Pitääkö sinun toimittaa todisteet sinulle toimitettujen tietojen turvallisuudesta "VDA Information Security Assessment" (VDA ISA) -vaatimusten mukaisesti? Standardien asiantuntijamme André Saeckel antaa vastauksia tärkeisiin kysymyksiin TISAX®:sta- autoteollisuuden yhteisestä testaus- ja vaihtomenettelystä. Niiden yritysten piiri, joita tämä koskee, on laajempi kuin ehkä aluksi oletettiin. Klassisen Tier 1 -toimittajan lisäksi TISAX®-sertifiointia vaaditaan yhä useammin myös muiden alatasojen toimittajilta - samoin kuin esimerkiksi tietojenkäsittelyn tai mainonnan palveluntarjoajilta, eli autoteollisuuden kumppaniyrityksiltä laajassa merkityksessä.

Loading...

Mitä TISAX® tarkoittaa?

TISAX® - Trusted Information Security Assessment eXchange - luotettava tietoturva-arviointi eXchange.

TISAX® on autoteollisuuden yhteinen arviointi- ja vaihtomenettely. Se perustuu VDA:n tietoturvatyöryhmän "Information Security" kehittämään tietoturvakyselylomakkeeseen (ISA - Information Security Assessment), jota Saksan autoteollisuusyhdistyksen (VDA) jäsenyritykset käyttivät ensimmäisenä sellaisten toimittajien ja palveluntarjoajien auditoinneissa, joiden yrityksissä käsitellään arkaluonteisia tietoja. VDA:n ISA-kyselylomakkeen versio 5.0 on ollut saatavilla heinäkuusta 2020 lähtien. Lokakuun 1. päivästä 2020 lähtien tämä versio on ollut pakollinen kaikille uusille TISAXin®-arvioinneissa.

Lisäksi TISAX® perustuu kansainvälisesti tunnustetun tietoturvastandardin keskeisiin vaatimuksiin: ISO 27001. Sitä sovelletaan kaikilla toimialoilla, ja siinä määritellään vaatimukset, säännöt ja menetelmät tietoturvan varmistamiseksi yrityksessä. Vaatimuksissaan standardi ylittää tietoteknisten järjestelmien suojaamisen ja kattaa kaikki suojaamisen arvoiset yrityksen omaisuuserät, kuten toimitilat, turvavalvonnan ja arkistot. Toisin sanoen: ISO 27001 varmistaa kaiken organisaatiolle arvokkaan tiedon suojaamisen.

Mitä etuja TISAX® tarjoaa?

  • TISAX® luo yhtenäisen tietoturvatason autoteollisuudelle.
  • Arviointitulokset tunnustetaan kaikkien TISAX®-osallistujien keskuudessa, mikä lisää luottamusta auditoituja yrityksiä kohtaan.
  • Tarpeettomat päällekkäiset ja moninkertaiset auditoinnit vältetään vastavuoroisen tunnustamisen avulla TISAX®-verkostossa.
  • TISAX®-sertifiointia koskeva arviointi suoritetaan vain joka kolmas vuosi, mikä säästää aikaa ja rahaa.

Kuka valvoo TISAX®-järjestelmää?

TISAX® on Frankfurt am Mainissa ja Pariisissa toimivan ENX Associationin rekisteröity tavaramerkki. Neutraalina elimenä sille on uskottu TISAX®:n täytäntöönpano. ENX on eurooppalaisten autonvalmistajien, tavarantoimittajien ja neljän kansallisen autoteollisuuden järjestön, mukaan lukien VDA, yhdistys, joka perusti ENX:n vuonna 2000. ENX-yhdistys valvoo täytäntöönpanon laatua ja myöntää arviointipalvelujen tarjoajille hyväksynnän tiukan menettelyn mukaisesti. DQS on listattu ENX:ssä hyväksytyksi auditointipalvelujen tarjoajaksi, ja se voi suorittaa arviointeja maailmanlaajuisesti . Asiantuntijamme ovat aina käytettävissäsi vastaamaan kysymyksiisi.

Jotta osallistujat tunnustaisivat arvioinnit vastavuoroisesti, ENX tekee vastaavat sopimukset kaikkien hyväksyttyjen auditointipalvelujen tarjoajien sekä TISAX®-verkoston osallistujien kanssa. Standardoinnin ja laadunvalvonnan avulla ENX saavuttaa arviointitulosten yhteisen tunnustamisen kaikkien osallistujien kesken. Tarpeettomat päällekkäiset ja moninkertaiset arvioinnit vältetään.

