"VDA 정보 보안 평가"(VDA ISA)의 요구 사항에 따라 제공된 정보의 보안에 대한 증거를 제공해야 합니까? 당사의 표준 전문가인 André Saeckel은 TISAX®에 대한 중요한 질문에 대한 답변을 제공합니다. 이는 자동차 산업의 공동 테스트 및 교환 절차입니다. 이것의 영향을 받는 회사의 범위는 아마도 처음에 가정한 것보다 더 큽니다. 기존 Tier 1 공급업체 외에도 TISAX® 인증은 다른 하위 수준의 공급업체와 데이터 처리 또는 광고 분야의 서비스 제공업체(예: 자동차 산업의 파트너 회사)로부터도 점점 더 요구되고 있습니다.
Loading...
CONTENT
- TISAX®는 무엇을 의미하나요?
- TISAX®의 장점은 무엇인가요?
- 누가 TISAX®를 모니터링합니까?
- 평가 수준이란 무엇입니까?
- TISAX®는 비제조 회사에도 적용되나요?
- 고객 요구사항이 없는 TISAX® 인증할 수 있나요?
- TISAX®의 내용은 ISO 27001과 유사합니까?
- TISAX®와 ISO 27001의 통합 심사가 가능한가요?
- TISAX® 평가 범위를 어떻게 정의합니까?
- 개별 평가는 얼마나 걸립니까?
- 중대한 부적합과 경미한 부적합은 무엇입니까?
- TISAX®가 VDA 프로토타입 보호를 대체합니까?
- DQS는 고객을 위해 어떤 것을 할 수 있습니까?
TISAX® 정의는 무엇일까요?
TISAX® - Trusted Information Security Assessment eXchange
TISAX®는 자동차 부문의 일반적인 평가 및 교환 절차입니다. VDA 작업 그룹 "정보 보안"에서 개발한 정보 보안 설문지(ISA - 정보 보안 평가)를 기반으로 하며, 독일 자동차 산업 협회(VDA)의 회원사에서 공급업체 및 서비스 감사를 위해 처음 사용했습니다. 회사에서 민감한 정보를 처리하는 공급자. VDA ISA 설문지 버전 5.0은 2020년 7월부터 사용할 수 있습니다. 2020년 10월 1일부터 이 버전은 모든 새로운 TISAX® 평가에 필수입니다.
또한 TISAX®는 국제적으로 인정된 정보보안 표준인 ISO 27001의 필수 요구사항을 기반으로 합니다. 이는 모든 산업에 적용 가능하며 회사 내 정보 보안을 보장하기 위한 요구사항, 규칙 및 방법을 정의합니다. 요구사항에서 표준은 IT 기술 시스템의 보호를 넘어 보호할 가치가 있는 모든 회사 자산(보안 제어 및 기록 보관소)을 포함합니다. 즉, ISO 27001은 조직에 가치 있는 모든 정보의 보호를 보장합니다.
TISAX® 이점은 무엇일까요?
- TISAX®는 자동차 산업에서 균일한 수준의 정보 보안을 만듭니다.
- 평가 결과는 모든 TISAX® 참여자 중 회사 전체에서 인식되어 심사 대상 회사에 대한 신뢰도를 높입니다.
- TISAX® 네트워크의 상호 인식을 통해 불필요한 중복 및 다중 심사를 방지합니다.
- TISAX® 인증에 대한 평가는 3년마다 진행되므로 시간과 비용이 절약됩니다.
TISAX® 의 관리감독은 누가 하나요?
TISAX®는 프랑크푸르트 암 마인과 파리에 본사를 둔 ENX 협회의 등록 상표입니다. 중립 기관으로서 TISAX® 구현을 위임 받습니다. ENX는 2000년에 ENX를 설립한 VDA를 포함한 유럽 자동차 제조업체, 공급업체 및 4개 국가 자동차 협회입니다. ENX 협회는 구현 품질을 모니터링하고 엄격한 절차에 따라 평가 서비스 제공업체에 승인을 부여합니다. DQS는 승인된 심사 서비스 제공업체로 ENX에 등재되어 있으며 전세계적으로 평가를 수행할 수 있습니다. DQS 전문가는 항상 고객님의 질문에 답할 수 있습니다.
