TISAX® Beoordeling - Informatiebeveiliging in de auto-industrie

Bent u een toeleverancier of dienstverlener voor de auto-industrie? Dan moet u de beschikbaarheid van uw diensten of de beveiliging van de gevoelige informatie die u ontvangt, aantonen. Er wordt ook van u verwacht dat u aantoont dat u correct omgaat met prototypes. Als deelnemer aan het TISAX® proces is dit mogelijk via een overeenkomstige beoordeling, die slechts om de drie jaar hoeft te worden uitgevoerd. De TISAX® certificering is geldig voor alle bedrijfstakken en definieert de informatiebeveiligingseisen van uw bedrijf.

Wederzijdse erkenning tussen alle TISAX® deelnemers

Leveranciers en dienstverleners krijgen meer vertrouwen in uw gecontroleerde bedrijf

De beoordeling voor TISAX®-certificering vindt slechts om de drie jaar plaats

Besparing van tijd en kosten door deelname aan het TISAX®-netwerk

Basisinformatie over de TISAX®-audit

TISAX® is een gemeenschappelijke beoordelings- en uitwisselingsprocedure voor de automobielsector. Het is gebaseerd op de vragenlijst (ISA - Information Security Assessment) ontwikkeld door de VDA werkgroep "Informatiebeveiliging", die op zijn beurt is gebaseerd op de belangrijkste aspecten van de internationale norm ISO/IEC 27001 en is uitgebreid met een maturiteitsmodel.

ISA also refers to ISO/SAE 62443-2-1 for industrial control systems for the automation and monitoring of industrial production facilities (IACS) and operational technologies (OT).

Daarnaast hebben de verantwoordelijke instanties van de Duitse Vereniging van de Automobielindustrie (VDA) de voorwaarden geschapen voor het opzetten van het gezamenlijke beoordelings- en uitwisselingsmechanisme onder de naam TISAX® (Trusted Information Security Assessment eXchange). TISAX® is een geregistreerd handelsmerk van de ENX Association. De Vereniging van Europese automobielfabrikanten, toeleveranciers van de automobielindustrie en automobielverenigingen bewaakt de kwaliteit van TISAX® beoordelingen en controleert de goedkeuring van TISAX® audit dienstverleners.

Meer dan 10.000 locaties zijn nu beoordeeld volgens TISAX®, waardoor deze standaard wereldwijd de op één na meest toegepaste set regels voor informatiebeveiliging is na ISO 27001. VDA en ENX hebben internationale werkgroepen gevormd voor TISAX® en de ISA catalogus om de standaard verder te ontwikkelen. Dit bevordert tegelijkertijd een nauwere samenwerking met de wereldwijde auto-industrie. Met TISAX 6.0 werd in het najaar van 2023 de bijgewerkte vorm van de beoordelings- en uitwisselingsprocedure gepubliceerd.

Meer tonen
Minder tonen
Loading...

TISAX® 2.2 - Verplicht vanaf 1 april 2024 - Overgangsnota's

TISAX® beoordelingen waartoe opdracht is gegeven voor 31 maart 2024 kunnen worden uitgevoerd volgens de oude ISA versie 5.1. Initiële of hercertificatiebeoordelingen waartoe opdracht is gegeven vanaf 1 april 2024 zullen uitsluitend worden uitgevoerd volgens de nieuwe TISAX® procedure in overeenstemming met de ISA catalogus 6.0. Auditactiviteiten die afhankelijk zijn van bestaande audits, zoals correctieve actieplanbeoordelingen, follow-upbeoordelingen, beoordelingen voor de uitbreiding van de reikwijdte of voortgezette vereenvoudigde groepsbeoordelingen, zullen uitgevoerd blijven worden volgens de versie waaronder de oorspronkelijke audit is uitgevoerd.

Informatie over de belangrijkste wijzigingen in de nieuwe ISA 6.0 is te vinden in onze blogpost "Nieuwe ISA catalogus 6.0".  

De nieuwe ISA-catalogus 6.0 is een belangrijke mijlpaal voor TISAX®. De beoordelingscatalogus leidt tot aanpassingen van de vereisten voor auditaanbieders, die werden gedefinieerd in de TISAX® ACAR 2.2 voorschriften. De wijziging van de hoofdtaal naar Engels onderstreept het mondiale perspectief en de gezamenlijke inspanningen voor wereldwijde ontwikkeling. Verdere vertalingen van TISAX VDA 6.0 zijn gepland.

