TISAX certificering van de informatiebeveiliging wordt besproken door een man en vrouw in een controlekamer

Certificación TISAX®

Su consulta


Evaluación TISAX® - Seguridad de la información en la industria del automóvil

¿Es usted un proveedor de automóviles o un proveedor de servicios? Entonces necesitas demostrar la disponibilidad de tus servicios o la seguridad de la información confidencial que recibe. También se espera que proporcione prueba de la correcta Manejo de prototipos. Como participante en el proceso TISAX®, esto es posible a través del correspondiente
evaluación, que sólo debe realizarse cada tres años. La certificación TISAX® es válida para todas las industrias y define los requisitos de seguridad de la información de su empresa.

Reconocimiento mutuo entre todos los participantes en TISAX®

Los proveedores y prestadores de servicios logran una mayor confianza en su empresa auditada

La evaluación para la certificación TISAX® tiene lugar sólo cada tres años

Ahorro de tiempo y costos al participar en la red TISAX®

Información básica sobre la evaluación TISAX

TISAX® es un procedimiento de evaluación e intercambio común para el sector automotriz. Se basa en el cuestionario (ISA - Information Security Assessment) desarrollado por el grupo de trabajo de la VDA "Seguridad de la Información", que a su vez se basa en aspectos clave de la norma internacional ISO/IEC 27001 y se ha ampliado para incluir un modelo de madurez.

ISA también hace referencia a ISO/SAE 62443-2-1 para sistemas de control industrial para la automatización y monitoreo de instalaciones de producción industrial (IACS) y tecnologías operativas (OT).

Además, los órganos responsables de la Asociación Alemana de la Industria del Automóvil (VDA) han creado las condiciones para establecer el mecanismo de evaluación e intercambio conjunto bajo el nombre de TISAX® (Trusted Information Security Assessment eXchange). TISAX® es una marca registrada de la Asociación ENX. La Asociación de fabricantes automotrices europeos, proveedores automotrices y asociaciones automotrices supervisa la calidad de las evaluaciones TISAX® y controla la aprobación de los proveedores de servicios de auditoría TISAX®.

Más de 10.000 ubicaciones han sido evaluadas según TISAX®, lo que convierte a este estándar en el segundo
Conjunto de reglas para la seguridad de la información más implementado en todo el mundo después de ISO 27001. VDA y ENX ha formado grupos de trabajo internacionales para TISAX® y el catálogo ISA para desarrollar aún más el estándar. Al mismo tiempo, esto promueve una cooperación más estrecha con la industria automotriz mundial. Con TISAX 6.0, el formulario actualizado del procedimiento de evaluación e intercambio se publicó en el otoño de 2023.

Mostrar más
Mostrar menos

TISAX® 2.2 - Obligatorio a partir del 1 de abril de 2024 - Notas de transición

Las evaluaciones TISAX® que se encargaron antes del 31 de marzo de 2024 se pueden realizar de acuerdo con la antigua versión 5.1 de ISA. Las evaluaciones iniciales o de recertificación encargadas a partir del 1 de abril de 2024 en adelante se realizarán exclusivamente según el nuevo procedimiento TISAX® de acuerdo con el catálogo ISA 6.0. Las actividades de auditoría que dependen de auditorías existentes, como evaluaciones de planes de acción correctivas, evaluaciones de seguimiento, evaluaciones de extensión del alcance o evaluaciones grupales simplificadas continuas, continuarán realizándose de acuerdo con la versión bajo la cual se realizó la auditoría original.

Puede encontrar información sobre los cambios clave en el nuevo ISA 6.0 en nuestra publicación de blog "Nuevo catálogo ISA 6.0".

El nuevo Catálogo ISA 6.0 es un hito importante para TISAX®. El catálogo de evaluación conlleva ajustes de los requisitos para los proveedores de auditoría, que fueron definidos en la normativa TISAX® ACAR 2.2. El cambio del idioma principal al inglés subraya la perspectiva global y los esfuerzos conjuntos para el desarrollo mundial. Están previstas más traducciones de TISAX VDA 6.0.

