TISAX® Certification and Assessment

자동차 산업의 정보 보안

귀사는 자동차 산업을 위한 공급업체 또는 서비스 공급업체입니까? 그러면 향후에는 고객이 제공하는 중요한 정보의 보안에 대한 증거를 3년에 한 번씩만 제시하면 됩니다(해당 평가를 통해 TISAX® 절차 참가자로서). 이 절차는 모든 업종에 적용 가능하며 회사의 정보 보안에 대한 요구사항을 정의합니다.

모든 TISAX® 참가자 간의 상호 인정

공급업체 및 서비스 공급업체는 감사 대상 회사에 대한 더 큰 신뢰를 얻습니다.

TISAX® 인증 평가는 3년마다 실시됩니다.

TISAX® 네트워크에 참여하여 시간 및 비용 절감

TISAX® 평가에 대한 기본 정보

TISAX®는 자동차 부문의 일반적인 평가 및 교환 절차입니다. VDA 실무그룹 '정보보안'이 개발한 설문지(ISA - Information Security Assessment)를 기반으로 하며, 국제표준 ISO/IEC 27001의 주요 측면을 바탕으로 완성도 모델까지 확대되었다.

ISA는 또한 산업 생산 설비(IACS) 및 운영 기술(OT)의 자동화 및 모니터링을 위한 산업 제어 시스템에 대 ISO/SAE 62443-2-1을 의미합니다.

또한 독일 자동차 산업 협회(VDA)의 책임 기관은 TISAX®(Trusted Information Security Assessment eXchange)라는 이름으로 공동 평가 및 교환 메커니즘을 구축하기 위한 조건을 마련했습니다. TISAX®는 ENX 협회의 등록 상표입니다. 유럽 자동차 제조업체, 자동차 공급업체 및 자동차 협회 협회는 TISAX® 평가의 품질을 모니터링하고 TISAX® 감사 서비스 제공자의 승인을 통제합니다

TISAX®에 따르면 현재 10,000개 이상의 사이트가 평가되었으며, 이 표준은 ISO 27001에 이어 전 세계적으로 두 번째로 널리 구현된 정보 보안 규칙입니다. VDA와 ENX는 TISAX®와 ISA 카탈로그를 위한 국제 워킹 그룹을 구성하여 표준을 더욱 발전시켰습니다. 이는 동시에 글로벌 자동차 산업과의 긴밀한 협력을 촉진합니다. TISAX 6.0을 통해 2023년 가을에 평가 및 교환 절차의 최신 양식이 발표되었습니다.

적게 표시

TISAX® 2.2 - 2024년 4월 1일 부터 의무 적용 - 전환 노트

2024년 3월 31일까지 계약된 TISAX® 평가는 ISA의 이전 버전 5.1을 기준으로 진행할 수 있습니다. 그러나 2024년 4월 1일 이후에 예정된 최초 또는 재인증 평가는 ISA 6.0을 기준으로 하는 새로운 TISAX® 절차에 따라서만 수행됩니다. 시정조치계획 평가, follow-up 평가, 범위확대 평가 또는 지속적인 간단화 그 평가 등 기존 평가에 의존하는 평가활동은 기존 버전에 따라 계속 수행됩니다.

새로운 ISA 6.0의 주요 변경 사항에 대한 정보는 당사 블로그 게시물 "New ISA Catalog 6.0"(https://www.dqsglobal.com/de-de/wissen/blog/isa-katalog-6-0-ab-2024) 링크에서 확인할 수 있습니다.

새로운 ISA 카탈로그 6.0은 TISAX®의 중요한 이정표입니다. 이 평가 카탈로그는 심 제공자의 요구 사항을 조정하도록 이끌며, 이는 TISAX® ACAR 2.2 규정에 정의되었습니다. 주 언어가 영어로 변경된 것은 글로벌 관점과 전 세계 개발을 위한 공동의 노력을 강조합니다. TISAX VDA 6.0의 추가 번역이 계획되어 있습니다.

새로운 ISA 카탈로그 6.0의 가장 중요한 변경 사항은 다음과 같습니다

시큐리티 레이블 변경:

- 정보 보안 라벨은 Availability 및 Confidentiality 라벨로 대체됩니다. 공급망에서 귀하의 역할에 따라 Availability 또는 Confidentiality 또는 둘 다 귀사와 관련이 있을 수 있습니다.

