Apakah Anda harus memberikan bukti keamanan informasi yang diberikan kepada Anda sesuai dengan persyaratan "Penilaian Keamanan Informasi VDA" (VDA ISA)? Ahli standar kami Holgen Schmeken memberikan jawaban atas pertanyaan penting tentang TISAX® - prosedur pengujian dan pertukaran bersama dalam industri otomotif. Lingkaran perusahaan yang terkena dampak ini lebih besar dari yang diperkirakan semula. Selain pemasok Tier 1 klasik, sertifikasi TISAX® juga semakin dibutuhkan dari pemasok di sublevel lain - serta dari penyedia layanan di bidang pemrosesan data atau periklanan, misalnya dari perusahaan mitra industri otomotif di pengertian yang paling luas.

Loading...

Apa kepanjangan dari TISAX®?

TISAX® - Trusted Information Security Assessment eXchange

TISAX® adalah penilaian umum dan prosedur pertukaran untuk sektor otomotif. Ini didasarkan pada kuesioner keamanan informasi (ISA - Penilaian Keamanan Informasi) yang dikembangkan oleh kelompok kerja VDA "Keamanan Informasi", yang pertama kali digunakan oleh perusahaan anggota Asosiasi Industri Otomotif Jerman (VDA) untuk audit pemasok dan layanan penyedia di mana informasi sensitif perusahaan diproses. Versi 5.1 dari kuesioner VDA ISA telah tersedia sejak tahun 2022. Versi ini telah diwajibkan untuk semua penilaian TISAX® baru sejak Januari 2022. Bekerja dengan katalog audit TISAX® 5.1 yang baru sekarang akan lebih mudah dan lebih efisien - bagi pengguna dan auditor.

Selain itu, TISAX® didasarkan pada persyaratan penting dari standar keamanan informasi yang diakui secara internasional: ISO 27001. Ini berlaku di semua industri dan mendefinisikan persyaratan, aturan, dan metode untuk memastikan keamanan informasi di dalam perusahaan. Dalam persyaratannya, standar melampaui perlindungan sistem teknis TI dan mencakup semua aset perusahaan yang layak dilindungi, mis. tempat, kontrol keamanan dan arsip. Dengan kata lain: ISO 27001 memastikan perlindungan semua informasi yang bernilai bagi organisasi.

Apa Manfaat dari TISAX®?

  • TISAX® menciptakan tingkat keamanan informasi yang seragam di industri otomotif
  • Hasil penilaian diakui di seluruh perusahaan di antara semua peserta TISAX®, yang mengarah pada kepercayaan yang lebih besar pada perusahaan yang diaudit
  • Duplikat yang tidak perlu dan banyak audit dihindari melalui saling pengakuan di jaringan TISAX®
  • Penilaian untuk sertifikasi TISAX® dilakukan hanya setiap tiga tahun, yang menghemat waktu dan uang
whitepaper-dqs-tisax-assessment
Loading...

TISAX: perencanaan yang baik menghasilkan penilaian yang sukses

Apakah Anda dihadapkan pada tugas untuk memenuhi persyaratan industri otomotif dalam hal keamanan informasi? Maka Anda harus membuat beberapa keputusan penting sebelum melakukan penilaian TISAX®. White Paper gratis kami memberikan panduan.

Siapa yang memantau TISAX®?

TISAX® adalah merek dagang terdaftar dari ENX Association, yang berbasis di Frankfurt am Main dan Paris. Sebagai badan netral, ia dipercayakan untuk mengimplementasikan TISAX®. ENX adalah asosiasi produsen otomotif Eropa, pemasok dan empat asosiasi otomotif nasional, termasuk VDA, yang mendirikan ENX pada tahun 2000. Asosiasi ENX memantau kualitas implementasi dan memberikan persetujuan kepada penyedia layanan penilaian sesuai dengan prosedur yang ketat. DQS terdaftar dengan ENX sebagai penyedia layanan audit yang disetujui dan dapat melakukan penilaian di seluruh dunia. Pakar kami selalu tersedia untuk menjawab pertanyaan Anda.

Untuk mencapai saling pengakuan penilaian oleh para peserta, ENX menyimpulkan kontrak yang sesuai dengan semua penyedia layanan audit yang disetujui serta dengan para peserta dalam jaringan TISAX®. Melalui standarisasi dan pemantauan mutu, ENX mencapai pengakuan umum atas hasil penilaian di antara semua peserta. Duplikasi dan penilaian ganda yang tidak perlu, dihindari.

Tanya jawab tentang TISAX®: Apa yang dimaksud dengan tingkat penilaian?

