - "zjednodušené skupinové posouzení" (SGA). Zjednodušené skupinové posouzení je zvláštním případem postupu posouzení TISAX®. Pokud jsou splněny požadavky, může snížit náročnost ve srovnání s běžným posouzením TISAX®. Tento zvláštní postup posuzování TISAX® je určen pro společnosti s nejméně třemi lokalitami a centralizovaným, vysoce rozvinutým systémem řízení bezpečnosti informací (ISMS). Tento dodatek popisuje, za jakých okolností můžete využít zjednodušené skupinové posouzení a jak můžete projít zvláštním postupem posouzení.

Lze rozsah hodnocení izolovat, například na "bezpečnostně kritické zaměstnance"?

ENX na tuto otázku ohledně TISAX® odpovídá jednoznačně: Do rozsahu auditu musí být zahrnuti všichni zaměstnanci, kteří přicházejí do styku s citlivými informacemi z automobilového průmyslu. Může se jednat například i o obsluhu stroje, která pracuje s konstrukčním plánem zákazníka. Vaše společnost si musí sama definovat, kteří zaměstnanci se podílejí na procesech, které jsou relevantní z hlediska bezpečnosti informací.

Je pravda, že u systému ENX musí být nejprve podána žádost o audit TISAX® a teprve poté může být vybrán poskytovatel auditu?

Ano, je to pravda. Po vaší online registraci na adrese www.enx.com/tisax/ a schválení rozsahu posouzení společností ENX obdržíte seznam všech schválených poskytovatelů služeb posouzení. Tento seznam si však můžete prohlédnout i předem na stránkách ENX. Společnost DQS je uvedena na seznamu poskytovatelů služeb ENX a může provádět posouzení po celém světě. V případě dotazů a odpovědí týkajících se bezpečnosti informací v automobilovém průmyslu se neváhejte obrátit na naše odborníky.

Má šetření vůbec smysl, pokud je úroveň vyspělosti příliš nízká?

Pokud při sebehodnocení zjistíte, že vaše společnost má v oblasti bezpečnosti informací ještě co dohánět, nemá žádost o posouzení prozatím smysl. Doporučuje se nejprve odstranit zjištěné nedostatky a teprve poté uvažovat o auditu.

Jak dlouho trvají jednotlivá posouzení?

Odpověď na otázku, jak dlouho trvají jednotlivá posouzení, závisí na velikosti vaší společnosti a na cestách spojených s auditem vašich pracovišť. Pro průměrně velkou společnost jsou 2-3 dny na místě dostatečné pro proces posouzení.

Jak dlouho trvá, než je společnost považována za certifikovanou?

Celý proces auditu TISAX® může trvat maximálně devět měsíců. Začíná úvodním auditem a končí posledním následným auditem. Pokud se proces hodnocení nepodaří dokončit ve stanovené lhůtě, značku TISAX® neobdržíte.

baretton-gerber-1-dqs
Loading...

Hodnocení TISAX®

Vaše dotazy rádi zodpovíme i při osobním setkání.

Nezávazně a zdarma.

Pokud vaše společnost splňuje všechna kritéria nebo vykazuje pouze drobné neshody, je zpráva o posouzení předložena společnosti ENX. Jakmile bude schválena, obdržíte (dočasnou) značku TISAX®. Pokud se vyskytnou závažné neshody, které je třeba nejprve odstranit, je štítek platný ode dne, kdy je neshoda považována za odstraněnou.

Otázky a odpovědi týkající se systému TISAX®: Co jsou to štítky TISAX®?

Štítky jsou výsledkem procesu posuzování a shrnují váš výsledek. Jsou vzájemně hierarchicky propojeny. Pokud obdržíte určitý štítek, automaticky obdržíte i "štítky pod ním". Štítky lze zobrazit pouze na portálu ENX. Jejich platnost je obvykle tři roky.

Co jsou to závažné a méně závažné neshody?