De belangrijkste veranderingen in de nieuwe ISA catalogus 6.0 zijn

Wijzigingen in de beveiligingslabels:

  • Het label Informatiebeveiliging wordt vervangen door de labels Beschikbaarheid en Vertrouwelijkheid. Afhankelijk van uw rol in de toeleveringsketen kan Beschikbaarheid of Vertrouwelijkheid of beide voor u relevant zijn. 
  • Een bestaand label "Informatiebeveiliging hoog" wordt vervangen door de gecombineerde labels "Beschikbaarheid hoog" en "Vertrouwelijk". Hetzelfde geldt voor een bestaand label "Informatiebeveiliging zeer hoog". Het wordt vervangen door "Beschikbaarheid zeer hoog" en "Strikt vertrouwelijk".
  • Beide labels moeten voldoen aan dezelfde set basisvereisten. Daarnaast heeft elk label specifieke vereisten voor hoge en zeer hoge beschermingsbehoeften. Het beoordelingsproces wordt gestuurd door de labels, waarbij rekening wordt gehouden met uw rol in de toeleveringsketen. Het is daarom de moeite waard om bij je klanten na te gaan welke labels relevant zijn voor jouw rol. 

Meer aandacht voor informatiebeveiliging en OT-systemen in de toeleveringsketen

  • Relevante bedrijven in de toeleveringsketen moeten voldoen aan eisen voor "hoge beschikbaarheid" of "zeer hoge beschikbaarheid". 
  • Nadruk op Operationele Technologie (OT)-systemen in productie en andere gebieden in de TISAX® beoordeling. Verwijzingen naar IEC 62443-2-1 en nieuwe ISA-catalogusvereisten bevorderen OT-focus. 
  • Opname van industriële communicatie- en besturingssystemen (IACS).
  • Bedrijven in deze categorie moeten aantonen dat ze gevoelige gegevens tijdens ontwikkeling en productie afdoende beschermen. 
  • Veel van de vereisten overlappen met "hooggevoelig" of "zeer hooggevoelig".
  • Bedrijven in de toeleveringsketen die niet zeer relevant zijn, maar aan wie gevoelige informatie is toevertrouwd, moeten aantonen dat deze informatie adequaat kan worden beschermd. 
  • De labels "Vertrouwelijk" of "Strikt Vertrouwelijk" worden gebruikt om de TISAX® vereisten te selecteren die bijdragen aan deze beschermingsdoelstelling.
  • Het belangrijkste doel van de hierboven beschreven selectieve beoordeling is ervoor te zorgen dat bedrijven alleen hoeven te voldoen aan de vereisten van de ISA-catalogus die relevant zijn voor hun rol. 

Nieuwe uitdagingen voor productiebedrijven

  • OT systemen moeten onderworpen worden aan beheer dat vergelijkbaar is met het beheer dat over het algemeen vereist is voor TISAX® IT systemen. 
  • Als gevolg daarvan wordt de OT in asset management geïdentificeerd met zijn specifieke risico's, geanalyseerd op potentiële kwetsbaarheden, beheerd door competente medewerkers, onderworpen aan ISMS-conforme processen voor onderhoud op afstand en andere best management practices.

 

Meer tonen
Minder tonen
Loading...

Waarom is een TISAX®-audit nuttig voor mijn bedrijf?

Als dienstverlener of leverancier in de automobielindustrie, moet u aan uw klanten bewijzen dat u voldoet aan de eisen voor informatiebeveiliging. Tot nu toe werden deze beoordelingen voornamelijk uitgevoerd door de fabrikanten zelf. Geregistreerde deelnemers aan het TISAX® netwerk kunnen nu via een gemeenschappelijk online platform een audit service provider selecteren en een audit aanvragen. De voordelen voor bedrijven wegen op tegen de nadelen:

  • Dubbele en meervoudige beoordelingen door verschillende klanten kunnen worden vermeden
  • Bedrijfsoverschrijdende erkenning van informatiebeveiligingsaudits voor TISAX® deelnemers
  • Betrouwbaarheid van resultaten als gevolg van de geharmoniseerde VDA ISA test catalogus
  • Versterking van het vertrouwen in gecontroleerde bedrijven met TISAX®-label

Na een succesvolle beoordeling ontvangt u een TISAX® label op het TISAX® online platform. Dit label is vergelijkbaar met een certificaat en dient om het vertrouwen in uw bedrijf te versterken en uw inspanningen voor informatiebeveiliging te bevestigen.

Meer tonen
Minder tonen
Loading...

Hoe werkt TISAX®?

In TISAX® kunnen deelnemers twee verschillende rollen aannemen: de "Informatie Consument" (passief), bijvoorbeeld een fabrikant die graag informatie wil ontvangen over een leverancier, en de "Informatie Bijdrager" (actief), bijvoorbeeld een leverancier van onderdelen of een dienstverlener die op geschiktheid wil worden gecontroleerd om orders van fabrikanten te kunnen ontvangen.

Een bedrijf kan ook beide deelnemersrollen op zich nemen. Iedereen die wil deelnemen aan TISAX® als Informatie Bijdrager moet de volgende vier hoofdstappen nemen:

  • 1. Registreer u online op www.enx.com/TISAX
  • 2. Selecteer een ENX-goedgekeurde audit service provider zoals DQS
  • 3. Onderga een TISAX®-audit
  • 4. Uitwisseling van de auditresultaten op het TISAX® online platform.