TISAX® membedakan antara tiga tingkat penilaian (persyaratan perlindungan), tergantung pada perlindungan yang diperlukan: normal (tingkat 1), tinggi (tingkat 2) dan sangat tinggi (tingkat 3). Metode audit dan upaya audit bergantung pada hal ini.

Level 1: Penilaian sendiri tanpa plausibility check, biasanya untuk tujuan internal saja. Hasil penilaian ini hanya memiliki signifikansi terbatas dan tidak digunakan dalam TISAX®.

Level 2: Plausibility check penilaian diri Anda oleh penyedia layanan audit seperti DQS. Audit keamanan informasi ini biasanya dilakukan sebagai konferensi telepon, bukan sebagai audit di tempat - kecuali salah satu tujuan audit perlindungan prototipe berlaku atau Anda secara eksplisit memintanya.

Apa yang baru adalah metode alternatif untuk melakukan penilaian dalam Asesmen Level 2. Alih-alih pemeriksaan masuk akal, penyedia layanan audit Anda melakukan tes jarak jauh yang lengkap. Metode ini kadang-kadang disebut sebagai "Asesmen Level 2.5". Keuntungannya adalah bahwa pendekatan ini secara metodologis kompatibel dengan Asesmen Level 3. Oleh karena itu, dimungkinkan untuk meningkatkan ke ujian Asesmen level 3 penuh di kemudian hari dengan upaya yang dapat dikelola.

Level 3: Plausibility check penilaian diri Anda oleh penyedia layanan audit melalui audit di tempat yang mendalam dan komprehensif.

Apakah pengenalan TISAX® juga merupakan keharusan bagi perusahaan non-manufaktur?

Jawaban atas pertanyaan ini tergantung pada konteks bisnis Anda: Apakah Anda perlu menerapkan TISAX® atau tidak tergantung pada OEM (produsen peralatan asli) Anda, atau apakah mereka mengharuskan Anda untuk memberikan bukti keamanan informasi ini. Kecuali jika pabrikan mobil secara khusus mendekati Anda, atau Anda melihat perubahan dalam T&C, disarankan untuk menunggu dan melihat. Di masa lalu, perusahaan dihubungi oleh OEM tentang persyaratan untuk kerjasama lebih lanjut bila diperlukan. Namun, tentu saja terserah Anda untuk secara proaktif bertanya dengan mitra Anda di industri otomotif.

Namun, bagaimana?

Dengan sertifikasi ISO 27001 dari DQS, pemasok otomotif Mubea berhasil menstandarkan keamanan informasi di sepuluh negara Eropa, sehingga memposisikan dirinya dengan baik di antara para pesaing.

Jadikan pengalaman mereka pelajaran. Ketahui lebih lanjut.

Apakah masuk akal untuk memperjuangkan sertifikasi TISAX® bahkan tanpa persyaratan pelanggan?

Mengambil pendekatan proaktif untuk topik keamanan informasi umumnya masuk akal akhir-akhir ini, dan tidak hanya untuk pemasok di industri otomotif. Jika OEM Anda tidak (belum) menentukan label TISAX® mana yang diharapkan dari Anda, sebaiknya tunjukkan Level 3 (Penilaian Level 3: keamanan informasi yang sangat tinggi). Dengan cara ini, Anda siap untuk semua persyaratan di masa mendatang tanpa harus menduplikasi pekerjaan. Atau, standar ISO/IEC 27001 yang diakui secara global menawarkan pengenalan lintas industri yang baik untuk keamanan informasi.

Sebagai alternatif, standar ISO/IEC 27001 yang diakui secara global menawarkan pengenalan keamanan informasi yang baik dan lintas industri. Standar ini saat ini sedang direvisi, dengan versi revisi yang diharapkan pada akhir tahun 2022.

ISO 27001 - Sistem manajemen keamanan informasi

Sistem manajemen holistik sesuai dengan standar ISO ★ Implementasi yang efektif dari proses manajemen risiko ★ Peningkatan terus-menerus dari tingkat keamanan

Apakah konten TISAX® sesuai dengan ISO 27001?

Katalog penilaian TISAX® berasal dari standar internasional ISO 27001 dan mengacu pada "kontrol" (ukuran) yang ditentukan di dalamnya. Mereka menjelaskan bagaimana persyaratan masing-masing (harus, harus) dapat diimplementasikan, bagaimana proses harus dipastikan dan alat mana yang dapat digunakan. Perbedaan utama antara kedua standar tersebut adalah bahwa TISAX® memerlukan tingkat kematangan tertentu untuk dicapai.

