TISAX® - Odgovori na važna pitanja

SADRŽAJ

• Što je TISAX^®?
• Koje su prednosti standarda TISAX^®?
• Tko nadzire TISAX^®?
• Što je razina procjene?
• Je li TISAX^® namijenjen i neproizvođačkim tvrtkama?
• TISAX^® certifikacija bez zahtjeva kupca?
• Je li sadržaj standarda TISAX^® sličan ISO 27001?
• Preporuča li se kombinirani audit za TISAX^® i ISO 27001?
• Kako se definira opseg procjene prema standardu TISAX^®?
• Koliko traju pojedinačne procjene?
• Što su velike i male nesukladnosti?
• Hoće li TISAX^® zamijeniti zaštitu prototipa u skladu s VDA?
• Što možete očekivati od DQS-a?

Što je TISAX^®?

TISAX^® - Trusted Information Security Assessment eXchange

TISAX^®  predstavlja uobičajenu proceduru procjene i razmjene za automobilski sektor. Temelji se na upitniku za informacijsku sigurnost (ISA - Information Security Assessment) koji je razvila radna skupina VDA udruženja "Information Security", i koji su prvi put koristile članice tvrtke tog njemačkog Udruženja automobilske industrije (VDA) za audite dobavljača i pružatelja usluga koji obrađuju povjerljive informacije. Izdanje 5.1 VDA ISA upitnika dostupno je od 2022. godine. Ovo je izdanje  obvezno za sve TISAX® procjene od siječnja 2022. godine. Rad s novim TISAX® katalogom za audite sada bi trebalo biti jednostavnije i učinkovitije - kako za korisnike tako i za auditore.

Usto se TISAX^® temelji na glavnim zahtjevima međunarodno priznate norme za informacijsku sigurnost: ISO 27001. Primjenjiva je na sve industrije i definira zahtjeve, pravila i metode za osiguranje informacijske sigurnosti unutar organizacije. Zahtjevi snorme nadilaze IT tehničke sustave i uključuju svu korporativnu imovinu koju je potrebno zaštititi, npr. poslovne prostore, sigurnosne kontrole i arhive. Drugim riječima, ISO 27001 osigurava zaštitu svih vrijednih informacija organizacije.

Koje su prednosti standarda TISAX^®?

• TISAX^® stvara ujednačenu razinu informacijske sigurnosti u automobilskoj industriji
• Rezultati procjena priznaju se u svim organizacijama i među svim TISAX^® sudionicima, što vodi do većeg povjerenja u auditirane organizacije
• Izbjegavaju se nepotrebni dupli i višestruki auditi kroz zajedničko priznavanje unutar  TISAX^® mreže
• Procjena za TISAX^® certifikaciju provodi se samo svake treće godine, čime se štedi vrijeme i novac

Tko nadzire TISAX^®?

TISAX^® je registrirani zaštitni znak ENX Association, iz Frankfurta na Majni i Pariza. Kao neutralno tijelo ENX Association provodi implementaciju standarda TISAX^®. ENX je udruženje europskih proizvođača automobila, dobavljača i četiri nacionalna automobilska udruženja, uključujući VDA, koje je i osnovalo ENX 2020. godine. ENX Association nadzire kvalitetu implementacije i daje odobrenja pružateljima usluga procjena u skladu sa strogom procedurom. DQS je jedan od ENX-ovih odobrenih pružatelja usluga procjena i može provoditi procjene u cijelom svijetu. Naši su vam stručnjaci uvijek na raspolaganju za sva pitanja.

Kako bi se osiguralo da svi sudionici međusobno priznaju sve procjene, ENX sklapa odgovarajuće ugovore sa svim odobrenim pružateljima usluga procjena kao i sa svim sudionicima iz TISAX^® mreže. Standardizacijom i nadzorom kvalitete ENX postiže zajedničko priznavanje rezultata procjena među svim sudionicima. Izbjegavaju se nepotrebne duple i višestruke procjene.

Pitanja i odgovori o standardu TISAX^®: Što je razina procjene?

TISAX^® razlikuje tri razine procjene (tj. zahtjeva za zaštitu), ovisno o potrebnoj razini zaštite: normalna (razina 1), visoka (razina 2) i vrlo visoka (razina 3). Metoda audita i potreban napor ovise o određenoj razini.

Razina 1: Samoprocjena bez provjere vjerodostojnosti, obično samo za interne svrhe. Ovi rezultati procjene imaju ograničeni značaj i ne koriste se za TISAX^® certifikaciju.