참가자의 평가에 대한 상호 인정을 얻기 위해 ENX는 승인된 모든 심사 서비스 제공업체 및 TISAX® 네트워크 참가자와 해당 계약을 체결합니다. 표준화 및 품질 모니터링을 통해 ENX는 모든 참가자가 평가 결과를 공통적으로 인식합니다. 불필요한 중복 및 다중 평가가 방지됩니다.
TISAX®에 대한 질문과 답변: 평가 수준이란 무엇입니까?
TISAX®는 필요한 보호 수준에 따라 세 가지 평가 수준(보호 요구 사항)을 구분합니다: 보통(수준 1), 높음(수준 2) 및 매우 높음(수준 3) 입니다. 심사 방법과 심사 노력은 아래와 같이 구분됩니다.
레벨 1: 일반적으로 내부용으로 타당성 검사가 없는 자체 평가입니다. 이러한 평가 결과는 의미가 제한적이며 TISAX®에서는 사용되지 않습니다.
레벨 2: DQS와 같은 심사 서비스 제공업체의 자체 평가 타당성 검사를 실시합니다. 이러한 정보 보안 심사는 프로토타입 보호 심사목적 중 하나가 적용되거나 고객님이 이를 명시적으로 요청하지 않는 한, 일반적으로 현장 심사가 아닌 전화 회의로 수행됩니다.
레벨 3: 심층적이고 포괄적인 현장 심사를 통해 심사 서비스 제공자가 자체 평가한 타당성 검사입니다.
TISAX® 도입은 비제조업체도 필수인가요?
이 질문에 대한 답은 비즈니스 상황에 따라 다릅니다. TISAX®를 구현해야 하는지 여부는 OEM(주문자 상표 부착 방식 제조업체)에 따라 다르거나 이러한 정보 보안 증명을 제공하도록 요구하는지 여부에 따라 다릅니다. 자동차 제조업체가 특별히 접근하지 않거나 T&C에 변경 사항이 없는 한 기다려 보는 것이 좋습니다. 과거에는 필요할 때 추가 협력에 대한 요구 사항에 대해 OEM이 회사에 연락했습니다. 그러나 자동차 산업의 파트너에게 사전에 문의하는 것은 물론 고객님에게 달려 있습니다.
고객 요구 사항 없이도 TISAX® 인증을 위해 노력하는 것이 이치에 맞습니까?
정보보안 주제에 대한 선제적 접근 방식을 취하는 것은 요즘 자동차 산업의 공급업체 뿐만 아니라 일반적으로 많은 의미가 있습니다. OEM이 (아직) 어떤 TISAX® 라벨을 요구하는지 지정하지 않은 경우 레벨 3(평가 레벨 3: 매우 높은 정보 보안)을 입증하는 것이 좋습니다. 이러한 방식으로 작업을 복제하지 않고도 향후 모든 요구사항에 대비할 수 있습니다. 또는 세계적으로 인정받는 ISO/IEC 27001 표준은 정보 보안에 대한 훌륭한 산업 간 소개를 제공합니다.
ISO 27001 - 정보 보안 관리 시스템
ISO 표준에 따른 총체적 관리 시스템
★ 효과적인 위험 관리 프로세스 구현
★ 보안 수준의 지속적인 개선
TISAX®의 내용은 ISO 27001과 유사합니까?
TISAX® 평가 카탈로그는 국제 표준 ISO 27001에서 파생되었으며 여기에 정의된 "제어"(측정)를 따릅니다. 각각의 요구 사항(반드시, 해야 함)을 구현하는 방법, 프로세스를 보장하는 방법 및 사용할 수 있는 도구를 설명합니다. 두 표준의 주요 차이점은 TISAX®가 특정 성숙도 수준에 도달해야 한다는 것입니다.