Apakah audit gabungan TISAX® dan ISO 27001 direkomendasikan?

Audit gabungan pasti dimungkinkan dan dapat dilakukan oleh DQS kapan saja. Banyak auditor TISAX® di DQS juga merupakan auditor resmi untuk ISO 27001, yang berarti bahwa kedua penilaian untuk keamanan informasi dapat dilakukan secara bersamaan dengan sedikit usaha tambahan.

Sistem TISAX® adalah yang pertama menawarkan kemungkinan untuk memastikan tingkat keamanan informasi yang seragam di seluruh industri otomotif, berdasarkan dasar yang kuat dari kuesioner VDA dan prinsip-prinsip ISO 27001.

Apakah saya harus mendapatkan sertifikasi ISO 27001 sebelum TISAX®?

Jawaban atas pertanyaan ini adalah: Tidak. Karena tidak ada persyaratan bahwa sistem manajemen keamanan informasi bersertifikat sesuai dengan ISO 27001 harus sudah ada. Untuk penilaian TISAX®, Anda hanya perlu membuktikan bahwa Anda bekerja sesuai dengan sistem manajemen keamanan informasi dan bahwa proses dan prosedur yang sesuai diterapkan secara stabil di perusahaan. Penilaian ini dilakukan oleh auditor, yang juga menggunakan dokumen untuk menetapkan tingkat kematangan.

Apa keuntungan sudah memiliki sertifikasi ISO 27001?

Jika Anda sudah dapat memberikan bukti sertifikat ISO 27001, ini tentu saja selalu menjadi keuntungan. Jika hanya karena untuk TISAX® Anda harus membuktikan bahwa Anda telah menerapkan manajemen keamanan informasi dan kedua set aturan memiliki cakupan yang sama.

Digitalisasi industri otomotif: Jumlah aplikasi dan data di kendaraan meledak, dan dengan itu permukaan serangan dan potensi kerusakan dalam keamanan informasi juga meningkat.

Namun harap diperhatikan: Definisi ruang lingkup audit TISAX® mungkin berbeda dari definisi yang diperlukan untuk sertifikasi ISO 27001. Konsep yang mendasarinya tidak identik. Untuk organisasi yang lebih besar, pendaftaran beberapa cakupan audit juga dapat dipertimbangkan.

Apakah "definisi proses" ISO 9001 sejalan dengan TISAX®?

Jawaban atas pertanyaan ini adalah "ya". Pada prinsipnya, definisi dan struktur proses dalam kumpulan aturan yang sesuai selalu sama. Pedoman penilaian TISAX® juga menyatakan secara spesifik dari mana KPI kontrol harus ditentukan dan dari mana mereka tidak boleh. Pembuatan KPI didukung dengan contoh untuk memastikan keamanan informasi di industri otomotif. Oleh karena itu, melihat kuesioner VDA ISA membantu dengan gambaran umum awal.

Apakah petugas keamanan TI direkomendasikan untuk implementasi TISAX®?

Tidak wajib bahwa orang yang bertanggung jawab untuk memperkenalkan TISAX® berasal dari departemen TI. Namun, karena melibatkan proses yang didukung TI, beberapa pengetahuan TI pasti menguntungkan.

Bagaimana cara menentukan lingkup penilaian TISAX®?

ENX menawarkan cakupan standar yang diadopsi oleh 90% dari semua peserta TISAX®. Cakupan default sudah ditentukan sebelumnya dan tidak dapat diubah. Jika selama persiapan penilaian Anda menemukan bahwa ruang lingkup standar tidak sesuai, Anda dapat menyesuaikan ruang lingkup ujian Anda dalam keadaan tertentu. Dalam kasus individual, OEM mungkin memerlukan cakupan yang diperluas. Namun, kasus khusus ini jarang terjadi dan akan dibahas secara rinci dengan Anda oleh OEM masing-masing. Biasanya, ruang lingkup standar sudah cukup. Ini adalah dasar untuk penilaian TISAX® dan diterima oleh semua peserta.

whitepaper-dqs-tisax-assessment
Loading...

TISAX: perencanaan yang baik untuk penilaian yang baik

Apakah Anda dihadapkan pada tugas untuk memenuhi persyaratan industri otomotif dalam hal keamanan informasi? Maka Anda harus membuat beberapa keputusan penting sebelum melakukan penilaian TISAX®. White Paper gratis kami memberikan panduan.

Apakah satu lingkup penilaian cukup untuk semua lokasi?