Razina 2: Provjeru vjerodostojnosti vaše samoprocjene vrši pružatelj usluga procjena poput DQS-a. Ovi se auditi informacijske sigurnosti obično provode putem telefonske konferencije, bez odlaska na samu lokaciju - osim ako se ne primjenjuje jedan od ciljeva zaštite prototipa ili ne postoji izričiti zahtjev za dolazak.

Novost je alternativna metoda za provođenje procjena na Razini 2. Umjesto provjere vjerodostojnosti, vaš pružatelja usluga audita provodi cjeloviti test na daljinu. Ova metoda se ponekad naziva i "Procjena na Razini 2,5". Prednost čini pristup koji je metodološki kompatibilan s Procjenom Razine 3. Stoja je moguće prijeći na potpunu procjenu Razine 3 kasnije uz razumni napor.

Razina 3: Pružatelj usluga procjena provodi detaljan, opsežni audit na lokaciji s ciljem provjere vjerodostojnosti vaše samoprocjene.

Moraju li i neproizvođačke tvrtke provesti TISAX^® certifikaciju?

Odgovor na ovo pitanje ovisi o kontekstu vašeg poslovanja:

Trebate li implementirati TISAX^® ovisi o vašem proizvođaču originalne opreme (OEM), ili o njihovim zahtjevima za pružanje dokaza informacijske sigurnosti. Ako niste dobili zahtjev od proizvođača automobila, ili ne vidite promjenu u Općim uvjetima poslovanja, preporuča se da pričekate i vidite. Uobičajeno je da vas proizvođači originalne opreme sami kontaktiraju sa zahtjevima za daljnju suradnju kad je to potrebno. No, naravno da i sami možete proaktivno pitati svoje partnere u automobilskoj industriji.

Ima li smisla provoditi TISAX^® certifikaciju čak i bez zahtjeva kupca?

Proaktivan pristup informacijskoj sigurnosti danas sigurno ima smisla, i to ne samo za dobavljače u automobilskoj industriji. Ako vaš proizvođač originalne opreme (još) nije odredio koji TISAX^® znak očekuje od vas, dobra je ideja imati dokaz Razine 3 (Razina procjene 3: vrlo visoka informacijska sigurnost). Na taj sete način spremni za sve buduće zahtjeve bez potrebe za duplim poslom.

Alternativno, dobar međuindustrijski uvod u informacijsku sigurnost pruža i međunarodno priznata norma ISO/IEC 27001. Revidirano izdanje norme objavljeno je 25. listopada 2022. godine.

Je li sadržaj standarda TISAX^® sličan ISO 27001?

Katalog TISAX^® procjene proizlazi iz međunarodne norme ISO 27001 i koristi "kontrole" (mjere) definirane u toj normi. One opisuju kako se mogu implementirati određeni zahtjevi (mora, trebalo bi), kako se osiguravaju procesi i koji se alati mogu koristiti. Glavna razlika između dva standarda je da TISAX^® zahtijeva određenu postignutu razinu zrelosti.

Preporuča li se kombinirani audit za TISAX^® i ISO 27001?

Kombinirani audit je svakako moguć i DQS ga može provesti u svakom trenutku. Mnogi TISAX^® auditori u DQS-u su ovlašteni auditori za ISO 27001, što znači da se obje procjene informacijske sigurnosti mogu provesti istovremeno uz manje dodatnog napora.

Je li potrebna ISO 27001 certifikacija prije TISAX^® certifikacije?

Odgovor na ovo pitanje je: Ne. Nema zahtjeva za već postojećim certificiranim sustavom upravljanja u skladu s ISO 27001. Za TISAX^® procjenu morate samo dokazati da poslujete u skladu sa sustavom upravljanja informacijskom sigurnošću i da su u organizaciji stabilno primijenjeni odgovarajući procesi i postupci. Ovu procjenu provodi auditor, koji na temelju dokumenata dodjeljuje i razinu zrelosti.

Koje su prednosti već postojeće ISO 27001 certifikacije?

Ako već imate ISO 27001 certifikat, to je naravno prednost jer za TISAX^® morate dokazati da imate implementirani sustav upravljanja informacijskom sigurnošću, a obje skupine pravila pokrivaju slična područja.

Ali imajte na umu: Definicija opsega  TISAX^® audita može se razlikovati od definicije koju zahtijeva certifikacija prema normi ISO 27001. Temeljni koncepti nisu identični. Za veće organizacije može se razmotriti registracija više opsega audita.

