TISAX® 自動車産業における情報セキュリティ
すべての TISAX参加者間の相互承認
サプライヤーおよびサービスプロバイダーは、審査を受けた企業に対してより大きな信頼を得ることができます。
TISAX認証のための審査は3年に1度しか行われない
TISAXのネットワークに参加することで、時間とコストを節約できます。
TISAX® 審査について
TISAX® 2.2 - 2024年4月1日より義務化 - 移行に関する注意事項
サプライチェーンにおける情報セキュリティとOTシステムへの注目の高まり:
- サプライチェーンの関連企業は、「可用性:高い」または「可用性:非常に高い」の要件を満たさなければなりません。
- TISAX®アセスメントでは、生産現場やその他の分野におけるオペレーショナル・テクノロジー(OT)システムが重視されます。
- IEC 62443-2-1および新しい“VDA ISA Catalog”要件への言及は、OTへの注力を促進します。
- 産業用通信制御システム(IACS)も含まれます。
- このカテゴリーに属する企業は、開発と生産における機密データの適切な保護を実証しなければなりません。
- 要件の多くは「感度:高い」または「感度:非常に高い」と重複します。
- 関連性は低いですが、機密情報を保持するサプライチェーンの企業は、この情報が適切に保護されることを証明しなければなりません。
- 「高い機密性」または「厳格な機密性」のラベルは、この保護目的に貢献するTISAX®の要求事項を選択するために使用されます。
日本における TISAX® について知っておくべき事
TISAX®に準拠して評価された拠点は10,000を超え、この規格はISO/IEC 27001に次いで、世界で2番目に広く採用されている情報セキュリティフレームワークです。この結果、TISAX®とISAカタログの国際ワーキンググループがVDAとENXによって結成されており日本の自動車産業との緊密な協力関係を促進しています。
これにより、TISAX®はグローバルな情報セキュリティの規格としての地位を確立し、数多くの組織がその信頼性と実効性に頼っています。VDAとENXが国際ワーキンググループを通じて連携することで、TISAX®は継続的な進化を遂げ、将来の情報セキュリティの課題に対応しています。日本の自動車産業との協力は、規格の導入と発展において重要な位置を占めており、グローバルな視点からの貢献が期待されています。
なぜ TISAX® を検討する必要があるのでしょうか?
TISAX® の必要条件は何ですか?
日本でのTISAX®の効果は?
企業が両方の役割を担うことができますが注意が必要です。TISAX®の情報提供者になることを検討されている場合、以下のステップが不可欠です: 1.www.enx.com/TISAX、オンラインでご登録ください。 2.DQS ジャパン.のような ENX 公認の審査会社を選択する。 3.TISAX®を受ける。 4.TISAX® オンラインプラットフォームで監査結果を交換する。 これらのステップを踏むことで、TISAX®の枠組みで審査を受けることができます。審査に合格すると、TISAX®オンラインプラットフォーム上でTISAX® ラベルが付与されます。このラベルは、証明書を受け取るのと同じように、信頼を高め、情報資産のセキュリティを保証する役割を果たします。
TISAX® 取得のプロセスはどのように行われるのか?
TISAX®を開始する前に、貴社は明確な認証範囲を設定する必要があります。これには、審査のアプローチを決定する審査・レベルや具体的な審査要件など、審査の基本的な特徴を定義することが含まれます。これらの要件には、生産能力の「可用性」の確保、委託情報の「機密性」の保証、「試作部品」や「個人データ」の安全確保などが含まれます。これらの基本的な属性は、評価範囲内のすべての場所に適用されます。
重要な課題は、同じような要件を共有するサイトを単一の認証範囲でグループ化できます。DQSは、包括的な単一の認証範囲にするか、複数の認証範囲にするかなど、認証範囲の設定についてご相談にのることにできます。
認証範囲が少ないということは、有効期限切れを監視するラベルが少ないということですが、一方、情報セキュリティマネジメントシステム(ISMS)が一元化されていれば
、監査チームが各拠点に費やす時間が短縮され、最終的に全体的な審査時間も短縮されます。
TISAX®ラベルの取得は、2つの重要なステップを含む簡単なプロセスです。第一段階は、DQS ジャパン.のような承認された審査会社を選択することから始まります。第2 ステップでは、自己評価として実施され、現地訪問を伴わない文書審査からプロセスが開始されます。その後、フォローアップ審査が行われます。この審査の深さは、審査・レベル(AL)に依存します:
AL 2の審査は、現地訪問を含まず、主に文書に基づいて、実施されている情報セキュリティマネジメントシステム(ISMS)の妥当性をチェックすることに重点を置いています。
AL 3審査には、現地訪問が含まれ、実施されたISMSの証拠評価による詳細な検証が行われます。
少し異なるアプローチとして、AL2.5審査と呼ばれる方法があり、監査サービスプロバイダーは、妥当性チェックのみを実施するのではなく、完全なリモート審査を実施します。注目すべきは、この方法は方法論的にAL
3と整合していることです。デルタ審査を通じて物理的側面と現場証拠のみに集中することで、後に完全なAL 3にアップグレードするために柔軟性があります。
監査結果は中間報告書に文書化されます。不適合が特定された場合、顧客と審査会社は、実施すべき是正処置について合意します。必要であれば、相互の合意により、これらの是正措置の実施スケジュールを設定します。このプロセスにより、特定されたすべての問題が効果的かつタイムリーに対処されることが保証されます。
要求された処置が実施された後、不適合の解消を検証し、実施された是正処置の全体的な有効性を評価するために、有効性チェックが実施されます。
最終報告書はTISAX®ポータルにアップロードされると貴社の正式な参加となります。対応するTISAX®ラベルが表示されるため、TISAX®規格への準拠が確認されます。
TISAX®にはいくらかかりますか?
DQS Japanとは?
TISAX® アセスメント
DQS GmbHはTISAX®参加企業として登録されており、アセスメントレベル3の「情報セキュリティが非常に高い」評価を受けています。このTISAX®アセスメントは、ENX認定のアセスメントサービスプロバイダーによって実施されます。TISAX®の評価結果は一般には公開されず、DQS GmbHの評価結果はENXポータル(https://portal.enx.com/)を通じて登録された参加者にのみ公開されます。