TISAX®와 ISO 27001의 통합 심사가 권장됩니까?
통합심사는 확실히 가능하며 DQS에서 언제든지 수행할 수 있습니다. DQS의 모든 TISAX® 심사원은 ISO 27001 인증 심사원이기도 합니다. 즉, 정보 보안에 대한 두 가지 평가를 추가 노력 없이 동시에 수행할 수 있습니다.
"TISAX® 시스템은 VDA 설문지 및 ISO 27001 원칙의 강력한 기반을 기반으로 전체 자동차 산업에 걸쳐 균일한 수준의 정보 보안을 보장할 수 있는 가능성을 제공하는 최초의 시스템입니다."
TISAX®보다 먼저 ISO 27001 인증을 받아야 하나요?
이 질문에 대한 대답은 아닙니다. ISO 27001에 따라 인증된 정보 보안 관리 시스템이 이미 존재해야 한다는 요구 사항이 없기 때문입니다. TISAX® 평가의 경우 정보 보안 관리 시스템에 따라 작업하고 해당 프로세스 및 절차가 회사에서 안정적인 방식으로 구현된다는 것을 증명하기만 하면 됩니다. 이 평가는 문서를 사용하여 성숙도를 지정하는 심사위원에 의해 수행됩니다.
이미 ISO 27001 인증을 보유하면 어떤 이점이 있습니까?
이미 ISO 27001 인증서의 증거를 제공할 수 있다면 이는 바로 이점입니다. TISAX®의 경우에만 구현된 정보 보안 관리가 있고 두 규칙 집합이 유사한 적용 범위를 갖는다는 것을 증명해야 합니다.
"자동차 산업의 디지털화: 차량의 애플리케이션 및 데이터 수가 폭발적으로 증가하고 있으며, 이와 함께 정보 보안의 공격 표면 및 손상 가능성도 증가하고 있습니다."
참고: TISAX® 심사 범위의 정의는 ISO 27001 인증에 필요한 정의와 다를 수 있습니다. 기본 개념은 동일하지 않습니다. 대규모 조직의 경우 여러 심사범위를 등록하는 것도 고려할 수 있습니다.
ISO 9001의 "프로세스 정의"는 TISAX®와 유사합니까?
이 질문에 대한 대답은 "예"입니다. 원칙적으로 해당 규칙 세트의 프로세스 정의 및 구조는 항상 동일합니다. TISAX® 평가 카탈로그에는 컨트롤 KPI를 결정해야 하는 제어 KPI와 결정하지 말아야 하는 제어 KPI도 매우 구체적으로 명시되어 있습니다. KPI 생성은 자동차 산업의 정보 보안을 보장하기 위한 사례로 뒷받침됩니다. 따라서 VDA ISA 설문지를 살펴보면 초기 개요를 파악하는 데 도움이 됩니다.
TISAX® 구현을 위해 IT 보안 담당자가 권장됩니까?
TISAX® 도입 책임자가 IT 부서 출신일 필요는 없습니다. 그러나 IT 지원 프로세스가 관련되어 있기 때문에 일부 IT 지식은 확실히 유리합니다.
TISAX® 평가 범위는 어떻게 정의하나요?
ENX는 모든 TISAX® 참가자의 90%가 채택한 표준 범위를 제공합니다. 기본 범위는 사전 정의되며 변경할 수 없습니다. 평가를 준비하는 동안 표준 범위가 적합하지 않은 경우 특정 상황에서 시험 범위를 조정할 수 있습니다. 개별 사례에서 OEM은 확장된 범위를 요구할 수 있습니다. 그러나 이러한 특별한 경우는 드물며 각 OEM에서 자세히 논의할 것입니다. 일반적으로 표준 범위로 충분합니다. 이는 TISAX® 평가의 기초이며 모든 참가자가 수락합니다.