O závažné neshodě hovoříme tehdy, pokud neshoda vyvolává pochybnosti o celkové účinnosti vašeho systému řízení bezpečnosti informací nebo pokud způsobuje významná rizika pro bezpečnost informací. Tak je tomu například v případě, že je vyžadována dvoufaktorová identifikace a ta dosud nebyla zavedena.

O méně závažnou neshodu se jedná například tehdy, pokud neshoda nezpochybňuje celkovou účinnost vašeho systému řízení bezpečnosti informací ani nepředstavuje významné riziko pro bezpečnost informací v automobilovém průmyslu. Například ojedinělé nebo sporadické chyby a nedostatky v implementaci.

Je třeba předložit také důkazy o účinnosti jednotlivých opatření?

Odpověď zní "ano". Poté, co vytvoříte katalog opatření a zavedete je, bude jejich účinnost ověřena. Z tohoto důvodu je v procesu certifikace stanovena také devítiměsíční lhůta.

Jak mohu "předem" určit počet zaměstnanců?

Konkrétně: Jak mohu předem určit přesný počet zaměstnanců, když další zaměstnanci mohou být přijati až po podpisu smlouvy s naším klientem?

Rozsah, do kterého jsou zaměstnanci zařazeni pro TISAX®, je podstatně větší než pro mezinárodní normu ISO 27001. TISAX® klasifikuje počet zaměstnanců například v rozmezí 0-50, 51-150 atd. Pokud tedy přibližně víte, kolik nových zaměstnanců bude přijato, můžete se zařadit do příslušného rozmezí.

Kolik dokumentů by mělo být k dispozici, aby bylo možné vyhovět požadavkům systému TISAX®?

Zde není možné učinit obecné prohlášení. Vždy záleží na velikosti a činnosti vaší společnosti. Teoreticky můžete vše obsáhnout v jediném dokumentu, pokud máte jasný přehled. Doporučuje se však vytvořit několik dokumentů, které pokrývají související témata.

Nahradí TISAX® ochranu prototypů VDA?

Vzhledem k tomu, že TISAX® obsahuje samostatný modul pro ochranu prototypů, který se věnuje jednotlivým kritériím mnohem podrobněji, než tomu bylo dříve, lze předpokládat, že TISAX® v dlouhodobém horizontu nahradí předchozí soubory pravidel pro ochranu informací v automobilovém průmyslu. V současné době je však stále platná verze 3.0 ochrany prototypů VDA z roku 2018.

Otázky a odpovědi týkající se systému TISAX® - Co pro mě může DQS udělat?

Společnost DQS je zapsána v seznamu ENX jako schválený poskytovatel auditních služeb a může provádět posouzení po celém světě. Mnozí naši auditoři TISAX® jsou zároveň schválenými auditory pro mezinárodní normu ISO 27001, což znamená, že obě normy může DQS posuzovat současně a bez většího úsilí. Naši odborníci vám rádi zodpoví vaše dotazy týkající se bezpečnosti informací v automobilovém průmyslu. Těšíme se na rozhovor s vámi.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Máte nějaké dotazy?

Obraťte se na nás!

Nezávazně a zdarma.

Odbornost a důvěra

Naše odborné články píší výhradně naši interní odborníci na normy a dlouholetí auditoři. Pokud máte jakékoli dotazy týkající se obsahu nebo našich autorů, neváhejte se na nás obrátit.

Autor
Holger Schmeken

Produktový manažer a expert na bezpečnost informací a vývoj softwaru. Holger Schmeken přispívá svými odbornými znalostmi také jako auditor pro ISO 27001 s kompetencí pro auditní postupy KRITIS.

Loading...

Relevantní články a události

Mohlo by vás také zajímat toto
Blog
Automotive Design Engineers Talking while Working on Electric Car Chassis Prototype. In Innovation L
Loading...

Nová pravidla IATF 16949 6 - aktualizace 2024

Blog
iatf-16949-certification-dqs-three engineers working on a virtual 3d model of a car
Loading...

Certifikace IATF 16949: klíč ke kvalitě a efektivitě

Blog
AI in the Automotive Industry, Robot handing person car keys
Loading...

Vstup do éry umělé inteligence v automobilech: Jak může pomoci TISAX®️