TISAX® Beoordeling - Informatiebeveiliging in de auto-industrie
Wederzijdse erkenning tussen alle TISAX® deelnemers
Leveranciers en dienstverleners krijgen meer vertrouwen in uw gecontroleerde bedrijf
De beoordeling voor TISAX®-certificering vindt slechts om de drie jaar plaats
Besparing van tijd en kosten door deelname aan het TISAX®-netwerk
Basisinformatie over de TISAX®-audit
ISA also refers to ISO/SAE 62443-2-1 for industrial control systems for the automation and monitoring of industrial production facilities (IACS) and operational technologies (OT).
Daarnaast hebben de verantwoordelijke instanties van de Duitse Vereniging van de Automobielindustrie (VDA) de voorwaarden geschapen voor het opzetten van het gezamenlijke beoordelings- en uitwisselingsmechanisme onder de naam TISAX® (Trusted Information Security Assessment eXchange). TISAX® is een geregistreerd handelsmerk van de ENX Association. De Vereniging van Europese automobielfabrikanten, toeleveranciers van de automobielindustrie en automobielverenigingen bewaakt de kwaliteit van TISAX® beoordelingen en controleert de goedkeuring van TISAX® audit dienstverleners.
Meer dan 10.000 locaties zijn nu beoordeeld volgens TISAX®, waardoor deze standaard wereldwijd de op één na meest toegepaste set regels voor informatiebeveiliging is na ISO 27001. VDA en ENX hebben internationale werkgroepen gevormd voor TISAX® en de ISA catalogus om de standaard verder te ontwikkelen. Dit bevordert tegelijkertijd een nauwere samenwerking met de wereldwijde auto-industrie. Met TISAX 6.0 werd in het najaar van 2023 de bijgewerkte vorm van de beoordelings- en uitwisselingsprocedure gepubliceerd.
TISAX® 2.2 - Verplicht vanaf 1 april 2024 - Overgangsnota's
De nieuwe ISA-catalogus 6.0 is een belangrijke mijlpaal voor TISAX®. De beoordelingscatalogus leidt tot aanpassingen van de vereisten voor auditaanbieders, die werden gedefinieerd in de TISAX® ACAR 2.2 voorschriften. De wijziging van de hoofdtaal naar Engels onderstreept het mondiale perspectief en de gezamenlijke inspanningen voor wereldwijde ontwikkeling. Verdere vertalingen van TISAX VDA 6.0 zijn gepland.
De belangrijkste veranderingen in de nieuwe ISA catalogus 6.0 zijn
Wijzigingen in de beveiligingslabels:
- Het label Informatiebeveiliging wordt vervangen door de labels Beschikbaarheid en Vertrouwelijkheid. Afhankelijk van uw rol in de toeleveringsketen kan Beschikbaarheid of Vertrouwelijkheid of beide voor u relevant zijn.
- Een bestaand label "Informatiebeveiliging hoog" wordt vervangen door de gecombineerde labels "Beschikbaarheid hoog" en "Vertrouwelijk". Hetzelfde geldt voor een bestaand label "Informatiebeveiliging zeer hoog". Het wordt vervangen door "Beschikbaarheid zeer hoog" en "Strikt vertrouwelijk".
- Beide labels moeten voldoen aan dezelfde set basisvereisten. Daarnaast heeft elk label specifieke vereisten voor hoge en zeer hoge beschermingsbehoeften. Het beoordelingsproces wordt gestuurd door de labels, waarbij rekening wordt gehouden met uw rol in de toeleveringsketen. Het is daarom de moeite waard om bij je klanten na te gaan welke labels relevant zijn voor jouw rol.
Meer aandacht voor informatiebeveiliging en OT-systemen in de toeleveringsketen
- Relevante bedrijven in de toeleveringsketen moeten voldoen aan eisen voor "hoge beschikbaarheid" of "zeer hoge beschikbaarheid".
- Nadruk op Operationele Technologie (OT)-systemen in productie en andere gebieden in de TISAX® beoordeling. Verwijzingen naar IEC 62443-2-1 en nieuwe ISA-catalogusvereisten bevorderen OT-focus.
- Opname van industriële communicatie- en besturingssystemen (IACS).
- Bedrijven in deze categorie moeten aantonen dat ze gevoelige gegevens tijdens ontwikkeling en productie afdoende beschermen.
- Veel van de vereisten overlappen met "hooggevoelig" of "zeer hooggevoelig".
- Bedrijven in de toeleveringsketen die niet zeer relevant zijn, maar aan wie gevoelige informatie is toevertrouwd, moeten aantonen dat deze informatie adequaat kan worden beschermd.
- De labels "Vertrouwelijk" of "Strikt Vertrouwelijk" worden gebruikt om de TISAX® vereisten te selecteren die bijdragen aan deze beschermingsdoelstelling.
- Het belangrijkste doel van de hierboven beschreven selectieve beoordeling is ervoor te zorgen dat bedrijven alleen hoeven te voldoen aan de vereisten van de ISA-catalogus die relevant zijn voor hun rol.
Nieuwe uitdagingen voor productiebedrijven
- OT systemen moeten onderworpen worden aan beheer dat vergelijkbaar is met het beheer dat over het algemeen vereist is voor TISAX® IT systemen.