Als een bedrijf geïnteresseerd is in uw TISAX® resultaten, kan het zich bij ENX registreren als "Information Consumer". U kunt per Information Consumer beslissen of u uw huidige TISAX® status met hen wilt delen.

Meer tonen
Minder tonen
Business28.png
Loading...

Hoe werkt een TISAX®-audit?

Voordat u begint met het TISAX® assessment, moet uw bedrijf een duidelijke scope definiëren. Dit omvat het beoordelingsniveau, dat de specifieke beoordelingsvereisten definieert. Deze eisen kunnen onder andere betrekking hebben op het garanderen van de "beschikbaarheid" van productiecapaciteiten, het garanderen van de "vertrouwelijkheid" van toevertrouwde informatie of het beveiligen van "prototype-onderdelen" en "persoonlijke gegevens". Deze basiscriteria gelden voor alle locaties binnen het toepassingsgebied.

Een belangrijke uitdaging is om locaties met vergelijkbare vereisten te combineren in één toepassingsgebied. DQS kan een waardevolle leidraad bieden voor het ontwerp van één allesomvattende scope of meerdere scopes. In principe zijn er voordelen aan het combineren van locaties onder één scope in de vorm van een mogelijke vermindering in auditinspanning als alle locaties onder een gecentraliseerd ISMS werken.

In de eerste stap selecteert u een goedgekeurde audit service provider. In de tweede stap is er een kick-off, de documentbeoordeling (zelfbeoordeling, niet on-site) en een daaropvolgende beoordeling (Niveau 2: niet on-site, Niveau 3: on-site).

Let op: Er is een alternatieve methode voor het uitvoeren van een beoordeling op beoordelingsniveau 2. In plaats van een plausibiliteitscontrole voert je auditdienstverlener een volledige beoordeling op afstand uit. Deze methode wordt ook wel "Assessment Level 2.5" genoemd. Het voordeel van een Assessmentniveau 2.5 is dat de aanpak methodologisch compatibel is met Assessmentniveau 3. Het is dus mogelijk om op te waarderen naar een Assessmentniveau 3. Het is daarom mogelijk om later met een beheersbare inspanning te upgraden naar een volledig Assessment Level 3 examen.

De resultaten van de TISAX® audit worden vastgelegd in een tussentijds rapport. In geval van non-conformiteiten worden maatregelen afgesproken. Indien nodig wordt de implementatie van de maatregelen bepaald binnen een afgesproken periode. Deze procedure zorgt ervoor dat alle geïdentificeerde problemen effectief en snel worden aangepakt.

Nadat de non-conformiteiten zijn afgesloten, wordt een effectiviteitsbeoordeling uitgevoerd om de afsluiting van de non-conformiteiten te valideren en de algehele effectiviteit van de genomen corrigerende maatregelen te beoordelen.

Het eindresultaat wordt online gepubliceerd in het ENX® portaal. Uw bedrijf wordt dan vermeld als deelnemer aan het TISAX® proces met het bijbehorende testlabel. In tegenstelling tot andere certificeringen is er geen TISAX® certificaat.

Banking13.png
Loading...

Wat kost de TISAX®-audit?

Twee belangrijke factoren beïnvloeden de omvang van de gehele beoordeling en daarmee de kosten. Audits zijn mogelijk op basis van een uitgebreid, een standaard, of een beperkt toepassingsgebied. Uw beslissing voor een toepassingsgebied (scope) moet goed voorbereid zijn en bepaald worden door de gewenste beschermingsdoelen, maar ook door de grootte van uw bedrijf.

Bij de beschermingsdoelen gaat het er bijvoorbeeld om of u onderwerpen als prototypebescherming of gegevensbescherming in de beoordeling wilt opnemen. Als u wilt deelnemen aan de TISAX®-procedure, praat dan zo vroeg mogelijk met DQS, uw erkende audit service provider. Dit is de enige manier waarop wij de juiste berekening voor het toepassingsgebied kunnen bepalen, en u een betrouwbare prijsopgave kunnen doen voor de kosten van uw TISAX®-certificering.

Meer tonen
Minder tonen
Business2.png
Loading...

Wat u van ons kunt verwachten

  • DQS is een erkende audit service provider van de ENX Association
  • Inzichten die toegevoegde waarde bieden in informatiebeveiliging in uw organisatie
  • Accreditaties voor alle relevante regelgeving in de automobielindustrie
  • Door auditors met ervaring in uw branche en experts uit het veld
  • Meer dan 35 jaar ervaring in de certificering van managementsystemen en processen
  • Certificaten met internationale acceptatie
  • Persoonlijke, vlotte ondersteuning door onze specialisten - regionaal, nationaal en internationaal
  • Individuele aanbiedingen met flexibele contractvoorwaarden zonder verborgen kosten
Meer tonen
Minder tonen
Loading...

Vraag een offerte aan

Uw lokale contactpersoon

Wij maken graag een offerte op maat voor het TISAX proces.