TISAX® - Antwoorden op belangrijke vragen

INHOUD

• Waar staat TISAX® voor?
• Wat zijn de voordelen van TISAX®?
• Wie controleert TISAX®?
• Wat is een beoordelingsniveau?
• Is TISAX®ook voor niet-productiebedrijven?
• TISAX® certificering zonder eisen van de klant?
• Is de inhoud van TISAX® analoog aan ISO 27001?
• Is eengecombineerde audit van TISAX® en ISO 27001 aanbevolen?
• Hoe definieer ik de reikwijdte van de TISAX® beoordeling?
• Hoe lang duren de individuele assessments?
• Wat zijn major en minor non-conformities?
• Zal TISAX® de VDA prototype bescherming vervangen?
• Wat kan DQS voor mij doen?

Waar staat TISAX® voor?

TISAX® - Trusted Information Security Assessment eXchange

TISAX® is een gemeenschappelijke beoordelings- en uitwisselingsprocedure voor de automobielsector. Het is gebaseerd op een informatiebeveiligingsvragenlijst (ISA - Information Security Assessment) ontwikkeld door de VDA werkgroep "Informatiebeveiliging", die voor het eerst werd gebruikt door bedrijven die lid zijn van de Duitse Vereniging van de Automobielindustrie (VDA) voor audits van leveranciers en dienstverleners in wier bedrijven gevoelige informatie wordt verwerkt. Versie 5.1 van de VDA ISA-vragenlijst is sinds 2022 beschikbaar. Deze versie is sinds januari 2022 verplicht voor alle nieuwe TISAX® beoordelingen. Het werken met de nieuwe TISAX® 5.1 audit catalogus zou nu eenvoudiger en efficiënter moeten zijn - voor zowel gebruikers als auditors.

Bovendien is TISAX® gebaseerd op essentiële vereisten van de internationaal erkende standaard voor informatiebeveiliging: ISO 27001. Deze norm is van toepassing op alle bedrijfstakken en definieert eisen, regels en methoden om de beveiliging van informatie binnen een bedrijf te waarborgen. De eisen van de norm gaan verder dan de bescherming van IT-technische systemen en omvatten alle bedrijfsmiddelen die bescherming verdienen, zoals gebouwen, veiligheidscontroles en archieven. Met andere woorden: ISO 27001 garandeert de bescherming van alle informatie die van waarde is voor een organisatie.

Wat zijn de voordelen van TISAX®?

• TISAX® creëert een uniform niveau van informatiebeveiliging in de automobielindustrie
• Beoordelingsresultaten worden erkend door alle TISAX® deelnemers, wat leidt tot meer vertrouwen in de gecontroleerde bedrijven
• Onnodige dubbele en meervoudige audits worden vermeden door wederzijdse erkenning in het TISAX® netwerk
• De beoordeling voor TISAX® certificering vindt slechts om de drie jaar plaats, wat tijd en geld bespaart

Wie controleert TISAX®?

TISAX® is een geregistreerd handelsmerk van de ENX Association, gevestigd in Frankfurt am Main en Parijs. Als neutrale instantie is zij belast met de uitvoering van TISAX®. ENX is de vereniging van Europese autofabrikanten, toeleveranciers en vier nationale automobielverenigingen, waaronder de VDA, die ENX in 2000 hebben opgericht. De ENX Association bewaakt de kwaliteit van de implementatie en verleent volgens een strikte procedure goedkeuring aan aanbieders van beoordelingsdiensten. DQS is opgenomen in de lijst van ENX als een erkende audit service provider en kan wereldwijd assessments uitvoeren. Onze experts zijn altijd beschikbaar om uw vragen te beantwoorden.

Om wederzijdse erkenning van de assessments door de deelnemers te bereiken, sluit ENX contracten af met alle erkende audit service providers en met de deelnemers aan het TISAX® netwerk. Door standaardisatie en kwaliteitsbewaking bereikt ENX een gemeenschappelijke erkenning van beoordelingsresultaten door alle deelnemers. Onnodige dubbele en meervoudige beoordelingen worden vermeden.

Vragen en antwoorden over TISAX®: Wat is een beoordelingsniveau?

TISAX® maakt onderscheid tussen drie beoordelingsniveaus (beschermingseisen), afhankelijk van de vereiste bescherming: normaal (niveau 1), hoog (niveau 2) en zeer hoog (niveau 3). De audit methode en de audit inspanning zijn hiervan afhankelijk.

Niveau 1: Zelfbeoordeling zonder plausibiliteitscontrole, meestal alleen voor interne doeleinden. Deze beoordelingsresultaten hebben slechts een beperkte betekenis en worden niet gebruikt in TISAX®.

