TISAX certificering van de informatiebeveiliging wordt besproken door een man en vrouw in een controlekamer

Certyfikacja TISAX®

Twoje zapytanie


TISAX® Assessment - Bezpieczeństwo informacji w branży motoryzacyjnej

Jesteś dostawcą lub usługodawcą z branży motoryzacyjnej? W takim razie musisz udowodnić dostępność swoich usług lub bezpieczeństwo poufnych informacji, które otrzymujesz. Oczekuje się również, że dostarczysz dowód prawidłowego postępowania z prototypami. Jako uczestnik procesu TISAX® jest to możliwe dzięki odpowiedniej ocenie, którą należy przeprowadzać co trzy lata. Certyfikat TISAX® jest ważny dla wszystkich branż i określa wymagania firmy w zakresie bezpieczeństwa informacji.

Przetłumaczono z DeepL.com (wersja darmowa)

Wzajemne uznanie wśród wszystkich uczestników TISAX®.

Dostawcy i usługodawcy zyskują większe zaufanie do Państwa audytowanego przedsiębiorstwa

Ocena w celu uzyskania certyfikatu TISAX® odbywa się tylko co trzy lata

Oszczędność czasu i kosztów dzięki uczestnictwu w sieci TISAX®.

Business10.png

Podstawowe informacje na temat oceny TISAX®.

TISAX® jest wspólną procedurą oceny i wymiany dla sektora motoryzacyjnego. Opiera się ona na kwestionariuszu (ISA - Information Security Assessment) opracowanym przez grupę roboczą VDA "Information Security", który z kolei opiera się na kluczowych aspektach międzynarodowej normy ISO/IEC 27001 i został rozszerzony o model dojrzałości.

ISA odnosi się również do ISO/SAE 62443-2-1 dla przemysłowych systemów sterowania do automatyzacji i monitorowania przemysłowych zakładów produkcyjnych (IACS) i technologii operacyjnych (OT).

Ponadto, odpowiedzialne organy w Niemieckim Stowarzyszeniu Przemysłu Motoryzacyjnego (VDA) stworzyły warunki do ustanowienia mechanizmu wspólnej oceny i wymiany pod nazwą TISAX® (Trusted Information Security Assessment eXchange). TISAX® jest zastrzeżonym znakiem towarowym Stowarzyszenia ENX. Stowarzyszenie zrzeszające europejskich producentów, dostawców i stowarzyszenia motoryzacyjne monitoruje jakość ocen TISAX® i kontroluje zatwierdzanie dostawców usług audytu TISAX®.

Ponad 10 000 lokalizacji zostało już ocenionych zgodnie z TISAX®, co czyni ten standard drugim najczęściej wdrażanym zestawem zasad bezpieczeństwa informacji na świecie po ISO 27001. VDA i ENX utworzyły międzynarodowe grupy robocze dla TISAX® i katalogu ISA w celu dalszego rozwoju standardu. Jednocześnie promuje to ściślejszą współpracę z globalnym przemysłem motoryzacyjnym. Wraz z TISAX 6.0 jesienią 2023 r. opublikowano zaktualizowaną formę procedury oceny i wymiany.

Pokaż więcej
Pokaż mniej
Business11.png

TISAX® 2.2 - Obowiązkowe od 1 kwietnia 2024 r. - Uwagi przejściowe

Oceny TISAX® zlecone do 31 marca 2024 r. mogą być przeprowadzane zgodnie ze starą wersją ISA 5.1. Oceny wstępne lub recertyfikacyjne zlecone od 1 kwietnia 2024 r. będą przeprowadzane wyłącznie zgodnie z nową procedurą TISAX® zgodnie z katalogiem ISA 6.0. Działania audytowe, które są zależne od istniejących audytów, takie jak oceny planu działań naprawczych, oceny uzupełniające, oceny rozszerzenia zakresu lub kontynuowane uproszczone oceny grupowe, będą nadal przeprowadzane zgodnie z wersją, w ramach której przeprowadzono pierwotny audyt.
Informacje na temat kluczowych zmian w nowym ISA 6.0 można znaleźć w naszym wpisie na blogu "Nowy katalog ISA 6.0".

