Dovete fornire la prova della sicurezza delle informazioni fornite secondo i requisiti del "VDA Information Security Assessment" (VDA ISA)? Il nostro esperto di norme André Saeckel fornisce risposte a domande importanti su TISAX®- la procedura comune di valutazione e scambio nell'industria automobilistica. La cerchia delle aziende interessate è più ampia di quanto si possa pensare inizialmente. Oltre al classico fornitore Tier 1, la certificazione TISAX® viene richiesta sempre più spesso anche da fornitori di altri sottolivelli - così come, ad esempio, da fornitori di servizi nei settori dell'elaborazione dati o della pubblicità, ovvero da aziende partner dell'industria automobilistica.

Loading...

Cosa significa TISAX®?

TISAX® - Trusted Information Security Assessment eXchange

TISAX® è una procedura comune di valutazione e scambio per il settore automobilistico. Si basa su un questionario sulla sicurezza delle informazioni (ISA - Information Security Assessment) sviluppato dal gruppo di lavoro VDA "Information Security", che è stato utilizzato per la prima volta dalle aziende legate all'Associazione tedesca dell'industria automobilistica (VDA) per gli audit dei fornitori e dei prestatori di servizi nelle cui aziende vengono trattati dati sensibili. La versione 5.1 del questionario VDA ISA è disponibile dal 2022. Da gennaio 2022 questa versione è obbligatoria per tutte le nuove valutazioni TISAX®. Lavorare con il nuovo catalogo audit TISAX® 5.1dovrebbe ora essere più semplice ed efficiente, sia per gli utenti che per gli auditors.   

Inoltre, TISAX® si basa sui requisiti essenziali della norma riconosciuta a livello internazionale per la sicurezza delle informazioni: la ISO 27001. È applicabile in tutti i settori e definisce requisiti, regole e metodi per garantire la sicurezza delle informazioni all'interno di un'azienda. Nei suoi requisiti, la norma va oltre la protezione dei sistemi tecnici IT e comprende tutte le risorse aziendali che necessitano di protezione, ad esempio i locali, i controlli di sicurezza e gli archivi. In altre parole: la ISO 27001 assicura la protezione di tutte le informazioni che hanno valore per un'organizzazione.

Quali sono i vantaggi di TISAX®?

  • TISAX® crea un livello uniforme di sicurezza delle informazioni nell'industria automobilistica
  • I risultati della valutazione sono riconosciuti da tutti i partecipanti a TISAX®, il che porta a una maggiore fiducia nelle aziende sottoposte ad audit
  • Si evitano inutili duplicazioni e verifiche multiple grazie al riconoscimento reciproco nella rete TISAX®.
  • La valutazione per la certificazione TISAX® ha luogo solo ogni tre anni, il che fa risparmiare tempo e denaro

Chi controlla TISAX®?

TISAX® è un marchio registrato dell'Associazione ENX, con sede a Francoforte sul Meno e Parigi. Come organismo neutrale, è incaricato dell'attuazione di TISAX®. ENX è l'associazione dei produttori automobilistici europei, dei fornitori e di quattro associazioni automobilistiche nazionali, tra cui la VDA, che hanno fondato ENX nel 2000. L'associazione ENX controlla la qualità dell'implementazione e concede l'approvazione ai fornitori di servizi di valutazione secondo una procedura rigorosa. DQS è elencata nell'ENX come fornitore di servizi di audit approvato e può eseguire valutazioni in tutto il mondo. I nostri esperti sono sempre a disposizione per rispondere alle vostre domande.

Per ottenere il riconoscimento reciproco delle valutazioni da parte dei partecipanti, ENX stipula contratti corrispondenti con tutti i fornitori di servizi di audit autorizzati e con i partecipanti alla rete TISAX®. Attraverso la standardizzazione e il controllo della qualità, ENX ottiene un riconoscimento comune dei risultati delle valutazioni tra tutti i partecipanti. Si evitano inutili doppioni e valutazioni multiple.

