TISAX® - Válaszok a fontos kérdésekre

TARTALOM

• Mit jelent a TISAX^®?
• Milyen előnyökkel jár a TISAX^®?
• Ki ellenőrzi a TISAX^®-ot?
• Mi az az értékelési szint?
• A TISAX^® a nem termelő vállalatok számára is elérhető?
• TISAX^®-tanúsítás ügyfélkövetelmény nélkül?
• A TISAX^® tartalma analóg az ISO 27001-gyel?
• Ajánlott-e a TISAX^® és az ISO 27001 együttes auditálása?
• Hogyan kell meghatározni a TISAX^® -értékelés alkalmazási területét?
• Mennyi ideig tartanak az egyes értékelések?
• Mik a jelentős és kisebb nem-megfelelőségek?
• A TISAX^® felváltja a VDA prototípus-védelmet?
• Mit tehet értem a DQS?

Mit jelent a TISAX^®?

TISAX^® - Trusted Information Security Assessment eXchange (Megbízható információbiztonsági értékelés eXchange)

TISAX^® egy közös értékelési és adatcsere-eljárás az autóipari ágazat számára. Alapja a VDA "Információbiztonság" munkacsoportja által kifejlesztett információbiztonsági kérdőív (ISA - Information Security Assessment), amelyet először a Német Autóipari Szövetség (VDA) tagvállalatai használtak a beszállítók és szolgáltatók auditálásához, akiknek vállalatainál érzékeny információkat dolgoznak fel. A VDA ISA kérdőív 5.1-es verziója 2022 óta áll rendelkezésre. Ez a verzió 2022 januárja óta kötelező minden új TISAX^®-értékeléshez. Az új TISAX^® 5.1 auditkatalógussal való munka mostantól könnyebbé és hatékonyabbá válhat - a felhasználók és az auditorok számára egyaránt.

Emellett a TISAX^® az információbiztonság nemzetközileg elismert szabványának alapvető követelményein alapul: ISO 27001. A szabvány minden iparágban alkalmazható, és meghatározza a vállalaton belüli információbiztonságot garantáló követelményeket, szabályokat és módszereket. A szabvány követelményeiben túlmutat az informatikai technikai rendszerek védelmén, és kiterjed a vállalat minden védelemre érdemes eszközére, például a helyiségekre, a biztonsági ellenőrzésekre és az archívumokra. Más szavakkal: Az ISO 27001 minden olyan információ védelmét biztosítja, amely értéket képvisel egy szervezet számára.

Milyen előnyökkel jár a TISAX^®?

• A TISAX^® egységes szintű információbiztonságot teremt az autóiparban
• Az értékelési eredményeket a TISAX^® valamennyi résztvevője elismeri a vállalatok között, ami nagyobb bizalmat eredményez az auditált vállalatok iránt
• A TISAX^®-hálózaton belüli kölcsönös elismerés révén elkerülhető a szükségtelen kettős és többszörös auditálás.
• Az értékelés a TISAX^® tanúsítás csak háromévente kerül sor, ami időt és pénzt takarít meg.

Ki ellenőrzi a TISAX^®-ot?

TISAX^® bejegyzett védjegye a ENX Association, amelynek székhelye Frankfurt am Mainban és Párizsban található. Semleges testületként a ^TISAX® végrehajtásával van megbízva. Az ENX az európai gépjárműgyártók, beszállítók és négy nemzeti gépjárműipari szövetség - köztük a VDA - szövetsége, amely 2000-ben alapította az ENX-et. Az ENX Egyesület felügyeli a végrehajtás minőségét, és szigorú eljárás szerint adja meg az értékelési szolgáltatók jóváhagyását. A DQS az ENX által jóváhagyott auditszolgáltatóként szerepel az ENX listáján, és világszerte végezhet értékeléseket. Szakértőink mindig rendelkezésre állnak, hogy válaszoljanak kérdéseire.

