TISAX® - odpowiedzi na ważne pytania

CONTENT

• Co oznacza skrót TISAX®?
• Jakie są korzyści z TISAX®?
• Kto monitoruje TISAX®?
• Co to jest poziom oceny?
• Czy TISAX®również dla firm nieprodukcyjnych?
• Certyfikacja TISAX® bez wymagań klienta?
• Czy zawartość TISAX® jest analogiczna do ISO 27001?
• Czy istnieje możliwośćombited audit of TISAX® and ISO 27001 recommended?
• Jak zdefiniować zakres oceny TISAX®?
• Jak długo trwają poszczególne oceny?
• Co to są główne i drobne niezgodności?
• Czy TISAX® zastąpi ochronę prototypu VDA?
• Co DQS może dla mnie zrobić?

Co oznacza skrót TISAX®?

TISAX® - Trusted Information Security Assessment eXchange

TISAX® jest wspólną procedurą oceny i wymiany informacji dla sektora motoryzacyjnego. Opiera się ona na kwestionariuszu bezpieczeństwa informacji (ISA - Information Security Assessment) opracowanym przez grupę roboczą VDA "Information Security", który po raz pierwszy został wykorzystany przez firmy członkowskie Niemieckiego Stowarzyszenia Przemysłu Motoryzacyjnego (VDA) do audytów dostawców i usługodawców, w których firmach przetwarzane są wrażliwe informacje. Wersja 5.0 kwestionariusza VDA ISA jest dostępna od lipca 2020 roku. Od 1 października 2020 r. wersja ta jest obowiązkowa dla wszystkich nowych audytów TISAX.^®-oceny.

Ponadto, TISAX® opiera się na podstawowych wymaganiach uznanej na całym świecie normy dotyczącej bezpieczeństwa informacji: ISO 27001. Ma ona zastosowanie we wszystkich branżach i definiuje wymagania, zasady i metody zapewnienia bezpieczeństwa informacji w przedsiębiorstwie. W swoich wymaganiach norma ta wykracza poza ochronę systemów technicznych IT i obejmuje wszystkie aktywa przedsiębiorstwa, które zasługują na ochronę, np. pomieszczenia, środki kontroli bezpieczeństwa i archiwa. Innymi słowy: ISO 27001 zapewnia ochronę wszystkich informacji, które stanowią wartość dla organizacji.

Jakie są korzyści z TISAX®?

• TISAX® tworzy jednolity poziom bezpieczeństwa informacji w przemyśle motoryzacyjnym
• Wyniki oceny są uznawane przez wszystkie firmy wśród wszystkich uczestników TISAX® , co prowadzi do większego zaufania do audytowanych firm
• Dzięki wzajemnemu uznawaniu w sieci TISAX® unika się niepotrzebnego dublowania i wielokrotnych audytów .
• Ocena w celu uzyskania certyfikatu TISAX® odbywa się tylko co trzy lata, co pozwala zaoszczędzić czas i pieniądze.

Kto monitoruje TISAX®?

TISAX® jest zarejestrowanym znakiem towarowym Stowarzyszenia ENX, z siedzibą we Frankfurcie nad Menem i Paryżu. Jako neutralny organ, powierzono mu wdrożenie TISAX®. ENX jest stowarzyszeniem europejskich producentów i dostawców branży motoryzacyjnej oraz czterech krajowych stowarzyszeń motoryzacyjnych, w tym VDA, które założyły ENX w 2000 roku. Stowarzyszenie ENX monitoruje jakość wdrożenia i przyznaje zatwierdzenia dostawcom usług oceny zgodnie z surową procedurą. DQS jest wpisany na listę ENX jako zatwierdzony dostawca usług audytu i może przeprowadzać oceny na całym świecie. Nasi eksperci są zawsze dostępni, aby odpowiedzieć na Państwa pytania.

W celu osiągnięcia wzajemnego uznawania ocen przez uczestników, ENX zawiera odpowiednie umowy ze wszystkimi zatwierdzonymi dostawcami usług audytorskich, jak również z uczestnikami sieci TISAX®. Poprzez standaryzację i monitorowanie jakości, ENX osiąga wspólne uznawanie wyników oceny przez wszystkich uczestników. Unika się niepotrzebnego dublowania i wielokrotnych ocen.

Pytania i odpowiedzi na temat TISAX®: Co to jest poziom oceny?

TISAX® rozróżnia trzy poziomy oceny (wymogi ochrony), w zależności od wymaganej ochrony: normalny (poziom 1), wysoki (poziom 2) i bardzo wysoki (poziom 3). Od tego zależy metoda audytu i wysiłek związany z audytem.

Poziom 1: Samoocena bez sprawdzenia wiarygodności, zwykle tylko do celów wewnętrznych. Wyniki tej oceny mają jedynie ograniczone znaczenie i nie są wykorzystywane w systemie TISAX®.