- Als gevolg daarvan wordt de OT in asset management geïdentificeerd met zijn specifieke risico's, geanalyseerd op potentiële kwetsbaarheden, beheerd door competente medewerkers, onderworpen aan ISMS-conforme processen voor onderhoud op afstand en andere best management practices.
Waarom is een TISAX®-audit nuttig voor mijn bedrijf?
- Dubbele en meervoudige beoordelingen door verschillende klanten kunnen worden vermeden
- Bedrijfsoverschrijdende erkenning van informatiebeveiligingsaudits voor TISAX® deelnemers
- Betrouwbaarheid van resultaten als gevolg van de geharmoniseerde VDA ISA test catalogus
- Versterking van het vertrouwen in gecontroleerde bedrijven met TISAX®-label
Na een succesvolle beoordeling ontvangt u een TISAX® label op het TISAX® online platform. Dit label is vergelijkbaar met een certificaat en dient om het vertrouwen in uw bedrijf te versterken en uw inspanningen voor informatiebeveiliging te bevestigen.
Hoe werkt TISAX®?
Een bedrijf kan ook beide deelnemersrollen op zich nemen. Iedereen die wil deelnemen aan TISAX® als Informatie Bijdrager moet de volgende vier hoofdstappen nemen:
- 1. Registreer u online op www.enx.com/TISAX
- 2. Selecteer een ENX-goedgekeurde audit service provider zoals DQS
- 3. Onderga een TISAX®-audit
- 4. Uitwisseling van de auditresultaten op het TISAX® online platform.
Als een bedrijf geïnteresseerd is in uw TISAX® resultaten, kan het zich bij ENX registreren als "Information Consumer". U kunt per Information Consumer beslissen of u uw huidige TISAX® status met hen wilt delen.
Hoe werkt een TISAX®-audit?
Voordat u begint met het TISAX® assessment, moet uw bedrijf een duidelijke scope definiëren. Dit omvat het beoordelingsniveau, dat de specifieke beoordelingsvereisten definieert. Deze eisen kunnen onder andere betrekking hebben op het garanderen van de "beschikbaarheid" van productiecapaciteiten, het garanderen van de "vertrouwelijkheid" van toevertrouwde informatie of het beveiligen van "prototype-onderdelen" en "persoonlijke gegevens". Deze basiscriteria gelden voor alle locaties binnen het toepassingsgebied.
Een belangrijke uitdaging is om locaties met vergelijkbare vereisten te combineren in één toepassingsgebied. DQS kan een waardevolle leidraad bieden voor het ontwerp van één allesomvattende scope of meerdere scopes. In principe zijn er voordelen aan het combineren van locaties onder één scope in de vorm van een mogelijke vermindering in auditinspanning als alle locaties onder een gecentraliseerd ISMS werken.
In de eerste stap selecteert u een goedgekeurde audit service provider. In de tweede stap is er een kick-off, de documentbeoordeling (zelfbeoordeling, niet on-site) en een daaropvolgende beoordeling (Niveau 2: niet on-site, Niveau 3: on-site).
Let op: Er is een alternatieve methode voor het uitvoeren van een beoordeling op beoordelingsniveau 2. In plaats van een plausibiliteitscontrole voert je auditdienstverlener een volledige beoordeling op afstand uit. Deze methode wordt ook wel "Assessment Level 2.5" genoemd. Het voordeel van een Assessmentniveau 2.5 is dat de aanpak methodologisch compatibel is met Assessmentniveau 3. Het is dus mogelijk om op te waarderen naar een Assessmentniveau 3. Het is daarom mogelijk om later met een beheersbare inspanning te upgraden naar een volledig Assessment Level 3 examen.
De resultaten van de TISAX® audit worden vastgelegd in een tussentijds rapport. In geval van non-conformiteiten worden maatregelen afgesproken. Indien nodig wordt de implementatie van de maatregelen bepaald binnen een afgesproken periode. Deze procedure zorgt ervoor dat alle geïdentificeerde problemen effectief en snel worden aangepakt.
Nadat de non-conformiteiten zijn afgesloten, wordt een effectiviteitsbeoordeling uitgevoerd om de afsluiting van de non-conformiteiten te valideren en de algehele effectiviteit van de genomen corrigerende maatregelen te beoordelen.
Het eindresultaat wordt online gepubliceerd in het ENX® portaal. Uw bedrijf wordt dan vermeld als deelnemer aan het TISAX® proces met het bijbehorende testlabel. In tegenstelling tot andere certificeringen is er geen TISAX® certificaat.
Wat kost de TISAX®-audit?
Bij de beschermingsdoelen gaat het er bijvoorbeeld om of u onderwerpen als prototypebescherming of gegevensbescherming in de beoordeling wilt opnemen. Als u wilt deelnemen aan de TISAX®-procedure, praat dan zo vroeg mogelijk met DQS, uw erkende audit service provider. Dit is de enige manier waarop wij de juiste berekening voor het toepassingsgebied kunnen bepalen, en u een betrouwbare prijsopgave kunnen doen voor de kosten van uw TISAX®-certificering.
Wat u van ons kunt verwachten
- Meer dan 35 jaar ervaring in de certificering van managementsystemen en processen
- Certificaten met internationale acceptatie
- Persoonlijke, vlotte ondersteuning door onze specialisten - regionaal, nationaal en internationaal
- Individuele aanbiedingen met flexibele contractvoorwaarden zonder verborgen kosten