Annak érdekében, hogy a résztvevők kölcsönösen elismerjék az értékeléseket, az ENX megfelelő szerződéseket köt valamennyi jóváhagyott auditszolgáltatóval, valamint a TISAX^® hálózat résztvevőivel. A szabványosítás és a minőségellenőrzés révén az ENX az értékelési eredmények közös elismerését éri el valamennyi résztvevő között. A felesleges kettős és többszörös értékelések elkerülhetők.

Kérdések és válaszok a TISAX^®-ról: Mi az az értékelési szint?

TISAX^® három értékelési szintet (védelmi követelményeket) különböztet meg a szükséges védelemtől függően: normál (1. szint), magas (2. szint) és nagyon magas (3. szint). Ettől függ az ellenőrzési módszer és az ellenőrzési ráfordítás.

1. szint: Önértékelés hitelességi ellenőrzés nélkül, általában csak belső célokra. Ezeknek az értékelési eredményeknek csak korlátozott jelentőségük van, és a TISAX^® nem használja fel őket.

2. szint: Az önértékelés hitelességének ellenőrzése egy auditszolgáltató, például a DQS által. Ezeket az információbiztonsági auditokat általában telefonkonferencia formájában végzik, nem pedig helyszíni auditként - kivéve, ha a prototípusvédelmi auditcélok valamelyike érvényes, vagy ha Ön ezt kifejezetten kéri.

Ami újdonság, az egy alternatív módszer az értékelés elvégzésére a 2. értékelési szinten. A hitelesség-ellenőrzés helyett az auditszolgáltatója teljes távoli vizsgálatot végez. Ezt a módszert néha "Értékelési szint 2.5" néven emlegetik. Előnye, hogy a megközelítés módszertanilag összeegyeztethető a 3. értékelési szinttel. Ezért később, kezelhető erőfeszítéssel lehetséges a teljes értékelési szintű 3. szintű vizsgálatra való frissítés.

3. szint: Az önértékelés hitelességi ellenőrzése egy auditszolgáltató által, egy mélyreható, átfogó helyszíni audit révén.

A TISAX^® bevezetése a nem gyártó vállalatok számára is kötelező?

A válasz erre a kérdésre az Ön vállalkozásának kontextusától függ: Az, hogy a TISAX^® bevezetésére szükség van-e vagy sem, az Ön OEM-jétől (eredeti berendezésgyártó) függ, illetve attól, hogy megkövetelik-e Öntől az információbiztonság ezen igazolását. Hacsak az autógyártó nem keresi meg Önt kifejezetten, vagy nem lát változást az ÁSZF-ben, akkor ajánlatos kivárni. A múltban a vállalatokat szükség esetén az OEM kereste meg a további együttműködésre vonatkozó követelményekkel kapcsolatban. Azonban természetesen az Ön feladata, hogy proaktívan érdeklődjön az autóipari partnereinél.

Van értelme ügyfélkövetelmény nélkül is törekedni a TISAX^®-tanúsításra?

Az információbiztonság témájának proaktív megközelítése manapság általában véve nagyon is értelmes, és nem csak az autóipari beszállítók számára. Ha az Ön OEM-je (még) nem határozza meg, hogy milyen TISAX^®-címkét várnak el Öntől, akkor is érdemes a 3. szintet (3. értékelési szint: nagyon magas szintű információbiztonság) demonstrálni. Így Ön minden jövőbeli követelményre felkészült, anélkül, hogy duplikálni kellene a munkát.

Alternatívaként a világszerte elismert ISO/IEC 27001 szabvány jó, iparágakon átívelő bevezetést kínál az információbiztonságba. A szabvány felülvizsgált változata 2022. október 25-én jelent meg.

A TISAX^® tartalma analóg az ISO 27001-gyel?