Poziom 2: Sprawdzenie wiarygodności samooceny przez dostawcę usług audytowych, takiego jak DQS. Te audyty bezpieczeństwa informacji są zazwyczaj przeprowadzane jako konferencja telefoniczna, a nie jako audyty na miejscu - chyba że jeden z celów audytu ochrony prototypów ma zastosowanie lub wyraźnie tego zażądasz.

Poziom 3: sprawdzenie wiarygodności samooceny przez dostawcę usług audytowych poprzez dogłębny, kompleksowy audyt na miejscu.

Czy wprowadzenie TISAX® jest również koniecznością dla firm nieprodukcyjnych?

Odpowiedź na to pytanie zależy od kontekstu Państwa działalności: To, czy muszą Państwo wdrożyć TISAX®, zależy od Państwa OEM (producent oryginalnego wyposażenia), czy też wymagają oni od Państwa przedstawienia tego dowodu bezpieczeństwa informacji. O ile producent samochodu nie zwróci się do Państwa w sposób szczególny lub nie zauważycie Państwo zmiany w OWU, zaleca się poczekać i zobaczyć. W przeszłości firmy były kontaktowane przez OEM w sprawie wymagań dotyczących dalszej współpracy w razie potrzeby. Jednak to oczywiście do Ciebie należy aktywne poszukiwanie informacji u swoich partnerów z branży motoryzacyjnej.

Czy dążenie do uzyskania certyfikatu TISAX® nawet bez wymagań klienta ma sens?

Podjęcie proaktywnego podejścia do tematu bezpieczeństwa informacji ma obecnie wiele sensu, nie tylko dla dostawców w przemyśle motoryzacyjnym. Jeśli Państwa OEM nie określa (jeszcze), które oznaczenie TISAX® jest od Państwa oczekiwane, dobrym pomysłem jest wykazanie się poziomem 3 (Poziom oceny 3: bardzo wysokie bezpieczeństwo informacji). W ten sposób są Państwo przygotowani na wszystkie przyszłe wymagania bez konieczności powielania pracy. Alternatywą jest uznana na całym świecie norma ISO/IEC 27001, która stanowi dobre, ponadbranżowe wprowadzenie do bezpieczeństwa informacji.

Czy zawartość TISAX® jest analogiczna do ISO 27001?

Katalog oceny TISAX® wywodzi się z międzynarodowej normy ISO 27001 i opiera się na zdefiniowanych w niej "kontrolach" (środkach). Opisują one, w jaki sposób poszczególne wymagania (must, should) mogą zostać wdrożone, w jaki sposób procesy mają zostać zapewnione i jakie narzędzia mogą zostać użyte. Kluczową różnicą pomiędzy tymi dwoma standardami jest to, że TISAX® wymaga osiągnięcia określonego poziomu dojrzałości.

Czy zalecane jest przeprowadzenie połączonego audytu TISAX® i ISO 27001?

Połączony audyt jest zdecydowanie możliwy i może być przeprowadzony przez DQS w dowolnym momencie. Wszyscy audytorzy TISAX® w DQS są również autoryzowanymi audytorami ISO 27001, co oznacza, że obie oceny bezpieczeństwa informacji mogą być przeprowadzane w tym samym czasie przy niewielkim dodatkowym wysiłku.

Czy muszę posiadać certyfikat ISO 27001 przed wdrożeniem TISAX®?

Odpowiedź na to pytanie brzmi: Nie. Ponieważ nie ma wymogu, że musi już istnieć certyfikowany system zarządzania bezpieczeństwem informacji zgodny z ISO 27001. Do oceny TISAX® wystarczy udowodnić, że pracują Państwo zgodnie z systemem zarządzania bezpieczeństwem informacji oraz że odpowiednie procesy i procedury są stabilnie wdrażane w firmie. Ocena ta jest przeprowadzana przez audytora, który na podstawie dokumentów przypisuje również poziom dojrzałości.

Jakie są korzyści z posiadania już certyfikatu ISO 27001?

Jeśli mogą Państwo przedstawić dowód posiadania certyfikatu ISO 27001, jest to oczywiście zawsze zaletą. Choćby dlatego, że w przypadku TISAX® musisz udowodnić, że masz wdrożone zarządzanie bezpieczeństwem informacji, a oba zestawy zasad mają podobny zakres.

Ale uwaga: Definicja zakresu audytu TISAX® może różnić się od definicji wymaganej do certyfikacji ISO 27001. Koncepcje leżące u podstaw nie są identyczne. W przypadku większych organizacji można również rozważyć rejestrację wielu zakresów audytu.

Czy "definicja procesu" w ISO 9001 jest analogiczna do TISAX®?