모든 사이트에 하나의 평가 범위로 충분합니까?
모든 사이트를 포함하는 단일 범위에는 장점이 있지만 단점도 있습니다.
이점
- 검사결과 1개, 검사성적서 1개, 유효기간 1개만
- 중앙 프로세스, 절차 및 리소스를 한 번만 평가하면 되므로 비용 절감
불이익
- 심사 결과는 모든 사이트를 평가한 후에만 사용할 수 있습니다.
- 심사 결과는 심사를 통과한 모든 사이트에 따라 다릅니다. 즉, 하나의 사이트만 심사에 불합격하면 긍정적인 심사결과를 받을 수 없습니다.
보안이 중요한 직원에게 평가 범위를 숨길 수 있습니까?
ENX는 TISAX®에 대한 이 질문에 명확하게 대답합니다. 자동차 산업의 민감한 정보와 접촉하는 모든 직원이 범위에 포함되어야 합니다. 예를 들어 고객의 건설 계획을 다루는 기계 운영자가 될 수도 있습니다. 귀사는 정보 보안과 관련된 프로세스에 참여하는 직원을 자체적으로 정의해야 합니다.
ENX에서 TISAX® 심사 신청서를 먼저 제출해야 심사 제공자를 선택할 수 있다는 것이 사실인가요?
예, 맞습니다. www.enx.com/tisax/에서 온라인 등록을 하고 ENX에서 평가 범위를 승인하면 승인된 모든 평가 서비스 제공업체 목록을 받게 됩니다. 그러나 ENX에서 미리 목록을 볼 수도 있습니다. DQS는 ENX의 서비스 제공업체로 등록되어 있으며 전 세계적으로 평가를 수행할 수 있습니다. 자동차 산업의 정보 보안에 관한 질문과 답변이 필요하시면 주저하지 마시고 전문가에게 문의하십시오.
성숙도가 너무 낮은 경우 문의가 의미가 있습니까?
자체 평가에서 회사가 정보 보안 측면에서 아직 따라잡아야 할 부분이 있다고 판단되면 당분간 평가 요청이 의미가 없습니다. 식별된 차이를 먼저 해결한 다음 심사를 고려하는 것이 좋습니다.
개별 평가는 얼마나 걸립니까?
개별 평가 기간에 대한 질문에 대한 답은 회사의 규모와 현장 감사와 관련된 여행에 따라 다릅니다. 평균 회사 규모의 경우 현장에서 2-3일이면 평가 프로세스에 충분합니다.
회사가 인증된 것으로 간주되기까지 얼마나 걸립니까?
전체 TISAX® 심사 프로세스는 최대 9개월이 소요될 수 있습니다. 초기 심사로 시작하여 마지막 후속 심사로 끝납니다. 지정된 기간 내에 평가 프로세스를 완료할 수 없는 경우 TISAX® 라벨을 받을 수 없습니다.
Loading...
TISAX® 평가
DQS는 고객님의 질문에 회신드릴 것입니다.
언제든지 연락주시면, 답변드리겠습니다.
고객님이 모든 기준을 충족하거나 경미한 부적합만 표시하는 경우 평가 보고서가 ENX에 제출됩니다. 수락되는 즉시 (임시) TISAX® 라벨을 받게 됩니다. 우선 시정해야 할 중대한 부적합이 있는 경우 라벨은 부적합이 시정된 것으로 간주되는 날부터 유효합니다.
TISAX®에 대한 질문과 답변: TISAX® 라벨이란 무엇입니까?
레이블은 평가 프로세스의 결과이며 결과를 요약합니다. 이들은 계층적으로 서로 연결되어 있습니다. 즉. 특정 레이블을 받으면 자동으로 "아래 레이블"을 받습니다. 레이블은 ENX 포털에서만 볼 수 있습니다. 유효기간은 보통 3년입니다.
중부적합과 경부적합은 무엇을 뜻하나요?