A TISAX^® értékelési katalógus a nemzetközi szabványból származik. ISO 27001 és az abban meghatározott "ellenőrzésekre" (intézkedésekre) támaszkodik. Ezek leírják, hogyan lehet a vonatkozó követelményeket (kell, kell) végrehajtani, hogyan kell biztosítani a folyamatokat és milyen eszközöket lehet használni. A két szabvány közötti legfontosabb különbség az, hogy TISAX^® egy bizonyos érettségi szint elérését írja elő.

Ajánlott-e a TISAX^® és az ISO 27001 kombinált auditálása?

A kombinált audit mindenképpen lehetséges, és a DQS bármikor elvégezheti. A DQS számos TISAX^®-auditora az ISO 27001-es szabványra is jogosult auditor, ami azt jelenti, hogy mindkét információbiztonsági értékelés egyidejűleg elvégezhető, kis többletráfordítással.

A TISAX^® előtt rendelkeznem kell az ISO 27001 szerinti tanúsítvánnyal?

A válasz erre a kérdésre: nem. Mivel nincs olyan követelmény, hogy már rendelkeznie kell az ISO 27001 szerinti tanúsított információbiztonsági irányítási rendszerrel. A TISAX^®-értékeléshez csupán azt kell bizonyítania, hogy információbiztonsági irányítási rendszer szerint működik, és hogy a megfelelő folyamatok és eljárások stabilan működnek a vállalatnál. Ezt az értékelést az auditor végzi, aki a dokumentumok alapján egy érettségi szintet is kijelöl.

Milyen előnyei vannak annak, ha már rendelkezik ISO 27001 tanúsítvánnyal?

Ha már rendelkezik ISO 27001-es tanúsítvánnyal, az természetesen mindig előnyt jelent. Már csak azért is, mert a TISAX^® esetében bizonyítani kell, hogy Ön rendelkezik megvalósított információbiztonsági irányítással, és mindkét szabályrendszer hasonló lefedettséggel rendelkezik.

De vegye figyelembe: A TISAX^® audit alkalmazási területének meghatározása eltérhet az ISO 27001 tanúsításhoz szükséges definíciótól. A mögöttes fogalmak nem azonosak. Nagyobb szervezetek esetében több alkalmazási terület regisztrálása is megfontolható.

Az ISO 9001 "folyamatdefiníciója" analóg a TISAX^®-éval?

A válasz erre a kérdésre "igen". Elvileg a folyamatok meghatározása és felépítése a megfelelő szabályrendszerekben mindig azonos. A TISAX^® értékelési katalógus is egészen pontosan meghatározza, hogy mely ellenőrzésekből kell meghatározni a KPI-ket, és melyekből nem. A KPI-k létrehozását példákkal támasztja alá az autóiparban az információbiztonság biztosítása érdekében. A VDA ISA kérdőívének áttekintése tehát segít a kezdeti áttekintésben.

Ajánlott-e egy IT-biztonsági felelős a TISAX^® bevezetéséhez?

Nem kötelező, hogy a TISAX^® bevezetéséért felelős személy az informatikai részlegből kerüljön ki. Mivel azonban IT-támogatott folyamatokról van szó, némi IT-ismeret mindenképpen előnyös.

Hogyan kell meghatározni a TISAX^® alkalmazási területét?

Az ENX szabványos alkalmazási területet kínál, amelyet a TISAX^® résztvevőinek 90%-a alkalmaz. Az alapértelmezett alkalmazási terület előre meghatározott, és nem módosítható. Ha az értékelésre való felkészülés során úgy találja, hogy a szokványos alkalmazási terület nem felel meg, bizonyos körülmények között módosíthatja a vizsga alkalmazási területét. Egyedi esetekben az OEM-ek megkövetelhetik a kiterjesztett alkalmazási területet. Ezek a különleges esetek azonban ritkák, és a megfelelő OEM-ek részletesen megbeszélik Önnel. Általában a szabványos alkalmazási terület elegendő. Ez a TISAX® értékelés alapja, és minden résztvevő elfogadja.

Elégséges-e egy alkalmazási terület minden telephelyre?

Az összes telephelyre kiterjedő egyetlen alkalmazási terület előnyökkel, de hátrányokkal is jár.