Lingkup tunggal yang mencakup semua lokasi menawarkan keuntungan tetapi juga kerugian.

Keuntungan

  • Hanya satu hasil inspeksi, satu laporan inspeksi, satu tanggal kedaluwarsa
  • Mengurangi biaya, karena proses, prosedur, dan sumber daya pusat hanya perlu dinilai sekali

Kekurangan

  • Hasil audit hanya tersedia setelah semua situs dinilai
  • Hasil audit tergantung pada semua lokasi yang lulus audit, yaitu jika hanya satu lokasi yang gagal audit, Anda tidak akan menerima hasil audit positif

Untuk perusahaan dengan banyak lokasi, prosedur penilaian TISAX® reguler bisa sangat ekstensif. Dalam kondisi tertentu, kami menawarkan alternatif - "penilaian kelompok yang disederhanakan" (SGA). Penilaian kelompok yang disederhanakan adalah kasus khusus dari prosedur penilaian TISAX®. Jika persyaratannya terpenuhi, ini dapat mengurangi upaya dibandingkan dengan penilaian TISAX® biasa. Prosedur penilaian TISAX® khusus ini adalah untuk perusahaan dengan setidaknya tiga lokasi dan sistem manajemen keamanan informasi (ISMS) terpusat yang sangat berkembang. Adendum ini menjelaskan dalam keadaan apa Anda dapat memperoleh manfaat dari penilaian kelompok yang disederhanakan dan bagaimana Anda dapat melalui proses penilaian khusus.

Dapatkah lingkup penilaian dikhususkan, mis. kepada "karyawan yang kritis terhadap keamanan"?

ENX menjawab pertanyaan tentang TISAX® ini dengan jelas: Semua karyawan yang berhubungan dengan informasi sensitif dari industri otomotif harus dimasukkan dalam cakupan. Ini juga bisa, misalnya, operator mesin yang bekerja dengan rencana konstruksi pelanggan. Perusahaan Anda harus menentukan sendiri karyawan mana yang terlibat dalam proses yang relevan dengan keamanan informasi.

Benarkah dengan ENX, aplikasi untuk audit TISAX® harus diajukan terlebih dahulu dan baru kemudian penyedia audit dapat dipilih?

Ya, ini benar. Setelah pendaftaran online Anda di www.enx.com/tisax/ dan persetujuan lingkup penilaian oleh ENX, Anda akan menerima daftar semua penyedia layanan penilaian yang disetujui. Namun, Anda juga dapat melihat daftarnya terlebih dahulu di ENX. DQS terdaftar sebagai penyedia layanan di ENX dan dapat melakukan penilaian di seluruh dunia. Untuk pertanyaan dan jawaban mengenai keamanan informasi di industri otomotif, jangan ragu untuk menghubungi pakar kami.

Apakah permohonan bisa diterima jika tingkat kematangannya terlalu rendah?

Jika Anda menentukan dalam penilaian sendiri bahwa perusahaan Anda masih memiliki beberapa hal yang harus dilakukan dalam hal keamanan informasi, permintaan penilaian tidak memungkinkan untuk saat ini. Direkomendasikan agar Anda menutup perbedaan yang teridentifikasi terlebih dahulu sebelum mempertimbangkan audit.

Berapa lama penilaian individu berlangsung?

Jawaban atas pertanyaan tentang durasi penilaian individu tergantung pada ukuran perusahaan Anda dan perjalanan yang terlibat dalam mengaudit perusahaan Anda. Untuk ukuran perusahaan rata-rata, 2-3 hari di lokasi sudah cukup untuk proses penilaian.

Berapa lama waktu yang dibutuhkan perusahaan untuk dianggap bersertifikat?

Seluruh proses audit TISAX® dapat memakan waktu maksimal sembilan bulan. Dimulai dengan audit awal dan diakhiri dengan audit tindak lanjut terakhir. Jika proses penilaian tidak dapat diselesaikan dalam jangka waktu yang ditentukan, Anda tidak akan menerima label TISAX®.

baretton-gerber-1-dqs
Loading...

Penilaian TISAX® 

Kami juga akan dengan senang hati menjawab pertanyaan Anda dalam pertemuan pribadi.

Tanpa kewajiban dan gratis.

Jika perusahaan Anda memenuhi semua kriteria atau hanya menunjukkan ketidaksesuaian kecil, laporan penilaian dikirimkan ke ENX. Segera setelah ini diterima, Anda akan menerima label TISAX® (sementara) Anda. Jika ada ketidaksesuaian utama yang harus diperbaiki terlebih dahulu, label berlaku sejak hari ketidaksesuaian dianggap telah diperbaiki.