Kysymyksiä ja vastauksia TISAX®-järjestelmästä: Mikä on arviointitaso?

TISAX®-järjestelmässä erotetaan kolme arviointitasoa (suojausvaatimuksia) vaaditun suojauksen mukaan: normaali (taso 1), korkea (taso 2) ja erittäin korkea (taso 3). Auditointimenetelmä ja auditointipanostus riippuvat tästä.

Taso 1: Itsearviointi ilman uskottavuustarkastusta, yleensä vain sisäisiin tarkoituksiin. Näillä arviointituloksilla on vain rajallinen merkitys, eikä niitä käytetä TISAX®-järjestelmässä.

Taso 2: Auditointipalvelujen tarjoajan, kuten DQS:n, tekemä itsearvioinnin uskottavuustarkastus. Nämä tietoturva-auditoinnit tehdään yleensä puhelinkokouksina, ei paikan päällä tehtävinä auditointeina - paitsi jos jokin prototyyppisuojauksen auditointitavoitteista on sovellettavissa tai jos te nimenomaisesti pyydätte sitä.

Taso 3: Auditointipalvelujen tarjoajan suorittama itsearviointisi uskottavuuden tarkastus perusteellisen ja kattavan paikan päällä tehtävän auditoinnin avulla.

Onko TISAX®-järjestelmän käyttöönotto välttämätöntä myös muille kuin valmistaville yrityksille?

Vastaus tähän kysymykseen riippuu yrityksesi tilanteesta: Se, onko sinun otettava TISAX® käyttöön, riippuu alkuperäisestä laitevalmistajasta (OEM) tai siitä, vaativatko he sinulta tätä tietoturvatodistusta. Ellei autonvalmistaja lähesty sinua erikseen tai ellei käyttöehtoihin tule muutoksia, on suositeltavaa odottaa ja katsoa. Aikaisemmin alkuperäisvalmistajat ottivat tarvittaessa yhteyttä yrityksiin lisäyhteistyötä koskevista vaatimuksista. On kuitenkin tietenkin sinun tehtäväsi tiedustella asiaa ennakoivasti autoteollisuuden kumppaneiltasi.

Onko järkevää pyrkiä TISAX®-sertifiointiin myös ilman asiakkaan vaatimusta?

Ennakoiva lähestymistapa tietoturva-asioihin on nykyään yleisesti ottaen erittäin järkevää, eikä vain autoteollisuuden toimittajien kannalta. Jos OEM-valmistajasi ei (vielä) määrittele, mitä TISAX®-merkintää sinulta odotetaan, on hyvä ajatus osoittaa taso 3 (arviointitaso 3: erittäin korkea tietoturva). Näin olet valmistautunut kaikkiin tuleviin vaatimuksiin ilman päällekkäistä työtä. Vaihtoehtoisesti maailmanlaajuisesti tunnustettu ISO/IEC 27001 -standardi tarjoaa hyvän, toimialojen välisen johdannon tietoturvaan.

ISO 27001 - Tietoturvallisuuden hallintajärjestelmä

ISO-standardin mukainen kokonaisvaltainen hallintajärjestelmä ★ Riskienhallintaprosessin tehokas toteuttaminen ★ Tietoturvatason jatkuva parantaminen

Onko TISAX®:n sisältö analoginen ISO 27001:n kanssa?

TISAX®-arviointiluettelo on johdettu kansainvälisestä standardista ISO 27001 ja perustuu siinä määriteltyihin "kontrolleihin" (toimenpiteisiin). Niissä kuvataan, miten vastaavat vaatimukset (must, should) voidaan toteuttaa, miten prosessit varmistetaan ja mitä työkaluja voidaan käyttää. Keskeinen ero näiden kahden standardin välillä on se, että TISAX® edellyttää tietyn kypsyystason saavuttamista.

Suositellaanko TISAX®- ja ISO 27001 -standardien yhdistettyä auditointia?

Yhdistetty auditointi on ehdottomasti mahdollista, ja DQS voi suorittaa sen milloin tahansa. Kaikki DQS:n TISAX®-auditoijat ovat myös ISO 27001 -standardin hyväksyttyjä auditoijia, mikä tarkoittaa, että molemmat tietoturva-arvioinnit voidaan suorittaa samanaikaisesti ilman suurta lisävaivaa.