A sok telephellyel rendelkező vállalatok esetében a rendszeres TISAX^®-értékelési eljárás meglehetősen kiterjedt lehet. Bizonyos feltételek mellett alternatívát kínálunk - az "egyszerűsített csoportos értékelést" (SGA). Az egyszerűsített csoportos értékelés a TISAX^® értékelési eljárás egy speciális esete. Ha a követelmények teljesülnek, akkor a szokásos TISAX^®-értékeléshez képest csökkentheti a ráfordításokat. Ez a speciális TISAX^®-értékelési eljárás a legalább három telephellyel és központosított, magasan fejlett információbiztonsági irányítási rendszerrel (ISMS) rendelkező vállalatok számára készült. Ez a kiegészítés leírja, hogy milyen körülmények között részesülhet az egyszerűsített csoportos értékelés előnyeiből, és hogyan mehet végig a speciális értékelési eljáráson.

Elkülöníthető-e az értékelés hatálya, pl. a "biztonság szempontjából kritikus alkalmazottakra"?

Az ENX a TISAX^® -ról szóló kérdésre egyértelmű választ ad: Minden olyan alkalmazottat be kell vonni az alkalmazási területbe, aki kapcsolatba kerül az autóipar érzékeny információival. Ez lehet például egy gépkezelő is, aki egy ügyfél építési tervével dolgozik. A vállalatnak magának kell meghatározni, hogy mely alkalmazottak vesznek részt az információbiztonság szempontjából releváns folyamatokban.

Igaz-e, hogy az ENX esetében először be kell nyújtani a TISAX^® auditra vonatkozó kérelmet, és csak ezután lehet kiválasztani az auditszolgáltatót?

Igen, ez így van. Az online regisztrációt követően a www.enx.com/tisax/ és az ENX által történő jóváhagyása után Ön megkapja az összes jóváhagyott értékelési szolgáltató listáját. A listát azonban előzetesen is megtekintheti az ENX-en. A DQS az ENX-en szolgáltatóként szerepel, és világszerte képes értékelést végezni. Az autóipari információbiztonsággal kapcsolatos kérdésekkel és válaszokkal kapcsolatban forduljon bizalommal szakértőinkhez.

Van-e egyáltalán értelme egy vizsgálatnak, ha az érettségi szint túl alacsony?

Ha önértékelése során megállapítja, hogy vállalatának még van mit behoznia az információbiztonság terén, akkor egyelőre nincs értelme értékelést kérni. Javasoljuk, hogy először az azonosított hiányosságokat zárja le, és csak ezután vegye fontolóra az auditálást.

Mennyi ideig tartanak az egyes értékelések?

Az egyéni értékelések időtartamára vonatkozó kérdésre adott válasz a vállalat méretétől és a telephelyek auditálásával járó utazásoktól függ. Egy átlagos méretű vállalat esetében 2-3 nap a helyszínen elegendő az értékelési folyamathoz.

Mennyi időbe telik, amíg egy vállalat minősítettnek tekinthető?

A teljes TISAX^® auditálási folyamat legfeljebb kilenc hónapig tarthat. A kezdeti auditálással kezdődik és az utolsó utóellenőrzéssel ér véget. Ha az értékelési folyamatot nem sikerül a megadott időn belül befejezni, akkor nem kapja meg a TISAX^®-címkét.

Ha az Ön vállalata minden kritériumnak megfelel, vagy csak kisebb eltéréseket mutat, az értékelési jelentést benyújtjuk az ENX-hez. Amint ezt elfogadják, Ön megkapja a (ideiglenes) TISAX^® címkét. Ha vannak olyan súlyos meg nem felelések, amelyeket előbb orvosolni kell, a címke attól a naptól érvényes, amikor a meg nem felelést orvosoltnak tekintik.

Kérdések és válaszok a TISAX^®-ról: Mi az a TISAX^® címke?