- 기존의 " Information Security High " 레이블은 " Availability High " 및 " Confidentiality High " 레이블로 대체됩니다. 기존의 " Information Security Very High " 레이블도 동일하게 적용되며 " Availability very high" 및 "Confidentiality strict" 으로 대체됩니다.

- 두 레이블은 동일한 기준 요구 사항을 충족해야 합니다. 또한 각 레이블에는 높은 보호 요구 사항과 매우 높은 보호 요구 사항에 대한 특정 요구 사항이 있습니다. 평가 프로세스는 공급망에서 귀하의 역할을 고려하여 레이블에 의해 주도됩니다. 따라서 귀하의 역할과 관련된 레이블을 고객에게 확인할 가치가 있습니다.

공급망에서 정보 보안 및 OT 시스템에 대한 집중도 증가

- 공급망으로 관련된 회사는 "high availability” 또는 "very high availability" 요구 사항을 충족해야 합니다.

- TISAX® 평가에서 운영 및 기타 분야의 운영 기술(OT) 시스템 강조.

- IEC 62443-2-1 및 새로운 ISA 카탈로그 요구사항에 대한 참조는 OT 포커스를 촉진합니다.

- 산업 통신 및 제어 시스템(IACS) 포함.

- 이 범주에 속하는 회사는 개발 및 생산 과정에서 민감한 데이터를 적절하게 보호해야 합니다.

- 많은 요구 사항이 " High Sensitivity " 또는 " Very High Sensitivity "와 겹칩니다.

- 관련성은 높지 않지만 민감한 정보를 위탁받은 공급망의 기업은 이 정보가 적절하게 보호될 수 있음을 입증해야 합니다.

- " High Confidentiality " 또는 " Strict Confidentiality " 레이블은 이러한 보호 목표에 기여하는 TISAX® 요구 사항을 선택하는 데 사용됩니다.

- 위에서 설명한 선택적 평가의 주요 목적은 기업이 자신의 역할과 관련된 ISA 카탈로그의 요구 사항만 충족하면 된다는 것입니다.

제조업체의 새로운 과제

- OT 시스템은 TISAX® IT 시스템에 일반적으로 필요한 것과 유사한 관리를 받아야 합니다.

- 따라서 자산 관리의 OT는 특정 위험을 식별하고 잠재적인 취약성을 분석하며 유능한 직원이 관리하고 원격 유지 보수 및 기타 모범 관리 관행을 위한 ISMS 준수 프로세스를 거칩니다.

적게 표시

TISAX® 평가의 장점은 무엇입니까?

자동차 서비스 제공업체 또는 공급업체로서 고객의 정보 보안 요구 사항을 충족한다는 것을 입증해야 합니다. 지금까지 이러한 평가는 주로 제조업체가 수행했습니다. TISAX® 네트워크에 등록된 참가자는 공통 온라인 플랫폼을 통해 평가 서비스 제공업체를 선택하고 평가를 의뢰할 수 있습니다. 기업의 이점이 단점보다 큽니다:

- 서로 다른 고객에 의한 중복 및 다중 평가를 피할 수 있어 시간과 비용을 절약할 수 있습니다.

- TISAX® 참가자에 대한 전사적 평가 인정

- 일관된 평가 프로세스를 보장하는 통합 평가 카탈로그 덕분에 신뢰할 수 있는 결과 제공

- TISAX® 레이블을 통해 평가 대상 회사에 대한 신뢰 향상

평가가 완료되면 TISAX® 온라인 플랫폼에 TISAX® 라벨이 부착됩니다. 이 라벨은 인증서에 버금가는 역할을 하며, 회사에 대한 신뢰를 강화하고 정보 보안을 위해 노력하고 있음을 확인하는 역할을 합니다.

적게 표시

TISAX®의 운영방식이 어떻게 되나요?

TISAX®에서 참가자는 두 가지 다른 역할을 맡을 수 있습니다. 예를 들어 "정보 소비자"(수동)는 공급업체에 대한 정보를 수신하려는 제조업체이고 "정보 제공자"(능동)는 제조업체로부터 주문을 받기 위해 적합성에 대해 감사를 받고자 하는 부품 공급업체 또는 서비스 제공업체 입니다.

회사는 두 참가자 역할을 모두 수행할 수도 있습니다. 정보 제공자로 TISAX®에 참여하려는 사람은 다음 4가지 주요 단계를 수행해야 합니다.