Niveau 2: Plausibiliteitscontrole van uw zelfbeoordeling door een auditdienstverlener zoals DQS. Deze informatiebeveiligingsaudits worden gewoonlijk uitgevoerd in de vorm van een telefonische vergadering, niet als audits ter plaatse - tenzij een van de doelstellingen van de prototypebeschermingsaudit van toepassing is of u hier expliciet om verzoekt.

Niveau 3: Plausibiliteitscontrole van uw zelfevaluatie door een auditdienstverlener door middel van een diepgaande, uitgebreide on-site audit.

Is de invoering van TISAX® ook een must voor niet-producerende bedrijven?

Het antwoord op deze vraag hangt af van de context van uw bedrijf: Of u TISAX® moet implementeren hangt af van uw OEM (original equipment manufacturer), of zij eisen dat u dit bewijs van informatiebeveiliging levert. Tenzij de autofabrikant u specifiek benadert, of u een wijziging in de AV ziet, is het raadzaam om af te wachten. In het verleden werden bedrijven door de OEM benaderd over de eisen voor verdere samenwerking wanneer dat nodig was. Maar het is natuurlijk aan u om proactief navraag te doen bij uw partners in de automobielindustrie.

Heeft het zin om te streven naar TISAX® certificering, ook zonder een eis van de klant?

Een proactieve benadering van het onderwerp informatiebeveiliging is tegenwoordig over het algemeen zeer zinvol, en niet alleen voor leveranciers in de auto-industrie. Als uw OEM (nog) niet specificeert welk TISAX® label van u wordt verwacht, is het een goed idee om Level 3 (beoordelingsniveau 3: zeer hoge informatiebeveiliging) aan te tonen. Op deze manier bent u voorbereid op alle toekomstige eisen zonder dubbel werk te hoeven doen.

Als alternatief biedt de wereldwijd erkende ISO/IEC 27001-norm een goede, brancheoverschrijdende introductie tot informatiebeveiliging. De herziene versie van de norm is op 25 oktober 2022 gepubliceerd. 

Is de inhoud van TISAX® analoog aan ISO 27001?

De TISAX® beoordelingscatalogus is afgeleid van de internationale norm ISO 27001 en is gebaseerd op de "controls" (maatregelen) die daarin zijn gedefinieerd. Zij beschrijven hoe de respectieve eisen (moeten, moeten) kunnen worden geïmplementeerd, hoe processen moeten worden gewaarborgd en welke hulpmiddelen kunnen worden gebruikt. Een belangrijk verschil tussen de twee normen is dat TISAX® een bepaald volwassenheidsniveau vereist om te worden bereikt.

Is een gecombineerde audit van TISAX® en ISO 27001 aan te bevelen?

Een gecombineerde audit is zeker mogelijk en kan op elk moment door DQS worden uitgevoerd. Alle TISAX® auditors bij DQS zijn ook geautoriseerde auditors voor ISO 27001, wat betekent dat beide assessments voor informatiebeveiliging tegelijkertijd kunnen worden uitgevoerd met weinig extra inspanning.

Moet ik gecertificeerd zijn voor ISO 27001 voordat ik aan TISAX® kan deelnemen?

Het antwoord op deze vraag is: Nee. Er is namelijk geen eis dat er al een gecertificeerd managementsysteem voor informatiebeveiliging conform ISO 27001 moet bestaan. Voor de TISAX® beoordeling hoeft u alleen maar aan te tonen dat u werkt volgens een managementsysteem voor informatiebeveiliging en dat de bijbehorende processen en procedures op een stabiele manier in het bedrijf zijn geïmplementeerd. Deze beoordeling wordt uitgevoerd door de auditor, die aan de hand van de documenten ook een volwassenheidsniveau toekent.

Wat zijn de voordelen als u al een ISO 27001-certificering heeft?

Als u al een ISO 27001-certificaat kunt overleggen, is dat natuurlijk altijd een voordeel. Al was het maar omdat u voor TISAX® moet aantonen dat u een geïmplementeerd informatiebeveiligingsmanagement hebt en beide sets van regels een vergelijkbare dekking hebben.

Maar let op: De definitie van de TISAX® audit scope kan afwijken van de definitie die vereist is voor ISO 27001 certificering. De onderliggende concepten zijn niet identiek. Voor grotere organisaties kan ook de registratie van meerdere audit scopes worden overwogen.

Is de "proces definitie" van ISO 9001 analoog aan TISAX®?