Nowy ISA Catalog 6.0 jest ważnym kamieniem milowym dla TISAX®. Katalog oceny prowadzi do dostosowania wymagań dla dostawców usług audytorskich, które zostały zdefiniowane w przepisach TISAX® ACAR 2.2. Zmiana głównego języka na angielski podkreśla globalną perspektywę i wspólne wysiłki na rzecz rozwoju na całym świecie. Planowane są dalsze tłumaczenia TISAX VDA 6.0.

Najważniejsze zmiany w nowym katalogu ISA 6.0 to

Zmiany w etykietach bezpieczeństwa:

  • Etykieta Bezpieczeństwo informacji została zastąpiona etykietami Dostępność i Poufność. W zależności od roli pełnionej przez użytkownika w łańcuchu dostaw, etykieta "Dostępność" lub "Poufność" lub obie te etykiety mogą być istotne dla użytkownika.
  • Istniejąca etykieta "Wysoki poziom bezpieczeństwa informacji" zostanie zastąpiona połączonymi etykietami "Wysoka dostępność" i "Poufne". To samo dotyczy istniejącej etykiety "Bardzo wysoki poziom bezpieczeństwa informacji". Zostanie ona zastąpiona etykietami "Dostępność bardzo wysoka" i "Ściśle poufne".
  • Obie etykiety muszą spełniać ten sam zestaw podstawowych wymagań. Ponadto każda etykieta ma określone wymagania dotyczące wysokich i bardzo wysokich potrzeb w zakresie ochrony. Proces oceny jest napędzany przez etykiety, biorąc pod uwagę rolę użytkownika w łańcuchu dostaw. Dlatego warto sprawdzić u swoich klientów, które etykiety są odpowiednie dla danej roli.

Większy nacisk na bezpieczeństwo informacji i systemy OT w łańcuchu dostaw

  • Odpowiednie firmy w łańcuchu dostaw muszą spełniać wymagania "wysokiej dostępności" lub "bardzo wysokiej dostępności".
  • Nacisk na systemy technologii operacyjnych (OT) w produkcji i innych obszarach w ocenie TISAX®.
  • Odniesienia do normy IEC 62443-2-1 i nowe wymagania katalogu ISA promują koncentrację na OT.
  • Włączenie przemysłowych systemów komunikacji i kontroli (IACS).
  • Firmy w tej kategorii muszą wykazać się odpowiednią ochroną wrażliwych danych w fazie rozwoju i produkcji.
  • Wiele wymagań pokrywa się z "High Sensitivity" lub "Very High Sensitivity".
  • Firmy w łańcuchu dostaw, które nie są bardzo istotne, ale którym powierzono wrażliwe informacje, muszą wykazać, że informacje te mogą być odpowiednio chronione.
  • Etykiety "Poufne" lub "Ściśle poufne" są używane do wyboru wymogów TISAX® , które przyczyniają się do osiągnięcia tego celu ochrony.
  • Głównym celem opisanej powyżej selektywnej oceny jest zapewnienie, że firmy muszą spełniać tylko te wymagania katalogu ISA, które są istotne dla ich roli.

Nowe wyzwania dla firm produkcyjnych

  •   
  • Systemy OT muszą podlegać zarządzaniu podobnemu do tego, które jest ogólnie wymagane dla systemów IT TISAX® .
  • W rezultacie OT w zarządzaniu aktywami jest identyfikowany z jego specyficznymi zagrożeniami, analizowany pod kątem potencjalnych luk w zabezpieczeniach, zarządzany przez kompetentnych pracowników, poddawany procesom zgodnym z ISMS w zakresie zdalnej konserwacji i innych najlepszych praktyk zarządzania.
Pokaż więcej
Pokaż mniej
Anforderungen

Jakie są zalety oceny TISAX® dla Twojej firmy?