"TISAX®-järjestelmä tarjoaa ensimmäisenä mahdollisuuden varmistaa yhtenäinen tietoturvataso koko autoteollisuudessa VDA-kyselylomakkeen ja ISO 27001 -periaatteiden vankan perustan pohjalta."

Pitääkö minun olla sertifioitu ISO 27001 -standardin mukaisesti ennen TISAX®-järjestelmää?

Vastaus tähän kysymykseen on: Ei, sillä ei ole olemassa vaatimusta, jonka mukaan ISO 27001:n mukaisen sertifioidun tietoturvallisuuden hallintajärjestelmän on jo oltava olemassa. TISAX®-arviointia varten sinun on vain osoitettava, että työskentelet tietoturvallisuuden hallintajärjestelmän mukaisesti ja että vastaavat prosessit ja menettelyt on otettu yrityksessä vakaasti käyttöön. Arvioinnin suorittaa auditoija, joka myös määrittää asiakirjojen perusteella kypsyystason.

Mitä etuja on siitä, että sinulla on jo ISO 27001 -sertifiointi?

Jos sinulla on jo ISO 27001 -sertifikaatti, se on tietenkin aina eduksi. Jo pelkästään siksi, että TISAX®-järjestelmäävarten sinun on osoitettava, että olet toteuttanut tietoturvanhallinnan, ja molemmat sääntökokonaisuudet kattavat samankaltaiset vaatimukset.

"Autoteollisuuden digitalisointi: Ajoneuvoissa olevien sovellusten ja tietojen määrä kasvaa räjähdysmäisesti, ja sen myötä myös tietoturvan hyökkäyspinnat ja vahinkopotentiaali kasvavat."

Mutta huomaa: TISAX®-auditoinnin soveltamisalan määritelmä voi poiketa ISO 27001 -sertifioinnissa vaadittavasta määritelmästä. Taustalla olevat käsitteet eivät ole identtisiä. Suuremmissa organisaatioissa voidaan harkita myös useiden auditointialueiden rekisteröintiä.

Onko ISO 9001:n "prosessimääritelmä" analoginen TISAX®:n kanssa?

Vastaus tähän kysymykseen on "kyllä". Periaatteessa prosessien määritelmä ja rakenne vastaavissa sääntökokonaisuuksissa on aina sama. TISAX®-arviointiluettelossa myös ilmoitetaan melko tarkkaan, mistä ohjauksista KPI:t on määriteltävä ja mistä ei. KPI:iden luomista tuetaan esimerkeillä, joilla varmistetaan tietoturva autoteollisuudessa. VDA ISA -kyselylomakkeen tarkastelu auttaa siis alustavan yleiskuvan saamisessa.

Suositellaanko TISAX®:n käyttöönotossa tietoturvavastaavaa?

Ei ole pakollista, että TISAX®:n käyttöönotosta vastaava henkilö tulee IT-osastolta. Koska kyse on kuitenkin IT-tuetuista prosesseista, jonkinlainen IT-osaaminen on ehdottomasti eduksi.

Miten määrittelen TISAX®-arvioinnin laajuuden?

ENX tarjoaa vakiomuotoisen laajuuden, jonka 90 prosenttia kaikista TISAX®-ohjelman osallistujista hyväksyy. Oletuslaajuus on ennalta määritetty, eikä sitä voi muuttaa. Jos huomaat arviointia valmistellessasi, että vakiolaajuus ei sovi, voit tietyin edellytyksin mukauttaa kokeen laajuutta. Yksittäistapauksissa alkuperäiset laitevalmistajat saattavat vaatia laajennettua laajuutta. Tällaiset erityistapaukset ovat kuitenkin harvinaisia, ja kyseinen OEM-yhtiö keskustelee niistä yksityiskohtaisesti kanssasi. Normaalisti vakiomittausalue on riittävä. Se on TISAX®-arvioinnin perusta, ja kaikki osallistujat hyväksyvät sen.

Riittääkö yksi arvioinnin laajuus kaikille toimipaikoille?

Kaikki toimipaikat kattavasta yhdestä arviointikokonaisuudesta on etuja mutta myös haittoja.