Het antwoord op deze vraag is "ja". In principe is de definitie en structuur van de processen in de overeenkomstige sets van regels altijd hetzelfde. De TISAX® beoordelingscatalogus vermeldt ook heel specifiek uit welke controles KPI's moeten worden bepaald en uit welke niet. Het opstellen van KPI's wordt ondersteund met voorbeelden om de informatiebeveiliging in de auto-industrie te waarborgen. Een blik op de VDA ISA vragenlijst helpt daarom bij een eerste overzicht.

Meer informatie over ISO 9001

Is een IT beveiligingsfunctionaris aanbevolen voor de implementatie van TISAX®?

Het is niet verplicht dat de persoon die verantwoordelijk is voor de invoering van TISAX® afkomstig is van de IT-afdeling. Echter, aangezien het IT-ondersteunde processen betreft, is enige IT-kennis zeker een voordeel.

Hoe definieer ik de TISAX® evaluatie scope?

ENX biedt een standaard scope die door 90% van alle TISAX® deelnemers wordt gehanteerd. De standaard scope is vooraf gedefinieerd en kan niet worden gewijzigd. Als u tijdens de voorbereiding van uw assessment merkt dat de standaard scope niet past, kunt u onder bepaalde omstandigheden de scope van uw examen aanpassen. In individuele gevallen kunnen OEM's de uitgebreide reikwijdte vereisen. Deze speciale gevallen zijn echter zeldzaam en zullen in detail met u worden besproken door de betreffende OEM. Normaal gesproken is het standaardbereik voldoende. Het is de basis voor een TISAX® beoordeling en wordt door alle deelnemers geaccepteerd.

Is één assessment scope voldoende voor alle locaties?

Eén scope die alle sites omvat biedt voordelen maar ook nadelen.

Voor bedrijven met veel vestigingen kan de reguliere TISAX® beoordelingsprocedure vrij omvangrijk zijn. Onder bepaalde voorwaarden bieden wij een alternatief - de "vereenvoudigde groepsbeoordeling" (SGA). De vereenvoudigde groepsbeoordeling is een speciaal geval van de TISAX® beoordelingsprocedure. Als aan de voorwaarden wordt voldaan, kan het de inspanning verminderen in vergelijking met de gewone TISAX® beoordeling. Deze speciale TISAX® assessment procedure is bedoeld voor bedrijven met ten minste drie locaties en een gecentraliseerd, sterk ontwikkeld informatiebeveiligingsbeheersysteem (ISMS). Dit addendum beschrijft in welke omstandigheden u kunt profiteren van de vereenvoudigde groepsbeoordeling en hoe u de speciale beoordelingsprocedure kunt doorlopen.

Kan de reikwijdte van de beoordeling worden geïsoleerd, bijvoorbeeld tot "veiligheidskritische medewerkers"?

ENX beantwoordt deze vraag over TISAX® ondubbelzinnig: Alle medewerkers die in contact komen met gevoelige informatie uit de automobielindustrie moeten in de scope worden opgenomen. Dit kan bijvoorbeeld ook een machinebediener zijn die werkt met het bouwplan van een klant. Uw bedrijf moet zelf bepalen welke werknemers betrokken zijn bij processen die relevant zijn voor informatiebeveiliging.

Klopt het dat bij ENX eerst de aanvraag voor een TISAX® audit moet worden ingediend en pas daarna de audit provider kan worden geselecteerd?

Ja, dit is juist. Na uw online registratie op www.enx.com/tisax/ en goedkeuring van de assessment scope door ENX, ontvangt u een lijst met alle goedgekeurde assessment service providers. U kunt de lijst echter ook vooraf bij ENX inzien. DQS is als dienstverlener opgenomen in de ENX-lijst en kan wereldwijd assessments uitvoeren. Voor vragen en antwoorden over informatiebeveiliging in de automotive branche kunt u altijd contact opnemen met onze experts.

Heeft een onderzoek überhaupt zin als het volwassenheidsniveau te laag is?

Als u in een self-assessment vaststelt dat uw bedrijf op het gebied van informatiebeveiliging nog een inhaalslag te maken heeft, heeft een assessmentaanvraag vooralsnog geen zin. Het verdient aanbeveling om eerst de geconstateerde leemten op te vullen en daarna een audit te overwegen.

Hoe lang duren de individuele assessments?

Het antwoord op de vraag over de duur van individuele assessments hangt af van de grootte van uw bedrijf en de reiskosten die met de audit van uw vestigingen gemoeid zijn. Voor een gemiddelde bedrijfsgrootte zijn 2-3 dagen op locatie voldoende voor het beoordelingsproces.

Hoe lang duurt het voordat een bedrijf als gecertificeerd wordt beschouwd?