Jako usługodawca lub dostawca w branży motoryzacyjnej musisz udowodnić swoim klientom, że spełniasz wymogi bezpieczeństwa informacji. Do tej pory oceny te były przeprowadzane głównie przez samych producentów. Zarejestrowani uczestnicy sieci TISAX® mogą teraz wybrać dostawcę usług audytowych za pośrednictwem wspólnej platformy internetowej i zażądać oceny. Korzyści dla firm przeważają nad wadami:

  • Można uniknąć powielania i wielokrotnego oceniania przez różnych klientów, oszczędzając czas i pieniądze.
  • Międzyfirmowe uznawanie ocen dla uczestników TISAX®
  • Wiarygodne wyniki dzięki zharmonizowanemu katalogowi ocen, który zapewnia spójny proces oceny
  • Zwiększone zaufanie do ocenianej firmy dzięki etykiecie TISAX®

Po pomyślnej ocenie otrzymasz etykietę TISAX® na platformie internetowej TISAX® . Etykieta ta jest porównywalna z certyfikatem i służy wzmocnieniu zaufania do Twojej firmy oraz potwierdzeniu Twoich wysiłków na rzecz zapewnienia bezpieczeństwa informacji.

Pokaż więcej
Pokaż mniej
Wie funktioniert

Jak działa TISAX®?

W TISAX® uczestnicy mogą przyjąć dwie różne role: "Konsumenta informacji" (pasywny), na przykład jest producentem, który chciałby otrzymać informacje o dostawcy, oraz "Dostawcy informacji" (aktywny), na przykład jest dostawcą części lub usługodawcą, który chciałby zostać poddany audytowi pod kątem przydatności, aby móc otrzymywać zamówienia od producentów.

W TISAX® uczestnicy mogą przyjąć dwie różne role: "konsumenta informacji" (pasywnego), na przykład producenta, który chciałby otrzymywać informacje o dostawcy, oraz "dostawcy informacji" (aktywnego), na przykład dostawcy części lub usługodawcy, który chciałby zostać poddany audytowi pod kątem przydatności do otrzymywania zamówień od producentów.
Firma może również pełnić obie role uczestników. Każdy, kto chce uczestniczyć w TISAX® jako dostawca informacji, musi wykonać następujące cztery główne kroki:

  • 1. Rejestracja online na stronie www.enx.com/TISAX
  • 2. Wybór zatwierdzonego przez ENX dostawcy usług audytorskich, takiego jak DQS
  • 3. Poddać się ocenie TISAX® 4.
  • 4. Wymiana wyników audytu na platformie TISAX® online.

Jeśli firma jest zainteresowana wynikami TISAX®, może zarejestrować się w ENX jako "odbiorca informacji". Dla każdego odbiorcy informacji możesz zdecydować, czy chcesz udostępnić mu swój aktualny status TISAX®.

Pokaż więcej
Pokaż mniej
Business28.png

Jak działa ocena TISAX®?

Przed rozpoczęciem oceny TISAX® firma musi zdefiniować jasny zakres. Obejmuje to poziom oceny, który definiuje konkretne wymagania oceny. Wymagania te mogą obejmować zapewnienie "dostępności" zdolności produkcyjnych, zagwarantowanie "poufności" powierzonych informacji lub zabezpieczenie "części prototypowych" i "danych osobowych". Te podstawowe kryteria mają zastosowanie do wszystkich zakładów objętych zakresem.
Kluczowym wyzwaniem jest połączenie lokalizacji o podobnych wymaganiach w jeden zakres. DQS może dostarczyć cennych wskazówek projektowych dotyczących tego, czy powinien to być jeden kompleksowy zakres, czy wiele zakresów. Zasadniczo istnieją korzyści z połączenia lokalizacji w ramach jednego zakresu w postaci możliwego zmniejszenia nakładu pracy związanej z audytem, jeśli wszystkie lokalizacje działają w ramach scentralizowanego SZBI.