Je li definicija procesa prema ISO 9001 ista kao i definicija prema TISAX^®?

Odgovor na ovo pitanje je: Da. U načelu je definicija i struktura procesa u odgovarajućim skupinama pravila uvijek ista. TISAX^® katalog procjene precizno definira i za koje se kontrole moraju, a za koje ne moraju, odrediti ključni pokazatelji učinka. Određivanje ključnih pokazatelja učinka potkrijepljeno je primjerima kako bi se osigurala informacijska sigurnost u automobilskoj industriji. VDA ISA upitnik stoga pomaže kod početnog pregleda.

Preporuča li se da implementaciju standarda TISAX^® izvrši službenik za IT sigurnost?

Nije potrebno da osoba koja uvodi TISAX^® bude iz IT odjela. No, budući da su uključeni i neki procesi koje podržava informacijska tehnologija, potrebno je određeno stručno znanje.

Kako se definira opseg TISAX^® procjene?

ENX daje standardni opseg koji je usvojilo 90% svih TISAX^® sudionika. Zadani opseg je unaprijed definiran i ne može se mijenjati. Ako tijekom priprema za procjenu ustanovite da vam standardni opseg ne odgovara, možete ga prilagoditi pod određenim uvjetima. U pojedinačnim slučajevima proizvođači originalne opreme mogu tražiti proširenje opsega. Ovi su posebni slučajevi rijetki i moraju se detaljno raspraviti s vašim proizvođačem originalne opreme. Obično je standardni opseg sasvim dovoljan. On čini temelj TISAX^® procjene i prihvaćaju ga svi sudionici.

Je li jedan opseg certifikacije dovoljan za sve lokacije?

Jedan opseg koji uključuje sve lokacije ima i svoje prednosti i svoje mane. 

Za organizacije s puno lokacija, uobičajeni postupak TISAX^® procjene može biti dosta opsežan. Pod određenim uvjetima nudimo alternativu - "pojednostavljenu grupnu pocjenu" (simplified group assessment - SGA). Pojednostavljena grupna pocjena je posebna vrsta postupka TISAX^® procjene. Ako su ispunjeni uvjeti, može smanjiti napor potreban za uobičajenu TISAX^® procjenu. Ova posebna vrsta postupka TISAX^® procjene prikladna je za organizacije s najmanje tri lokacije i centraliziranim, visoko razvijenim sustavom upravljanja informacijskom sigurnošću. Ovaj dodatak opisuje u kojim okolnostima možete imati koristi od pojednostavljene grupne procjene i kako možete pristupiti procesu posebne procjene.

Može li se opseg procjene ograničiti samo na npr. "sigurnosno kritične zaposlenike"?

ENX na ovo pitanje o standardu TISAX^® odgovara nedvosmisleno: Svi zaposlenici koji dolaze u kontakt s osjetljivim informacija u automobilskoj industriji moraju biti uključeni u opseg. To može npr. biti i operater stroja koji radi s s planom izgradnje kupca. Vaša organizacija mora sama za sebe definirati koji su zaposlenici uključeni u procese relevantne za informacijsku sigurnost.

Mora li se, prema ENX-u, prije odabira pružatelja usluge procjene, prvo napraviti prijava za TISAX^® audit?

Da. Nakon što se prijavite putem elektroničke prijave na www.enx.com/tisax/ i ENX vam odobri opseg procjene, dobit ćete popis odobrenih pružatelja usluga procjena. Popis možete kod ENX-a vidjeti i unaprijed. DQS je jedan od odobrenih pružatelja usluga procjena i može provoditi procjene u cijelom svijetu. Za pitanja i odgovore u vezi s informacijskom sigurnošću u automobilskoj industriji možete slobodno kontaktirati naše stručnjake.

Ima li upit uopće smisla ako je razina zrelosti preniska?

Ako samoprocjenom utvrdite da u vašoj organizaciji još ima prostora za unaprjeđenje informacijske sigurnosti, zahtjev za procjenom u tom trenutku nema smisla. Preporuča se da prvo uklonite identificirane nedostatke i onda razmotrite provođenje audita.

Koliko traju pojedinačne procjene?

Odgovor na pitanje o trajanju pojedinačnih procjena ovisi o veličini vašeg poduzeća i putovanju potrebnom za procjenu svih lokacija. Za organizaciju prosječne veličine dovoljna su 2-3 dana za procjenu na lokaciji.