Edut

  • Vain yksi tarkastustulos, yksi tarkastusraportti, yksi voimassaolon päättymispäivä.
  • Pienemmät kustannukset, koska keskeiset prosessit, menettelyt ja resurssit on arvioitava vain kerran.

Haitat

  • Tarkastustulos on saatavilla vasta, kun kaikki toimipaikat on arvioitu.
  • Auditointitulos riippuu siitä, että kaikki toimipaikat läpäisevät auditoinnin, eli jos vain yksi toimipaikka ei läpäise auditointia, et saa positiivista auditointitulosta.

Voidaanko arvioinnin laajuus rajata esimerkiksi "turvallisuuden kannalta kriittisiin työntekijöihin"?

ENX vastaa tähän kysymykseen TISAX® yksiselitteisesti: Kaikki työntekijät, jotka joutuvat kosketuksiin autoteollisuuden arkaluonteisten tietojen kanssa, on sisällytettävä soveltamisalaan. Tämä voi olla myös esimerkiksi koneenkäyttäjä, joka työskentelee asiakkaan rakennussuunnitelman parissa. Yrityksesi on määriteltävä itse, mitkä työntekijät osallistuvat tietoturvan kannalta merkityksellisiin prosesseihin.

Pitääkö paikkansa, että ENX:ssä TISAX®-auditointihakemus on ensin tehtävä ja vasta sen jälkeen voidaan valita auditoinnin suorittaja?

Kyllä, tämä pitää paikkansa. Kun olet rekisteröitynyt verkossa osoitteessa www.enx.com/tisax/ ja ENX on hyväksynyt arvioinnin laajuuden, saat luettelon kaikista hyväksytyistä arviointipalvelujen tarjoajista . Voit kuitenkin tutustua luetteloon myös etukäteen ENX:ssä. DQS on listattu ENX:n palveluntarjoajaksi, ja se voi suorittaa arviointeja maailmanlaajuisesti. Jos sinulla on autoteollisuuden tietoturvaa koskevia kysymyksiä ja vastauksia, ota rohkeasti yhteyttä asiantuntijoihimme.

Onko kyselyssä lainkaan järkeä, jos kypsyystaso on liian alhainen?

Jos toteat itsearvioinnissa, että yritykselläsi on vielä kurottavaa tietoturvan suhteen, arviointipyyntö ei ole toistaiseksi järkevä. On suositeltavaa, että ensin kurotte umpeen havaitut puutteet ja harkitsette vasta sen jälkeen auditointia.

Kuinka kauan yksittäiset arvioinnit kestävät?

Vastaus kysymykseen yksittäisten arviointien kestosta riippuu yrityksesi koosta ja toimipaikkojesi auditointiin liittyvistä matkoista. Keskimääräisen kokoiselle yritykselle 2-3 päivää paikan päällä riittää arviointiprosessiin.

Kuinka kauan kestää, ennen kuin yritys katsotaan sertifioiduksi?

Koko TISAX®-auditointiprosessi voi kestää enintään yhdeksän kuukautta. Se alkaa ensimmäisestä auditoinnista ja päättyy viimeiseen seuranta-auditointiin. Jos arviointiprosessia ei saada päätökseen määritellyssä ajassa, et saa TISAX®-merkkiä.

baretton-gerber-1-dqs
Loading...

TISAX®-arviointi

Vastaamme mielellämme kysymyksiisi myös henkilökohtaisessa tapaamisessa.

Ilman velvoitteita ja maksutta.

Jos yrityksesi täyttää kaikki kriteerit tai osoittaa vain vähäisiä poikkeamia, arviointiraportti toimitetaan ENX:lle. Heti kun se on hyväksytty, saat (väliaikaisen) TISAX®-merkinnän. Jos on merkittäviä poikkeamia, jotka on ensin korjattava, merkki on voimassa siitä päivästä alkaen, jolloin poikkeama katsotaan korjatuksi.

Kysymyksiä ja vastauksia TISAX®-järjestelmästä: Mitä TISAX®-merkinnät ovat?

Etiketit ovat arviointiprosessin tulos, ja niissä esitetään yhteenveto tuloksesta. Ne ovat hierarkkisesti yhteydessä toisiinsa. Eli jos saat tietyn etiketin, saat automaattisesti myös sen alapuolella olevat etiketit. Tarroja voi tarkastella vain ENX-portaalissa. Niiden voimassaoloaika on yleensä kolme vuotta.