Domande e risposte su TISAX®: Cos'è un livello di valutazione?

TISAX® distingue tre livelli di valutazione (requisiti di protezione), a seconda della protezione richiesta: normale (livello 1), alto (livello 2) e molto alto (livello 3). Il metodo di controllo e lo sforzo di controllo dipendono da questo.

Livello 1: autovalutazione senza controllo di plausibilità, di solito solo per scopi interni. Questi risultati di valutazione hanno un significato limitato e non sono utilizzati in TISAX®.

Livello 2: controllo di plausibilità della vostra autovalutazione da parte di un fornitore di servizi di audit come DQS. Questi audit sulla sicurezza delle informazioni vengono solitamente condotti attraverso una conferenza telefonica e non come audit in sede, a meno che non si applichi uno degli obiettivi dell'audit di protezione del prototipo, o che voi lo richiediate esplicitamente.

La novità è rappresentata da un metodo alternativo per la conduzione di una valutazione nel Livello di valutazione 2. Invece del controllo di plausibilità, il fornitore di servizi di audit esegue un test remoto completo. Questo metodo viene talvolta definito "Livello di valutazione 2.5". Il vantaggio è che l'approccio è metodologicamente compatibile con il Livello di valutazione 3. È quindi possibile passare a un livello di valutazione 3. È possibile avanzare in un secondo momento a un esame completo del livello di valutazione 3 con uno sforzo gestibile.

Livello 3: verifica della plausibilità della vostra autovalutazione da parte di un fornitore di servizi di audit attraverso un audit in sede approfondito e completo.

L'introduzione di TISAX® è un must anche per le aziende non produttrici?

La risposta a questa domanda dipende dal contesto della vostra azienda: la necessità o meno di implementare TISAX® dipende dal vostro OEM (original equipment manufacturer), ovvero dal fatto che vi chiedano di fornire questa prova di sicurezza delle informazioni. A meno che la casa automobilistica non vi avvicini specificamente, o che vediate un cambiamento nei T&C, si raccomanda di aspettare e vedere. In passato, qualora necessario, le aziende sono state contattate dall'OEM sui requisiti per un'ulteriore collaborazione. Tuttavia, spetta naturalmente a voi informarvi proattivamente con i vostri partner dell'industria automobilistica.

Ha senso impegnarsi per la certificazione TISAX® anche senza una richiesta del cliente?

Un approccio proattivo al tema della sicurezza delle informazioni ha molto senso al giorno d'oggi, e non solo per i fornitori dell'industria automobilistica. Se il vostro OEM non specifica (ancora) quale etichetta TISAX® si aspetta da voi, è una buona idea dimostrare il livello 3 (Assessment Level 3: sicurezza delle informazioni molto elevata). In questo modo, siete preparati per tutti i requisiti futuri senza dover duplicare il lavoro.

In alternativa, la norma ISO/IEC 27001, riconosciuta a livello mondiale, offre una buona introduzione intersettoriale alla sicurezza delle informazioni, trasversale a tutti i settori. Lo standard è attualmente in fase di revisione e la versione aggiornata è prevista per la fine del 2022.

ISO 27001 - Sistema di gestione della sicurezza delle informazioni

Sistema di gestione olistico secondo la norma ISO ★ Implementazione efficace di un processo di gestione dei rischi ★ Miglioramento continuo del livello di sicurezza

Il contenuto di TISAX® è analogo a quello della ISO 27001?

Il catalogo di valutazione TISAX® deriva dalla norma internazionale ISO 27001 e si basa sui "controlli" (misure) ivi definiti. Essi descrivono come i rispettivi requisiti (dovrebbero) possono essere implementati, come i processi devono essere garantiti e quali strumenti possono essere utilizzati. Una differenza fondamentale tra le due norme è che TISAX® richiede il raggiungimento di un certo livello di maturità.