Jako uczestnik TISAX® musisz najpierw zarejestrować się online. Identyfikator zakresu zostanie następnie przypisany przez ENX. Należy pamiętać, że z procesem rejestracji związane są opłaty za usługi, które będą naliczane za każdą lokalizację w ramach zakresu.

W pierwszym etapie wybierany jest zatwierdzony dostawca usług audytowych. W drugim etapie następuje rozpoczęcie, przegląd dokumentów (samoocena, nie na miejscu) i późniejsza ocena (Poziom 2: nie na miejscu, Poziom 3: na miejscu).
Uwaga: Istnieje alternatywna metoda przeprowadzania oceny na Poziomie 2. Zamiast kontroli wiarygodności dostawca usług audytowych przeprowadza pełną ocenę zdalną. Metoda ta jest czasami określana jako "Poziom Oceny 2.5". Zaletą Poziomu Oceny 2.5 jest to, że podejście to jest metodologicznie zgodne z Poziomem Oceny 3. W związku z tym możliwe jest uaktualnienie do pełnego egzaminu Assessment Level 3 w późniejszym terminie przy rozsądnym nakładzie pracy.

Wyniki audytu TISAX® są rejestrowane w raporcie okresowym. W przypadku niezgodności uzgadniane są środki, które należy wdrożyć. Jeśli to konieczne, wdrożenie środków jest określane w uzgodnionym terminie. Procedura ta zapewnia, że wszystkie zidentyfikowane problemy są rozwiązywane skutecznie i szybko.

Po zamknięciu niezgodności przeprowadzany jest przegląd skuteczności w celu zatwierdzenia zamknięcia niezgodności i oceny ogólnej skuteczności podjętych działań naprawczych.

Ostateczny wynik zostanie opublikowany online w portalu ENX®. Twoja firma zostanie następnie wymieniona jako uczestnik procesu TISAX® z odpowiednią etykietą testową. W przeciwieństwie do innych certyfikatów, nie ma certyfikatu TISAX®.

Banking13.png

Ile kosztuje ocena TISAX®?

Dwa ważne czynniki wpływają na zakres całej oceny, a tym samym na koszty. Oceny TISAX® są możliwe w oparciu o zakres rozszerzony, standardowy lub ograniczony. Decyzja o wyborze zakresu powinna być dobrze przygotowana i uzależniona od pożądanych celów ochrony, ale także od wielkości firmy.

Cele ochrony dotyczą na przykład tego, czy w ocenie mają zostać uwzględnione takie tematy, jak ochrona prototypów lub ochrona danych. Jeśli chcesz zaangażować się w procedurę TISAX®, porozmawiaj z DQS, zatwierdzonym dostawcą usług audytowych, tak wcześnie, jak to możliwe. Tylko w ten sposób możemy określić prawidłową kalkulację zakresu oceny i przedstawić wiarygodną wycenę kosztów certyfikacji TISAX®.

Pokaż więcej
Pokaż mniej
Business2.png

Czego mogą Państwo od nas oczekiwać

  • DQS jest zatwierdzonym dostawcą usług audytowych dla Stowarzyszenia ENX
  • Wartościowy wgląd w bezpieczeństwo informacji w Państwa organizacji
  • Akredytacje dla wszystkich istotnych regulacji w przemyśle motoryzacyjnym
  • Doświadczeni audytorzy i eksperci z branży
  • Ponad 35 lat doświadczenia w certyfikacji systemów zarządzania i procesów
  • Certyfikaty z międzynarodową akceptacją
  • Osobiste, bezproblemowe wsparcie naszych specjalistów - na poziomie regionalnym, krajowym i międzynarodowym
  • Indywidualne oferty z elastycznymi warunkami umowy bez ukrytych kosztów
Pokaż więcej
Pokaż mniej
Contact-Europe-man-shutterstock_1699506301.jpg

Zapytaj o ofertę

Biuro DQS Polska

Chętnie przedstawimy Państwu indywidualną ofertę dotyczącą procesu TISAX.

Twoje zapytanie

Masz pytania?

Jesteśmy do Państwa dyspozycji.
Skontaktuj się