What is TISAX?
독일 자동차 산업 협회(VDA)는 모든 TISAX에 등록된 회원(참가자, participants)에게 의무적인 TISAX 평가를 요구하고 있으며 VDA ISA 평가항목 등 표준을 정의하고 있습니다. TISAX 평가는 TISAX 참가자(participants)의 자동차 정보 보안 성숙도를 평가하고 label을 발급합니다. TISAX는 별도의 발급되는 인증서는 없으며, 발급된 TISAX label이 ENX DB 업로드됩니다.
Why TISAX?
TISAX 평가는 다음과 같은 효과 가질 수 있습니다.
- 귀사의 중요한 요구사항을 충족할 수 있습니다.
- 자산(정보자산, 소유물)을 보호할 수 있습니다.
- 보안 사고를 감지하고 예방할 수 있습니다.
- 고객사의 중요한 요구사항을 충족할 수 있습니다.
- 자산(정보자산, 소유물)을 보호할 수 있습니다.
- 보안 사고를 감지하고 예방할 수 있습니다.
- 여러 OEM 보안 점검을 대체할 수 있습니다.
평가 준비
TISAX 평가 및 평가 결과를 요청하는 OEM의 요구사항 명확하게 파악되어야 합니다. OEM이 요청하는 Assessment Level(평가 레벨), Assessment Object(평가 목표), 평가 완료일 등이 명확하게 확인되고 확정 후 ENX에 평가받을 정보를 등록해야 합니다. OEM의 요청사항은 회사의 영업부문에서 OEM 담당자를 통해 확인하는 것이 일반적입니다.
TISAX 평가항목은 Information Security, Prototype Protection, Data Protection 영역으로 구성되어 있으며, 많은 평가항목이 Information Security 영역에 포함되어 있습니다. Information Security 영역은 정보 보안의 관리적, 물리적, 기술적 부문에 대한 업무를 수행하는 정보 보안, 인적 보안, 물리보안의 업무 담당자의 준비가 필요합니다. 또한 Prototype Protection 영역은 시제품의 개발 관련된 업무 담당자의 준비가 함께 필요합니다. 따라서, 보안부서, 정보시스템 부서 및 시제품 개발부서가 함께 해야 원활한 평가 준비를 할 수 있습니다.
TISAX 평가를 준비하는 기업은 VSA ISA 자체 평가가 선행되어야 하며, 그 후 평가 기관이 자체 평가한 내용을 기반으로 적합성 및 유효성을 검증하게 됩니다. VSA ISA 자체 평가(Self Assessment)는 VSA ISA checklist의 평가항목에 대한 해당 기업의 적용 현황과 관련 증적을 작성하도록 되어 있습니다. 자체 평가를 진행 시 TISAX 평가 기준(control 및 세부 질의사항) 대비 미흡사항을 파악(gap analysis) 하여 gap을 줄이는 방법으로 평가 기준을 만족할 수 있도록 준비하는 것도 하나의 방법이 될 수 있습니다.
자체 평가를 통해 정보 보안 및 시제품 관련 업무 프로세스의 개선, 보안 시스템의 적용 등 단기간에 개선하기 쉽지 않은 것에 대해서는 평가 기관의 평가 전에 준비할 수 있는 충분한 시간을 갖는 것도 필요합니다. 또한 전문지식을 소유한 전담인원을 통해 정보 보안 및 정보시스템 운영을 할 수 있는 준비도 필요합니다. 자체 평가를 수행할 내부 인원이 부재할 경우 외부 전문기관을 통해 준비하는 것도 하나의 방법이 될 수 있습니다.
NEXT...
다음 블로그에는 TISAX 평가 영역별 주요 내용, VSA ISA 자체평가를 통한 Checklist 작성 사례 등에 대한 내용을 소개해 드리겠습니다.