È consigliabile un audit combinato di TISAX® e ISO 27001?

Un audit combinato è sicuramente possibile e può essere eseguito da DQS in qualsiasi momento. Molti auditor TISAX® di DQS sono anche auditor autorizzati per la ISO 27001, il che significa che entrambe le valutazioni per la sicurezza delle informazioni possono essere eseguite contemporaneamente con poco sforzo aggiuntivo.

"Il sistema TISAX® è il primo ad offrire la possibilità di garantire un livello uniforme di sicurezza delle informazioni in tutta l'industria automobilistica, sulla base della solida base del questionario VDA e dei principi ISO 27001."

Devo essere certificato ISO 27001 prima di TISAX®?

La risposta a questa domanda è: no. Perché non è necessario che esista già un sistema di gestione della sicurezza delle informazioni certificato secondo la norma ISO 27001. Per la valutazione TISAX® è sufficiente dimostrare che si lavora secondo un sistema di gestione della sicurezza delle informazioni e che i relativi processi e procedure sono implementati in modo stabile nell'azienda. Questa valutazione viene effettuata dall'auditor, che utilizza i documenti anche per assegnare un livello di maturità.

Quali sono i vantaggi di avere già una certificazione ISO 27001?

Se potete già fornire la prova di un certificato ISO 27001, questo è naturalmente sempre un vantaggio. Se non altro perché per TISAX® dovete dimostrare di avere una gestione della sicurezza delle informazioni implementata, ed entrambi i set di regole hanno una copertura simile.

"La digitalizzazione dell'industria automobilistica: Il numero di applicazioni e dati nei veicoli sta esplodendo, e con esso crescono anche le superfici di attacco e il potenziale di danno nella sicurezza delle informazioni."

Ma attenzione: la definizione dello scopo dell'audit TISAX® può differire da quella richiesta per la certificazione ISO 27001. I concetti di base non sono identici. Per le organizzazioni più grandi, può essere presa in considerazione anche la registrazione di più scopi di audit.

La "definizione del processo" della ISO 9001 è analoga a TISAX®?

La risposta a questa domanda è "sì". In linea di principio, la definizione e la struttura dei processi nei corrispondenti set di regole è sempre la stessa. Il catalogo di valutazione TISAX® indica inoltre in modo molto preciso da quali controlli devono essere determinati i KPI e da quali no. La creazione di KPI è supportata da esempi per garantire la sicurezza delle informazioni nell'industria automobilistica. Uno sguardo al questionario VDA ISA aiuta quindi ad avere una prima visione d'insieme.

Per l'implementazione di TISAX® è consigliato un responsabile della sicurezza informatica?

Non è obbligatorio che il responsabile dell'introduzione di TISAX® provenga dal reparto IT. Tuttavia, poiché sono coinvolti processi supportati dall'IT, una certa conoscenza dell'IT è sicuramente un vantaggio.

Come si definisce lo scopo della valutazione di TISAX®?

ENX offre uno scopo standard che viene adottato dal 90% di tutti i partecipanti a TISAX®. Lo scopo è predefinito e non può essere modificato. Se durante la preparazione della vostra valutazione vi accorgete che lo scopo standard non è adatto, potete modificarlo in determinate circostanze. In singoli casi, gli OEM possono richiedere lo scopo ampliato. Tuttavia, questi casi speciali sono rari e saranno discussi in dettaglio con voi dal rispettivo OEM. Normalmente, lo scopo standard è sufficiente. È la base per una valutazione TISAX® ed è accettato da tutti i partecipanti.

Un solo scopo di valutazione è sufficiente per tutti i siti?

Un unico scopo che comprenda tutti i siti offre vantaggi ma anche svantaggi.