1. www.enx.com/TISAX에서 온라인으로 등록합니다.
2. ENX 승인 심사 서비스 공급자(예: DQS)를 선택합니다.
3. TISAX® 평가를 받습니다.
4. 심사 결과를 TISAX® 온라인 플랫폼에서 교환합니다.

TISAX 결과에 관심이 있는 회사는 ENX에 "Information Consumer" 로 등록할 수 있습니다. 각 Information Consumer에 대해 현재 TISAX 상태를 공유할지 여부를 결정할 수 있습니다.

적게 표시

TISAX® 평가는 어떻게 진행되나요?

TISAX® 평가를 시작하기 전에 회사는 명확한 범위를 정의해야 합니다. 여기에는 구체적인 평가 요구 사항을 정의하는 평가 수준이 포함됩니다. 이러한 요구 사항에는 생산 능력의 " availability " 보장, 위탁 정보의 " confidentiality " 보장 또는 " prototype parts " 및 " personal data " 확보가 포함될 수 있습니다. 이러한 기준 기준 기준은 범위 내의 모든 사이트에 적용됩니다.

핵심 과제는 비슷한 요구 사항을 가진 사이트를 단일 범위로 결합하는 것입니다. DQS는 단일 포괄 범위여야 하는지 아니면 여러 범위여야 하는지에 대한 귀중한 설계 지침을 제공할 수 있습니다. 원칙적으로 모든 사이트가 중앙 집중식 ISMS 하에서 운영되는 경우 감사 노력을 줄일 수 있는 형태로 하나의 범위 아래에서 사이트를 결합하면 장점이 있습니다.

TISAX® 참가자로서 먼저 온라인으로 등록해야 합니다. 그런 다음 ENX가 범위 ID를 할당합니다. 이 등록 과정과 관련된 서비스 수수료가 있으며, 이 수수료는 범위 내의 각 위치에 대해 부과됩니다.

첫 번째 단계에서 승인된 인증심사 서비스 제공자를 선택합니다. 두 번째 단계에서는 시작, 문서 검토(현장심사가 아닌 자체 평가) 및 후속 평가(Level 2: not on-site, Level 3: on-site)가 있습니다.

참고: 평가 레벨 2에서 평가를 수행하는 대안적인 방법이 있습니다. 신뢰성 검사 대신 감사 서비스 제공업체가 전체 원격 평가(Remote Assessment)를 수행합니다. 이 방법은 "평가 레벨 2.5"라고 불리기도 합니다. 평가 레벨 2.5의 장점은 이 접근 방식이 평가 레벨 3과 방법론적으로 호환된다는 것입니다. 따라서 관리 가능한 노력으로 나중에 전체 평가 레벨 3 시험으로 업그레이드하는 것이 가능합니다.

TISAX® 감사결과는 중간보고서에 기록됩니다. 부적합 시 이행조치를 합의하고, 필요한 경우 합의된 기간 내에 이행조치를 결정합니다. 이 절차를 통해 확인된 모든 문제를 효과적이고 신속하게 처리할 수 있습니다.

부적합 사항이 종결되면, 부적합 사항의 종결을 검증하고, 시정조치의 전반적인 효과를 평가하기 위해 유효성 검토를 수행합니다.

최종 결과는 ENX® 포털에 온라인으로 게시됩니다. 그러면 회사는 해당 테스트 레이블과 함께 TISAX® 프로세스의 참가자로 등록됩니다. 다른 인증서와 달리 TISAX® 인증서는 없습니다.

TISAX® 평가 비용은 얼마입니까?

두 가지 중요한 요소가 전체 평가의 범위와 비용에 영향을 미칩니다. 확장된 범위, 표준 범위 또는 제한된 범위를 기반으로 평가가 가능합니다. 범위에 대한 결정은 원하는 보호 목표뿐 아니라 회사 규모에 따라 잘 준비되고 결정되어야 합니다.

예를 들어 보호 목표는 평가에 프로토타입 보호 또는 데이터 보호와 같은 주제를 포함할지 여부에 관한 것입니다. TISAX® 절차에 참여하려면 가능한 한 빨리 승인된 인증심사 서비스 제공업체인 DQS에 문의하십시오. 이것이 평가 범위에 대한 올바른 계산을 결정하고 TISAX® 인증 비용에 대한 신뢰할 수 있는 견적을 제공할 수 있는 유일한 방법입니다.

적게 표시