Koliko je vremena potrebno da bi se organizacija mogla smatrati certificiranom?

Cijeli proces TISAX^® audita može maksimalno trajati 9 mjeseci. Počinje inicijalnim auditom i završava zadnjim naknadnim (follow-up) auditom. Ako se proces procjene ne može završiti unutar određenog razdoblja, nećete dobiti TISAX^® znak. 

Ako vaša organizacija ispunjava sve kriterije ili su utvrđene samo manje nesukladnosti, izvještaj o procjeni podnosi se ENX-u. Čim je prihvaćen, dobit ćete svoju (privremeni) TISAX^® znak. Ako su utvrđene velike nesukladnosti koje je prvo potrebno ukloniti, znak je valjan tek od dana kada se potvrdi uklanjanje nesukladnosti.

Što je TISAX^® znak?

Znakovi su rezultat procesa procjene i predstavljaju sažetak vaših rezultata. Međusobno su hijerarhijski povezani, tj. kad dobijete određeni znak, automatski dobivate i sve ostale znakove "ispod" njega. Pregled znakova je dostupan samo na ENX portalu. Rok valjanosti je obično tri godine.

Što su velike i male nesukladnosti?

Velika nesukladnost se odnosi na nesukladnost koja dovodi u pitanje cjelokupnu djelotvornost vašeg sustava upravljanja informacijskom sigurnošću ili uzrokuje značajne rizike za informacijsku sigurnost. Primjer takvog slučaja je npr. potreba za dvofaktorskom identifikacijom koja još nije uvedena.

Mala se nesukladnost odnosi, npr. na nesukladnost koja niti ne dovodi u pitanje cjelokupnu djelotvornost vašeg sustava upravljanja informacijskom sigurnošću, niti predstavlja značajan rizik za informacijsku sigurnost u automobilskoj industriji. To su npr. izolirane i mjestimične greške i nedostaci u implementaciji.

Moramo li dostaviti i dokaze o učinkovitosti pojedinih mjera?

Odgovor je: Da. Nakon što ste napravili katalog mjera i primijenili ih, provjerit će se njihova učinkovitost. Certifikacijski proces zato i traje devet mjeseci.

Kako možemo "unaprijed" utvrditi broj zaposlenika?

Točnije: Kako možemo odrediti točan broj zaposlenika unaprijed ako će se dodatni zaposlenici možda zaposliti tek nakon potpisivanja ugovora s klijentom?

Raspon prema koje se klasificiraju zaposlenici za potrebe TISAX^® procjene je značajno veći od onog za međunarodnu normu ISO 27001. TISAX^® broj zaposlenika klasificira npr. kao 0-50, 51-150, itd. Tako da ako znate otprilike koliko ćete zaposlenika zaposliti, možete odabrati odgovarajući raspon.

Koliko bi dokumenata trebalo biti dostupno za poštivanje TISAX^® zahtjeva?

Nije moguće dati opći odgovor na ovo pitanje. Dokumentacija uvijek ovisi o veličini i djelatnosti vaše organizacije. Teoretski sve možete pokriti jednim dokumentom, dok god imate jasan pregled. No, preporuča se imati nekoliko dokumenata koji pokrivaju povezane teme.

Hoće li TISAX^® zamijeniti VDA zaštitu prototipa?

Budući da TISAX^® uključuje zaseban modul za zaštitu prototipa, koji detaljnije obrađuje pojedine kriterije nego što je to bio slučaj prije, može se pretpostaviti da će dugoročno gledajući TISAX^® zamijeniti prijašnje skupine pravila za informacijsku sigurnost u automobilskoj industriji. Trenutačno je, doduše, još uvijek valjano izdanje 3.0 VDA zaštite prototipa.

Što možemo očekivati od DQS-a?

DQS je jedan od ENX-ovih odobrenih pružatelja usluga procjena i može provoditi procjene u cijelom svijetu. Mnogi TISAX ^® auditori su odobreni i za međunarodnu normu ISO 27001, što znači da DQS može istovremeno procjenjivati oba standarda uz malo dodatnog napora. Naši će stručnjaci rado odgovoriti na vaša pitanja o informacijskoj sigurnosti u automobilskoj industriji. 

Stručnost i povjerenje

Naše tehničke članke pišu isključivo naši stručnjaci za standarde i dugogodišnji auditori. Ako imate pitanja vezanih uz sadržaj ili auditore, slobodno nas kontaktirajte.