Vantaggi

  • Un solo risultato d'ispezione, un solo report d'ispezione, una sola data di scadenza
  • Costi ridotti, poiché i processi, le procedure e le risorse centrali devono essere valutati solo una volta

Svantaggi

  • Il risultato dell'audit è disponibile solo dopo che tutti i siti sono stati valutati
  • Il risultato dell'audit dipende dal fatto che tutti i siti passino l'audit, vale a dire che se solo un sito non supera l'audit, non riceverete un risultato di audit positivo
  • Per le aziende con molte sedi, la normale procedura di valutazione TISAX® può essere piuttosto lunga. A determinate condizioni, offriamo un'alternativa: la "valutazione di gruppo semplificata" (SGA - "simplified group assessment"). La valutazione di gruppo semplificata è un caso particolare della procedura di valutazione TISAX® . Se i requisiti sono soddisfatti, può ridurre l'impegno rispetto alla normale valutazione TISAX®. Questa procedura speciale di valutazione TISAX® è destinata alle aziende con almeno tre sedi e un sistema di gestione della sicurezza delle informazioni (ISMS) centralizzato e altamente sviluppato. Il presente addendum  descrive le circostanze in cui è possibile beneficiare della valutazione di gruppo semplificata e le modalità di svolgimento del processo di valutazione speciale.

Lo scopo della valutazione può essere isolato, per esempio ai "dipendenti critici per la sicurezza"?

ENX risponde a questa domanda su TISAX® senza ambiguità: tutti i dipendenti che entrano in contatto con informazioni sensibili dell'industria automobilistica devono essere inclusi nell'ambito. Questo può anche essere, ad esempio, un operatore di macchina che lavora con il piano di costruzione di un cliente. La vostra azienda deve definire da sola quali dipendenti sono coinvolti nei processi rilevanti per la sicurezza delle informazioni.

È vero che con ENX è necessario presentare prima la domanda per un audit TISAX® e solo dopo si può scegliere il fornitore dell'audit?

Sì, è vero. Dopo la registrazione online su www.enx.com/tisax/ e l'approvazione dello scopo di valutazione da parte di ENX, riceverete un elenco di tutti i fornitori di servizi di valutazione approvati. Tuttavia, potete anche visualizzare la lista in anticipo su ENX. DQS è elencato come fornitore di servizi ENX e può eseguire valutazioni in tutto il mondo. Per domande e risposte sulla sicurezza delle informazioni nell'industria automobilistica, non esitate a contattare i nostri esperti.

Ha senso un'indagine se il livello di maturità è troppo basso?

Se in un'autovalutazione avete stabilito che la vostra azienda deve ancora recuperare terreno in termini di sicurezza delle informazioni, una richiesta di valutazione è indicata per il momento. Si raccomanda di colmare prima le lacune identificate e poi di considerare un audit.

Quanto durano le valutazioni individuali?

La risposta alla domanda sulla durata delle valutazioni individuali dipende dalle dimensioni della vostra azienda e dagli spostamenti necessari per l'audit dei vostri siti. Per un'azienda di dimensioni medie, 2-3 giorni sul campo sono sufficienti per il processo di valutazione.

Quanto tempo ci vuole perché un'azienda sia considerata certificata?

L'intero processo di audit TISAX® può durare al massimo nove mesi. Inizia con l'audit iniziale e termina con l'ultimo audit di follow-up. Se il processo di valutazione non può essere completato entro il periodo specificato, non riceverete l'etichetta TISAX®.

baretton-gerber-1-dqs
Loading...

Valutazione TISAX®

Saremo lieti di rispondere alle vostre domande anche con un incontro personale.

Senza impegno e gratuitamente.

Se la vostra azienda soddisfa tutti i criteri o presenta solo lievi non conformità, il report di valutazione verrà presentato ad ENX. Non appena questo viene accettato, riceverete il vostro marchio (temporaneo) TISAX®. Se ci sono delle non conformità maggiori che devono essere prima corrette, l'etichetta è valida a partire dal giorno in cui si ritiene che la non conformità sia stata eliminata.

Domande e risposte su TISAX®: cosa sono le etichette TISAX®?