Mitä ovat suuret ja pienet poikkeamat?

Merkittävästä poikkeamasta on kyse silloin, kun poikkeama herättää epäilyjä tietoturvallisuuden hallintajärjestelmänne yleisestä tehokkuudesta tai kun se aiheuttaa merkittäviä tietoturvariskejä. Näin on esimerkiksi silloin, jos vaaditaan kaksitekijätunnistusta, mutta sitä ei ole vielä toteutettu.

Vähäisestä vaatimustenvastaisuudesta on kyse esimerkiksi silloin, jos vaatimustenvastaisuus ei kyseenalaista tietoturvallisuuden hallintajärjestelmänne yleistä tehokkuutta eikä aiheuta merkittävää riskiä autoteollisuuden tietoturvallisuudelle. Esimerkiksi yksittäiset tai satunnaiset virheet ja täytäntöönpanopuutteet.

Pitääkö minun toimittaa näyttöä myös yksittäisten toimenpiteiden tehokkuudesta?

Vastaus on "kyllä". Kun olet laatinut toimenpideluettelosi ja toteuttanut ne, niiden tehokkuus tarkistetaan. Tästä syystä sertifiointimenettelyssä säädetään myös yhdeksän kuukauden ajanjaksosta.

Miten voin määrittää työntekijöiden määrän "etukäteen"?

Tarkemmin sanottuna: Miten voin määrittää työntekijöiden tarkan määrän etukäteen, jos lisätyöntekijöitä voidaan palkata vasta sen jälkeen, kun sopimus asiakkaamme kanssa on allekirjoitettu?

TISAX®: n osalta työntekijöiden luokittelualue on huomattavasti laajempi kuin kansainvälisen standardin ISO 27001 osalta. TISAX® luokittelee työntekijöiden määrän esimerkiksi 0-50, 51-150 jne. työntekijöihin. Jos siis tiedät suunnilleen, kuinka monta uutta työntekijää palkataan, voit sijoittaa itsesi sopivaan vaihteluväliin.

Kuinka monta asiakirjaa pitäisi olla käytettävissä, jotta TISAX®-vaatimuksia voidaan noudattaa?

Tässä yhteydessä ei ole mahdollista antaa yleistä lausuntoa. Se riippuu aina yrityksesi koosta ja toiminnasta. Teoriassa voit kattaa kaiken yhdellä asiakirjalla, kunhan sinulla on selkeä yleiskuva. On kuitenkin suositeltavaa laatia useita asiakirjoja, joissa käsitellään toisiinsa liittyviä aiheita.

Korvaako TISAX® VDA-prototyyppisuojauksen?

Koska TISAX® sisältää erillisen moduulin prototyyppisuojausta varten, jossa käsitellään yksittäisiä kriteerejä paljon yksityiskohtaisemmin kuin aiemmin, voidaan olettaa, että pitkällä aikavälillä TISAX® korvaa aiemmat autoteollisuuden tietoturvaa koskevat sääntökokonaisuudet. Tällä hetkellä on kuitenkin edelleen voimassa VDA:n prototyyppisuojauksen versio 3.0 vuodelta 2018.

Kysymyksiä ja vastauksia TISAX®:sta - Mitä DQS voi tehdä puolestani?

DQS on listattu ENX:ssä hyväksytyksi auditointipalvelujen tarjoajaksi, ja se voi suorittaa arviointeja maailmanlaajuisesti. Kaikki TISAX®-auditoijammeovat myös kansainvälisen ISO 27001-standardin hyväksyttyjä auditoijia, mikä tarkoittaa, että DQS voi arvioida molemmat standardit samanaikaisesti ja pienellä lisävaivalla. Asiantuntijamme vastaavat mielellään kysymyksiinne autoteollisuuden tietoturvasta. Odotamme innolla keskustelua kanssasi.

Onko sinulla kysyttävää?

Ota meihin yhteyttä!

Ilman velvollisuuksia ja maksutta.

Asiantuntemusta ja luottamusta

Tekniset artikkelimme ovat yksinomaan sisäisten standardien asiantuntijoidemme ja pitkäaikaisten tarkastajien kirjoittamia. Jos sinulla on kysyttävää sisällöstä tai kirjoittajistamme, ota rohkeasti yhteyttä.

Kirjoittaja
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Loading...