Odpowiedź na to pytanie brzmi "tak". W zasadzie definicja i struktura procesów w odpowiednich zestawach zasad jest zawsze taka sama. Katalog oceny TISAX® określa również dość szczegółowo, na podstawie jakich kontroli należy określić KPI, a na podstawie jakich nie. Tworzenie KPI jest poparte przykładami w celu zapewnienia bezpieczeństwa informacji w przemyśle motoryzacyjnym. Spojrzenie na kwestionariusz VDA ISA pomaga zatem we wstępnym przeglądzie.

Czy do wdrożenia TISAX® zalecany jest specjalista ds. bezpieczeństwa IT?

Nie jest obowiązkowe, aby osoba odpowiedzialna za wprowadzenie TISAX® pochodziła z działu IT. Jednakże, ponieważ procesy wspierane przez IT są zaangażowane, pewna wiedza z zakresu IT jest zdecydowanie korzystna.

Jak mogę zdefiniować zakres oceny TISAX®?

ENX oferuje standardowy zakres, który jest przyjęty przez 90% wszystkich uczestników TISAX® . Domyślny zakres jest predefiniowany i nie można go zmienić. Jeśli podczas przygotowań do oceny okaże się, że standardowy zakres nie pasuje, można dostosować zakres egzaminu w pewnych okolicznościach. W pojedynczych przypadkach, OEM może wymagać rozszerzonego zakresu. Takie szczególne przypadki zdarzają się jednak rzadko i zostaną szczegółowo omówione z kandydatem przez odpowiedniego OEM. Zazwyczaj standardowy zakres jest wystarczający. Stanowi on podstawę do oceny TISAX® i jest akceptowany przez wszystkich uczestników.

Czy jeden zakres oceny jest wystarczający dla wszystkich lokalizacji?

Jeden zakres, który obejmuje wszystkie zakłady, ma zalety, ale również wady.

Zalety

• Tylko jeden wynik inspekcji, jeden raport z inspekcji, jedna data ważności
• Zmniejszone koszty, ponieważ centralne procesy, procedury i zasoby muszą być ocenione tylko raz

Wady

• Wynik audytu jest dostępny dopiero po przeprowadzeniu oceny wszystkich zakładów
• Wynik audytu zależy od tego, czy wszystkie zakłady przejdą audyt, tzn. jeśli tylko jeden zakład nie przejdzie audytu, nie otrzymasz pozytywnego wyniku audytu.

Czy można wyodrębnić zakres oceny, np. do "pracowników o kluczowym znaczeniu dla bezpieczeństwa"?

ENX odpowiada na to pytanie dotyczące TISAX® w sposób jednoznaczny: Zakresem muszą zostać objęci wszyscy pracownicy, którzy mają kontakt z wrażliwymi informacjami z branży motoryzacyjnej. Może to być również np. operator maszyny, który pracuje z planem konstrukcyjnym klienta. Państwa firma musi sama zdefiniować, którzy pracownicy biorą udział w procesach istotnych dla bezpieczeństwa informacji.

Czy to prawda, że w ENX najpierw należy złożyć wniosek o przeprowadzenie audytu TISAX® , a dopiero potem można wybrać dostawcę audytu?

Tak, to prawda. Po rejestracji online na stronie www.enx.com/tisax/ i zatwierdzeniu zakresu oceny przez ENX, otrzymają Państwo listę wszystkich zatwierdzonych dostawców usług oceny. Listę tę można jednak również wcześniej przejrzeć na stronie ENX. DQS znajduje się na liście usługodawców ENX i może przeprowadzać oceny na całym świecie. W przypadku pytań i odpowiedzi dotyczących bezpieczeństwa informacji w przemyśle motoryzacyjnym, prosimy o kontakt z naszymi ekspertami.

Czy badanie ma w ogóle sens, jeśli poziom dojrzałości jest zbyt niski?

Jeśli w trakcie samooceny stwierdzą Państwo, że Państwa firma ma jeszcze trochę do nadrobienia w zakresie bezpieczeństwa informacji, zapytanie o ocenę nie ma na razie sensu. Zaleca się, aby najpierw zlikwidować zidentyfikowane luki, a następnie rozważyć przeprowadzenie audytu.

Jak długo trwają poszczególne oceny?

Odpowiedź na pytanie o czas trwania oceny indywidualnej zależy od wielkości firmy i podróży związanych z audytem w zakładach. Dla średniej wielkości firmy 2-3 dni na miejscu są wystarczające dla procesu oceny.

Ile czasu potrzeba, aby firma została uznana za certyfikowaną?

Cały proces audytu TISAX® może trwać maksymalnie dziewięć miesięcy. Rozpoczyna się od audytu wstępnego, a kończy na ostatnim audycie uzupełniającym. Jeśli proces oceny nie może zostać zakończony w określonym czasie, nie otrzymają Państwo znaku TISAX® .