Le etichette sono il risultato del processo di valutazione e riassumono il vostro risultato. Sono collegate gerarchicamente l'una all'altra. Cioè, se si riceve una certa etichetta, si ricevono automaticamente le "etichette sottostanti". Le etichette possono essere visualizzate solo nel portale ENX. Il loro periodo di validità è solitamente di tre anni.

Cosa sono le non conformità maggiori e minori?

Una non conformità maggiore è quando la non conformità solleva dubbi sull'efficacia generale del vostro sistema di gestione della sicurezza delle informazioni o quando causa rischi significativi per la sicurezza delle informazioni. Questo è il caso, per esempio, se è richiesta l'identificazione a due fattori e questa non è stata ancora implementata.

Esiste una non conformità minore, per esempio, se la non conformità non mette in discussione l'efficacia generale del vostro sistema di gestione della sicurezza delle informazioni né pone un rischio significativo per la sicurezza delle informazioni nell'industria automobilistica. Per esempio, errori isolati o sporadici e carenze di implementazione.

Devo anche presentare prove dell'efficacia delle singole misure?

La risposta è "sì". Dopo aver creato il vostro catalogo di misure e averle implementate, la loro efficacia sarà verificata. Per questo motivo, il processo di certificazione prevede anche un periodo di nove mesi.

Come posso determinare "in anticipo" il numero di dipendenti?

In particolare: come posso determinare il numero esatto di dipendenti in anticipo se i dipendenti aggiuntivi possono essere assunti solo dopo la firma del contratto con il nostro cliente?

L'intervallo in cui vengono classificati i dipendenti per TISAX® è molto più ampio rispetto alla norma internazionale ISO 27001. TISAX® classifica il numero di dipendenti, ad esempio, in 0-50, 51-150, ecc. Quindi, se si sa approssimativamente quanti nuovi dipendenti verranno assunti, è possibile collocarsi in un intervallo appropriato.

Quanti documenti devono essere disponibili per essere conformi a TISAX®?

Qui non è possibile fare un'affermazione generale. Dipende sempre dalle dimensioni e dall'attività della vostra azienda. Teoricamente, è possibile coprire tutto in un unico documento, purché si abbia una chiara visione d'insieme. Tuttavia, è consigliabile creare diversi documenti che coprano argomenti correlati.

TISAX® sostituirà la protezione dei prototipi VDA?

Poiché TISAX® comprende un modulo separato per la protezione dei prototipi, che entra molto più nel dettaglio dei singoli criteri rispetto al passato, si può supporre che a lungo termine TISAX® sostituirà i precedenti set di regole per la sicurezza delle informazioni nell'industria automobilistica. Attualmente il prototipo di protezione VDA versione 3.0 del 2018 è ancora valido.

Domande e risposte su TISAX® - Cosa può fare DQS per me?

DQS è iscritta all'ENX come fornitore di servizi di audit autorizzato e può eseguire valutazioni in tutto il mondo. Molti dei nostri auditor TISAX® sono anche auditor autorizzati per la norma internazionale ISO 27001, il che significa che entrambe le norme possono essere valutate da DQS contemporaneamente e con poco sforzo aggiuntivo. I nostri esperti saranno lieti di rispondere alle vostre domande sulla sicurezza delle informazioni nell'industria automobilistica. Non vediamo l'ora di parlare con voi.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Avete domande?

Contattateci!

Senza impegno e gratuitamente.

Competenza e fiducia

I nostri articoli tecnici sono scritti esclusivamente dai nostri esperti interni di norme e da auditor competenti. Se avete domande sul contenuto o sui nostri autori, non esitate a contattarci.

Autore
Holger Schmeken

Responsabile di prodotto ed esperto di sicurezza delle informazioni e sviluppo software. Holger Schmeken contribuisce anche con la sua esperienza come auditor ISO 27001 con competenza nella procedura di audit KRITIS.

Loading...