A címkék az értékelési folyamat eredményét jelentik, és összefoglalják az Ön eredményét. Ezek hierarchikusan kapcsolódnak egymáshoz, vagyis ha Ön egy bizonyos címkét kap, automatikusan megkapja az "alatta" lévő címkéket is. A címkék csak az ENX portálon tekinthetők meg. Érvényességi idejük általában három év.

Mik azok a jelentős és kisebb meg nem felelések?

Jelentős meg nem felelésről akkor beszélünk, ha a meg nem felelés kétségeket ébreszt az Ön információbiztonsági irányítási rendszerének általános hatékonyságával kapcsolatban, vagy ha jelentős információbiztonsági kockázatot okoz. Ilyen például, ha kétfaktoros azonosítást írnak elő, és ezt még nem hajtották végre.

Kisebb mértékű meg nem felelésről van szó például akkor, ha a meg nem felelés nem kérdőjelezi meg az Ön információbiztonsági irányítási rendszerének általános hatékonyságát, és nem jelent jelentős kockázatot az autóipar információbiztonságára nézve. Például elszigetelt vagy szórványos hibák és végrehajtási hiányosságok vannak.

Az egyes intézkedések hatékonyságát is bizonyítani kell?

A válasz "igen". Miután összeállította az intézkedések katalógusát és végrehajtotta azokat, azok hatékonyságát ellenőrizni fogják. Ezért a tanúsítási eljárás kilenc hónapos időszakot is előír.

Hogyan lehet "előre" meghatározni az alkalmazottak számát?

Konkrétan: Hogyan határozhatom meg előre a pontos létszámot, ha a további alkalmazottak felvételére csak az ügyfelünkkel kötött szerződés aláírása után kerülhet sor?

A TISAX^® esetében az alkalmazottak besorolása lényegesen nagyobb, mint az ISO 27001 nemzetközi szabvány esetében. A TISAX® az alkalmazottak számát például 0-50, 51-150 stb. között osztályozza. Ha tehát tudja, hogy hozzávetőlegesen hány új alkalmazottat vesznek fel, akkor megfelelő tartományba tudja magát besorolni.

Hány dokumentumnak kell rendelkezésre állnia ahhoz, hogy megfeleljen a TISAX^®-nak?

Itt nem lehet általános kijelentést tenni. Ez mindig az Ön vállalatának méretétől és tevékenységétől függ. Elméletileg egyetlen dokumentumban mindent le lehet fedni, feltéve, hogy áttekinthető. Célszerű azonban több dokumentumot készíteni, amelyek összefüggő témákat fednek le.

A TISAX^® felváltja a VDA prototípusok védelmét?

Mivel a TISAX^® külön modult tartalmaz a prototípusok védelmére, amely a korábbiaknál sokkal részletesebben foglalkozik az egyes kritériumokkal, feltételezhető, hogy hosszú távon a TISAX^® felváltja az autóiparban az információbiztonságra vonatkozó korábbi szabályrendszereket. Jelenleg azonban még a 2018-as VDA prototípusvédelem 3.0 verziója érvényes.

Kérdések és válaszok a TISAX^®-ról - Mit tehet értem a DQS?

A DQS az ENX által jóváhagyott auditszolgáltatóként szerepel az ENX listáján, és világszerte végezhet értékeléseket. Számos TISAX^® auditorunk az ISO 27001 nemzetközi szabvány jóváhagyott auditora is, ami azt jelenti, hogy a DQS mindkét szabványt egyidejűleg és kevés további erőfeszítéssel értékelheti. Szakértőink szívesen válaszolnak az autóipari információbiztonsággal kapcsolatos kérdéseire. Várjuk a beszélgetést.

Szakértelem és bizalom

Szakcikkeinket kizárólag házon belüli szabványszakértőink és sokéves tapasztalattal rendelkező auditorjaink írják. Ha bármilyen kérdése van a tartalommal vagy szerzőinkkel kapcsolatban, kérjük, forduljon hozzánk bizalommal.