Los cambios más importantes del nuevo catálogo ISA 6.0 son

Cambios en las etiquetas de seguridad:

  • La etiqueta de Seguridad de la Información se reemplaza por las etiquetas de Disponibilidad y Confidencialidad. Dependiendo de su rol en la cadena de suministro, la disponibilidad o la confidencialidad o ambas pueden ser relevantes para usted.
  • Una etiqueta existente de "Seguridad de la información alta" será reemplazada por las etiquetas combinadas de "Disponibilidad alta" y "Confidencial". Lo mismo se aplica a una etiqueta de Seguridad de la Información Muy Alta existente. Será reemplazado por "Disponibilidad muy alta" y "Estrictamente confidencial".
  • Ambas etiquetas deben cumplir el mismo conjunto de requisitos básicos. Además, cada etiqueta tiene requisitos específicos para necesidades de protección alta y muy alta. El proceso de evaluación está impulsado por las etiquetas, teniendo en cuenta su papel en la cadena de suministro. Por lo tanto, vale la pena consultar con sus clientes qué etiquetas son relevantes para su función.

Mayor enfoque en la seguridad de la información y los sistemas OT en la cadena de suministro.

  • Las empresas relevantes en la cadena de suministro deben cumplir requisitos de "alta disponibilidad" o "muy alta disponibilidad".
  • Énfasis en sistemas de Tecnología Operacional (OT) en producción y otras áreas en la evaluación TISAX®.
  • Las referencias a IEC 62443-2-1 y los nuevos requisitos del catálogo ISA promueven el enfoque en OT.
  • Inclusión de Sistemas de Control y Comunicación Industrial (IACS).
  • Las empresas de esta categoría deben demostrar una protección adecuada de los datos confidenciales en el desarrollo y la producción.
  • Muchos de los requisitos se superponen con "Alta Sensibilidad" o "Muy Alta Sensibilidad".
  • Las empresas de la cadena de suministro que no son muy relevantes pero a las que se les confía información confidencial deben demostrar que esta información puede protegerse adecuadamente.
  • Las etiquetas "Confidencial" o "Estrictamente confidencial" se utilizan para seleccionar los requisitos TISAX® que contribuyen a este objetivo de protección.
  • El objetivo principal de la evaluación selectiva descrita anteriormente es garantizar que las empresas sólo tengan que cumplir con los requisitos del catálogo de ISA que sean relevantes para su función.

Nuevos desafíos para las empresas manufactureras

  • Los sistemas OT deben estar sujetos a una gestión similar a la que generalmente se requiere para los sistemas IT TISAX®.
  • Como resultado, la OT en la gestión de activos se identifica con sus riesgos específicos, se analiza en busca de posibles vulnerabilidades, se gestiona por empleados competentes, se somete a procesos compatibles con el SGSI para el mantenimiento remoto y otras mejores prácticas de gestión.
Mostrar más
Mostrar menos

¿Cuáles son los requisitos de TISAX®?

El procedimiento de evaluación e intercambio TISAX® contiene los requisitos de las evaluaciones de seguridad de la información (ISA) de la VDA. Este cuestionario sobre la seguridad de la información en la industria del automóvil fue desarrollado por el grupo de trabajo de la VDA. Sin embargo, TISAX® también se basa en los requisitos esenciales de la norma ISO 27001 (Sistema de gestión de la seguridad de la información).

El catálogo VDA ISA específico para la industria está disponible en su versión 5.1 desde el 2022. Esta versión es obligatoria para todas las auditorías de TISAX® desde enero de 202. Los requisitos de la norma internacional e intersectorial para la seguridad de la información ISO 27001, a su vez, contribuyen, entre otras cosas, a que las empresas miren más allá de la protección de los sistemas técnicos de IT, especialmente, a todos los activos corporativos que deben protegerse.

Mostrar más
Mostrar menos

¿Cómo funciona TISAX®?

En TISAX® , los participantes pueden adoptar dos papeles diferentes: el "consumidor de información" (pasivo), por ejemplo es un fabricante que desea recibir información sobre un proveedor, y el "contribuyente de información" (activo), por ejemplo, un proveedor de piezas o de servicios que desea ser auditado para recibir pedidos de los fabricantes.

Una empresa también puede asumir ambos papeles de participante. Quien desee participar en TISAX® como contribuyente de información debe seguir los cuatro pasos principales siguientes

  • 1. Registrarse en línea en www.enx.com/TISAX
  • 2. Seleccionar un proveedor de servicios de auditoría aprobado por ENX, como DQS
  • 3. Someterse a una evaluación TISAX
  • 4. Intercambiar los resultados de la auditoría en la plataforma online de TISAX®.