Jeśli Państwa firma spełnia wszystkie kryteria lub wykazuje tylko niewielkie niezgodności, raport z oceny jest przekazywany do ENX. Jak tylko zostanie on zaakceptowany, otrzymają Państwo (tymczasową) etykietę TISAX® . Jeśli istnieją poważne niezgodności, które muszą zostać najpierw usunięte, etykieta jest ważna od dnia, w którym niezgodność zostanie uznana za usuniętą.

Pytania i odpowiedzi na temat TISAX®: Czym są etykiety TISAX®?

Etykiety są wynikiem procesu oceny i podsumowują Państwa wynik. Są one hierarchicznie powiązane ze sobą. Oznacza to, że jeśli otrzymasz określoną etykietę, automatycznie otrzymasz również "etykiety" znajdujące się poniżej niej. Etykiety można przeglądać wyłącznie w portalu ENX. Ich okres ważności wynosi zazwyczaj trzy lata.

Co to są duże i małe niezgodności?

Z poważną niezgodnością mamy do czynienia, gdy niezgodność budzi wątpliwości co do ogólnej skuteczności systemu zarządzania bezpieczeństwem informacji lub gdy powoduje znaczące ryzyko dla bezpieczeństwa informacji. Dzieje się tak na przykład w przypadku, gdy wymagana jest identyfikacja dwuskładnikowa, a nie została ona jeszcze wdrożona.

Niewielka niezgodność ma miejsce na przykład wtedy, gdy niezgodność ta nie podważa ogólnej skuteczności systemu zarządzania bezpieczeństwem informacji ani nie stwarza istotnego zagrożenia dla bezpieczeństwa informacji w przemyśle motoryzacyjnym. Na przykład odosobnione lub sporadyczne błędy i braki we wdrożeniu.

Czy muszę również przedstawić dowody na skuteczność poszczególnych środków?

Odpowiedź brzmi "tak". Po stworzeniu katalogu środków i ich wdrożeniu, ich skuteczność zostanie zweryfikowana. Z tego powodu proces certyfikacji przewiduje również okres dziewięciu miesięcy.

Jak mogę określić liczbę pracowników "z góry"?

Konkretnie: Jak mogę z góry określić dokładną liczbę pracowników, jeśli dodatkowi pracownicy mogą zostać zatrudnieni dopiero po podpisaniu umowy z naszym klientem?

Zakres, w którym pracownicy są klasyfikowani dla TISAX® jest znacznie większy niż dla międzynarodowej normy ISO 27001. TISAX® klasyfikuje liczbę pracowników np. w przedziałach 0-50, 51-150, itd. Jeśli więc wiesz w przybliżeniu, ilu nowych pracowników zostanie zatrudnionych, możesz umieścić się w odpowiednim przedziale.

Ile dokumentów powinno być dostępnych, aby spełnić wymagania TISAX®?

Nie jest możliwe sformułowanie ogólnego stwierdzenia w tym zakresie. Zależy to zawsze od wielkości i działalności Państwa firmy. Teoretycznie mogą Państwo zawrzeć wszystko w jednym dokumencie, pod warunkiem, że mają Państwo jasny przegląd. Zaleca się jednak stworzenie kilku dokumentów, które obejmują powiązane tematy.

Czy TISAX® zastąpi ochronę prototypów VDA?

Ponieważ TISAX® zawiera oddzielny moduł dla ochrony prototypów, który znacznie bardziej szczegółowo omawia poszczególne kryteria niż miało to miejsce dotychczas, można założyć, że w dłuższej perspektywie TISAX® zastąpi dotychczasowe zbiory zasad dotyczących bezpieczeństwa informacji w przemyśle motoryzacyjnym. Obecnie jednak nadal obowiązuje prototypowa ochrona VDA w wersji 3.0 z 2018 roku.

Pytania i odpowiedzi na temat TISAX® - Co DQS może dla mnie zrobić?

DQS jest wpisany na listę ENX jako zatwierdzony dostawca usług audytowych i może przeprowadzać oceny na całym świecie. Wszyscy nasi audytorzy TISAX ^® są również zatwierdzonymi audytorami dla międzynarodowej normy ISO 27001, co oznacza, że obie normy mogą być oceniane przez DQS w tym samym czasie i przy niewielkim dodatkowym wysiłku. Nasi eksperci z przyjemnością odpowiedzą na Państwa pytania dotyczące bezpieczeństwa informacji w przemyśle motoryzacyjnym. Z niecierpliwością czekamy na rozmowę z Państwem.

Kompetencja i zaufanie

Nasze artykuły techniczne są pisane wyłącznie przez naszych wewnętrznych ekspertów ds. norm i wieloletnich audytorów. Jeśli mają Państwo jakiekolwiek pytania dotyczące treści lub naszych autorów, prosimy o kontakt.