Het gehele TISAX® auditproces kan maximaal negen maanden in beslag nemen. Het begint met de initiële audit en eindigt met de laatste follow-up audit. Als het beoordelingsproces niet binnen de gestelde termijn kan worden afgerond, ontvangt u geen TISAX® label.

Als uw bedrijf aan alle criteria voldoet of slechts kleine afwijkingen vertoont, wordt het beoordelingsrapport bij ENX ingediend. Zodra dit is aanvaard, ontvangt u uw (tijdelijk) TISAX® label. Als er belangrijke afwijkingen zijn die eerst moeten worden gecorrigeerd, is het label geldig vanaf de dag waarop de afwijking wordt geacht te zijn gecorrigeerd.

Vragen en antwoorden over TISAX®: Wat zijn TISAX®-labels?

Labels zijn het resultaat van het beoordelingsproces en vatten uw resultaat samen. Ze zijn hiërarchisch met elkaar verbonden. D.w.z. als u een bepaald label ontvangt, ontvangt u automatisch de "labels eronder". De labels kunnen alleen in het ENX-portaal worden bekeken. Hun geldigheidsduur is meestal drie jaar.

Wat zijn major en minor nonconformities?

Van een ernstige tekortkoming is sprake wanneer de tekortkoming twijfels doet rijzen over de algehele doeltreffendheid van uw beheersysteem voor informatiebeveiliging of wanneer de tekortkoming aanzienlijke risico's voor de informatiebeveiliging met zich meebrengt. Dit is bijvoorbeeld het geval als twee-factoridentificatie vereist is en deze nog niet is geïmplementeerd.

Er is bijvoorbeeld sprake van een lichte non-conformiteit als de non-conformiteit geen twijfel doet rijzen over de algehele doeltreffendheid van uw beheersysteem voor informatiebeveiliging en evenmin een significant risico voor de informatiebeveiliging in de automobielindustrie oplevert. Bijvoorbeeld, geïsoleerde of sporadische fouten en tekortkomingen bij de implementatie.

Moet ik ook bewijzen overleggen van de effectiviteit van afzonderlijke maatregelen?

Het antwoord is "ja". Nadat u uw catalogus van maatregelen hebt opgesteld en deze hebt geïmplementeerd, zal de effectiviteit ervan worden geverifieerd. Om deze reden voorziet het certificeringsproces ook in een periode van negen maanden.

Hoe kan ik het aantal werknemers "van tevoren" bepalen?

In concreto: Hoe kan ik het precieze aantal werknemers vooraf bepalen als er pas extra werknemers in dienst mogen worden genomen nadat het contract met onze klant is ondertekend?

Het bereik waarin de werknemers voor TISAX® worden geclassificeerd is aanzienlijk groter dan voor de internationale norm ISO 27001. TISAX® classificeert het aantal werknemers bijvoorbeeld in 0-50, 51-150, enz. Dus als u ongeveer weet hoeveel nieuwe werknemers er zullen worden aangenomen, kunt u zich in een passende range plaatsen.

Hoeveel documenten moeten beschikbaar zijn om te voldoen aan TISAX®?

Het is niet mogelijk om hier een algemene uitspraak te doen. Het hangt altijd af van de grootte en de activiteit van uw bedrijf. Theoretisch kunt u alles in één enkel document behandelen, zolang u maar een duidelijk overzicht hebt. Het is echter aan te raden om meerdere documenten te maken die gerelateerde onderwerpen behandelen.

Vervangt TISAX® de VDA-prototypebescherming?

Aangezien TISAX® een aparte module bevat voor prototypebescherming, die veel gedetailleerder ingaat op de individuele criteria dan voorheen het geval was, kan worden aangenomen dat TISAX® op de lange termijn de eerdere sets regels voor informatiebeveiliging in de auto-industrie zal vervangen. Momenteel geldt echter nog de VDA-prototypebescherming versie 3.0 van 2018.

Vragen en antwoorden over TISAX® - Wat kan DQS voor mij doen?

DQS is opgenomen in de ENX lijst als een erkende audit service provider en kan wereldwijd assessments uitvoeren. Al onze TISAX® auditoren zijn ook erkende auditors voor de internationale norm ISO 27001, wat betekent dat beide normen door DQS tegelijkertijd en met weinig extra inspanning kunnen worden beoordeeld. Onze experts beantwoorden graag uw vragen over informatiebeveiliging in de automobielindustrie. Wij kijken uit naar een gesprek met u.

Expertise en vertrouwen

Onze technische artikelen worden uitsluitend geschreven door onze eigen normexperts en jarenlange auditors. Indien u vragen heeft over de inhoud of onze auteurs, aarzel dan niet om contact met ons op te nemen.