중부적합은 부적합이 정보 보안 관리 시스템의 전반적인 효과에 대해 의문을 제기하거나 심각한 정보 보안 위험을 유발하는 경우입니다. 예를 들어 2단계 식별이 필요하지만 아직 구현되지 않은 경우가 이에 해당합니다.
경부적합은 정보보안 관리시스템의 전반적인 효율성에 의문을 제기하지 않거나 자동차 산업의 정보 보안에 심각한 위험을 초래하지 않는 경우에 해당됩니다. 예를 들어 고립되거나 산발적인 오류 및 구현 결함이 있습니다.
개별 조치의 효과에 대한 증거도 제출해야 합니까?
대답은 "예"입니다. 측정 카탈로그를 만들고 구현한 후에는 그 효과가 확인됩니다. 이러한 이유로 인증 프로세스는 9개월의 기간도 제공합니다.
"미리" 직원 수를 어떻게 결정할 수 있습니까?
구체적으로: 고객과 계약이 체결될 때까지 추가 직원을 고용할 수 없는 경우 사전에 정확한 직원 수를 어떻게 결정할 수 있습니까?
직원이 TISAX®로 분류되는 범위는 국제 표준 ISO 27001보다 훨씬 큽니다. TISAX®는 직원 수를 예를 들어 0-50, 51-150 등으로 분류합니다. 많은 신입사원을 채용할 예정이므로 자신을 적절한 범위에 배치할 수 있습니다.
TISAX®를 준수하려면 얼마나 많은 문서가 있어야 합니까?
여기서 일반적인 진술을 하는 것은 불가능합니다. 항상 회사의 규모와 활동에 따라 다릅니다. 이론적으로 명확한 개요가 있는 한 단일 문서에서 모든 것을 다룰 수 있습니다. 그러나 관련 주제를 다루는 여러 문서를 작성하는 것이 좋습니다.
TISAX®가 VDA 프로토타입 보호를 대체합니까?
TISAX®에는 이전의 경우보다 개별 기준에 대해 훨씬 더 자세히 설명하는 프로토타입 보호를 위한 별도의 모듈이 포함되어 있으므로 장기적으로 TISAX®가 자동차 산업에 영향을 주게 됩니다. 그러나 현재 2018년 VDA 프로토타입 보호 버전 3.0은 여전히 유효합니다.
TISAX®에 대한 질문과 답변 - DQS는 고객님께 무엇을 할 수 있습니까?
DQS는 승인된 심사 서비스 제공업체로 ENX에 등재되어 있으며 전세계 평가를 수행할 수 있습니다. DQS의 모든 TISAX ® 심사원은 또한 국제 표준 ISO 27001에 대해 승인된 심사원이기도 합니다. 즉, DQS는 두 표준을 추가 노력 없이 동시에 평가할 수 있습니다. DQS의 전문가가 자동차 산업의 정보 보안에 대한 고객님의 질문에 최선을 다해 답변해 드릴 것입니다. DQS는 고객님을 기다리고 있습니다.
문의사항 있으신가요?
Contact us!
언제든지 문의하시면 됩니다
전문성과 신뢰
당사의 기술 문서는 사내 표준 전문가 및 장기 심사자가 독점적으로 작성합니다. 콘텐츠나 저자에 대해 궁금한 점이 있으면 언제든지 문의해 주세요.
DQS 뉴스레터
최신 정보를 확인하고 뉴스레터를 구독하세요!
저자
앙드레 재켈
DQS 정보 보안 관리 제품 관리자. 정보 보안 및 IT 보안 카탈로그(중요 인프라) 분야의 표준 전문가인 André Säckel은 ISO 27001, ISIS12, ISO 20000-1, KRITIS 및 TISAX( 자동차 산업의 정보 보안). 그는 또한 독일 표준화 연구소 DIN의 국가 대표로서 ISO/IEC JTC 1/SC 27/WG 1 작업 그룹의 회원입니다.
Loading...