Si una empresa está interesada en sus resultados de TISAX, puede registrarse en ENX como "Consumidor de información".
Puede decidir para cada Consumidor de información si desea compartir su estado actual de TISAX con ellos.

Mostrar más
Mostrar menos
Business28.png

¿Cómo funciona una evaluación TISAX®?

Antes de comenzar con la evaluación TISAX®, su empresa debe definir un alcance claro. Esto incluye el nivel de evaluación, que define los requisitos de evaluación específicos. Estos requisitos pueden incluir garantizar la "disponibilidad" de las capacidades de producción, garantizar la "confidencialidad" de la información confiada o asegurar las "piezas prototipo" y los "datos personales". Estos criterios de referencia se aplican a todos los sitios dentro del alcance.

Un desafío clave es combinar sitios con requisitos similares en un solo alcance. DQS puede proporcionar una valiosa guía de diseño sobre si debe ser un alcance integral único o múltiples alcances. En principio, combinar sitios bajo un alcance tiene ventajas en forma de una posible reducción en el esfuerzo de auditoría si todos los sitios operan bajo un SGSI centralizado.

Como participante de TISAX®, primero debe registrarse en línea. Luego, ENX asignará el ID del alcance. Por favor tenga en cuenta que existen tarifas de servicio asociadas con este proceso de registro, que se cobrarán por cada ubicación dentro de su alcance.

En el primer paso, se selecciona un proveedor de servicios de auditoría aprobado. En el segundo paso, hay kick-off, la revisión de documentos (autoevaluación, no in situ) y una evaluación posterior (Nivel 2: no in situ, Nivel 3: in situ).

Tenga en cuenta: Existe un método alternativo para realizar una evaluación en el Nivel de evaluación 2. En lugar de una verificación de plausibilidad, su proveedor de servicios de auditoría realiza una evaluación remota completa. Este método a veces se denomina "Nivel de evaluación 2.5". La ventaja de un Nivel de evaluación 2.5 es que el enfoque es metodológicamente compatible con

Los resultados de la auditoría TISAX® se registran en un informe intermedio. En caso de no conformidades, medidas a implementar estarán acordadas. Si es necesario, se determina la implementación de las medidas dentro de un plazo acordado. Este procedimiento garantiza que todos los problemas identificados se aborden con eficacia y prontitud.

Una vez cerradas las no conformidades, se realiza una revisión de efectividad para validar el cierre de las no conformidades y evaluar la eficacia general de las acciones correctivas tomadas.

El resultado final se publicará online en el portal ENX®. Su empresa aparecerá entonces como participante en el proceso TISAX® con la etiqueta de prueba correspondiente. A diferencia de otras certificaciones, no existe certificado TISAX®.

Banking13.png

¿Cuánto cuesta la certificación ISO 22163?

Dos factores importantes influyen en el alcance de toda la evaluación y, por tanto, en los costes. Las evaluaciones TISAX® son posibles sobre la base de un alcance ampliado, un alcance estándar o un alcance restringido. Su decisión sobre el alcance debe estar bien preparada y determinada por los objetivos de protección deseados, pero también por el tamaño de su empresa.

 

Los objetivos de protección, por ejemplo, son si desea incluir temas como la protección de prototipos o la protección de datos en la evaluación. Si desea participar en el procedimiento TISAX®, hable con DQS, su proveedor de servicios de auditoría autorizado, lo antes posible. Esta es la única manera en que podemos determinar el cálculo correcto para el alcance de la evaluación y brindarle una cotización confiable del costo de su certificación TISAX®.

Mostrar más
Mostrar menos
Business2.png

Que puede esperar de nosotros

  • DQS es un proveedor de servicios de auditoría aprobado por la Asociación ENX
  • Observaciones con valor agregado sobre la seguridad de la información en su organización
  • Acreditaciones para todas las normativas relevantes del sector de la automoción
  • Auditores con experiencia en el sector y expertos en la materia
  • Más de 35 años de experiencia en la certificación de sistemas y procesos de gestión
  • Certificados con reconocimiento internacional
  • Asistencia personalizada y fluida de nuestros especialistas, a nivel regional, nacional e internacional
  • Ofertas individuales con condiciones contractuales flexibles sin costos ocultos
Mostrar más
Mostrar menos

Solicite un presupuesto

cecilia.holder@dqs.de

Estaremos encantados de hacerle una oferta personalizada para el proceso TISAX.

Su consulta

¿Tiene alguna pregunta?

Estamos a su disposición.
Contáctese con nosotros