Tanya jawab tentang TISAX®: Apa itu label TISAX®?

Label adalah hasil dari proses penilaian dan meringkas hasil Anda. Mereka terhubung secara hierarkis satu sama lain yaitu jika Anda menerima label tertentu, Anda secara otomatis menerima "label di bawah" itu. Label hanya dapat dilihat di portal ENX. Masa berlaku mereka biasanya tiga tahun.

Apa yang dimaksud dengan ketidaksesuaian mayor dan minor?

Ketidaksesuaian mayor adalah ketika ketidaksesuaian menimbulkan keraguan tentang efektivitas keseluruhan sistem manajemen keamanan informasi Anda atau ketika hal itu menyebabkan risiko keamanan informasi yang signifikan. Hal ini terjadi, misalnya, jika identifikasi dua faktor diperlukan dan ini belum dilaksanakan.

Ketidaksesuaian minor terjadi, misalnya, jika ketidaksesuaian tidak mempertanyakan efektivitas keseluruhan sistem manajemen keamanan informasi Anda atau menimbulkan risiko signifikan terhadap keamanan informasi di industri otomotif. Misalnya, kesalahan terisolasi atau sporadis dan kekurangan implementasi.

Apakah saya juga perlu menyerahkan bukti efektivitas tindakan individu?

Jawabannya iya." Setelah Anda membuat katalog tindakan dan menerapkannya, efektivitasnya akan diverifikasi. Untuk itu, proses sertifikasi juga memberikan jangka waktu sembilan bulan.

Bagaimana saya bisa menentukan jumlah karyawan "lebih dahulu"?

Khususnya: Bagaimana saya dapat menentukan jumlah pasti karyawan sebelumnya jika karyawan tambahan tidak dapat dipekerjakan sampai setelah kontrak dengan klien kami ditandatangani?

Rentang di mana karyawan diklasifikasikan untuk TISAX® secara signifikan lebih besar daripada standar internasional ISO 27001. TISAX® mengklasifikasikan jumlah karyawan, misalnya, dalam 0-50, 51-150, dll. Jadi, jika Anda tahu kira-kira bagaimana banyak karyawan baru akan dipekerjakan, Anda dapat menempatkan diri Anda dalam kisaran yang sesuai.

Berapa banyak dokumen yang harus tersedia untuk mematuhi TISAX®?

Tidak mungkin membuat pernyataan umum di sini. Itu selalu tergantung pada ukuran dan aktivitas perusahaan Anda. Secara teoritis, Anda dapat mencakup semuanya dalam satu dokumen, selama Anda memiliki gambaran yang jelas. Namun, disarankan untuk membuat beberapa dokumen yang mencakup topik terkait.

Akankah TISAX® menggantikan perlindungan prototipe VDA?

Karena TISAX® menyertakan modul terpisah untuk perlindungan prototipe, yang membahas lebih detail tentang kriteria individu daripada sebelumnya, dapat diasumsikan bahwa dalam jangka panjang TISAX® akan menggantikan rangkaian aturan sebelumnya untuk keamanan informasi di Industri otomotif. Saat ini, bagaimanapun, perlindungan prototipe VDA versi 3.0 tahun 2018 masih berlaku.

Tanya jawab tentang TISAX® - Apa yang dapat DQS lakukan untuk saya?

DQS terdaftar dengan ENX sebagai penyedia layanan audit yang disetujui dan dapat melakukan penilaian di seluruh dunia. Banyak auditor TISAX® kami juga merupakan auditor yang disetujui untuk standar internasional ISO 27001, yang berarti bahwa kedua standar tersebut dapat dinilai oleh DQS secara bersamaan dan dengan sedikit upaya tambahan. Pakar kami akan dengan senang hati menjawab pertanyaan Anda tentang keamanan informasi di industri otomotif. Kami berharap dapat berkomunikasi dengan Anda.

Apa Anda memiliki pertanyaan?

Hubungi kami!

Tidak ada kewajiban dan gratis.

Keahlian dan kepercayaan

Artikel teknis kami ditulis secara eksklusif oleh pakar standar internal dan auditor jangka panjang kami. Jika Anda memiliki pertanyaan tentang konten atau penulis kami, jangan ragu untuk menghubungi kami.

Penulis
Holger Schmeken

Manajer produk dan ahli untuk keamanan informasi dan pengembangan perangkat lunak. Holger Schmeken juga menyumbangkan keahliannya sebagai auditor ISO 27001 dengan kompetensi prosedur audit KRITIS.

Loading...