Você tem que fornecer evidências da segurança da informação que lhe é fornecida de acordo com os requisitos da "VDA Information Security Assessment" (VDA ISA)? O nosso especialista em normas André Saeckel fornece-lhe respostas a perguntas importantes sobre o TISAX® - o procedimento de teste e intercâmbio conjunto na indústria automóvel. O círculo de empresas afectadas por isso é maior do que talvez inicialmente suposto. Além do fornecedor clássico Tier 1, a certificação TISAX® também é cada vez mais exigida de fornecedores de outros sub-níveis - assim como de fornecedores de serviços nas áreas de processamento de dados ou publicidade, por exemplo, de empresas parceiras da indústria automóvel no sentido mais amplo.
CONTEÚDO
- O que significa TISAX®?
- Quais são os benefícios do TISAX®?
- Quem monitoriza o TISAX®?
- O que é um nível de avaliação?
- É o TISAX®também para empresas não fabricantes?
- Certificação TISAX® sem exigência do cliente?
- O conteúdo do TISAX® é análogo ao da norma ISO 27001?
- O TISAX® é um auditoria combinada de TISAX® e ISO 27001 recomendada?
- Como posso definir o âmbito de avaliação do TISAX®?
- Quanto tempo demoram as avaliações individuais?
- O que são não-conformidades maiores e menores?
- O TISAX® substituirá a protecção de protótipo VDA?
- O que a DQS pode fazer por mim?
O que significa TISAX®?
TISAX® - Trusted Information Security Assessment eXchange
O TISAX® é um procedimento comum de avaliação e intercâmbio para o sector automóvel. Baseia-se num questionário de segurança da informação (ISA - Information Security Assessment) desenvolvido pelo grupo de trabalho da VDA "Information Security", que foi utilizado pela primeira vez por empresas membros da Associação Alemã da Indústria Automóvel (VDA) para auditorias a fornecedores e prestadores de serviços em cujas empresas são processadas informações sensíveis. A versão 5.1 do questionário da VDA ISA está disponível desde 2022. Esta versão é obrigatória para todas as novas avaliações TISAX® desde Janeiro de 2022. Trabalhar com o novo catálogo de auditoria TISAX® 5.1 deve agora ser mais fácil e eficiente - para utilizadores e auditores
Além disso, o TISAX® baseia-se nos requisitos essenciais da norma internacionalmente reconhecida para a segurança da informação: ISO 27001. É aplicável em todas as indústrias e define requisitos, regras e métodos para garantir a segurança da informação dentro de uma empresa. Em seus requisitos, a norma vai além da protecção dos sistemas técnicos de IT e inclui todos os activos corporativos dignos de protecção, por exemplo, instalações, controlos de segurança e arquivos. Em outras palavras: A ISO 27001 assegura a protecção de toda a informação que é de valor para uma organização.
Quais são os benefícios do TISAX®?
- O TISAX® cria um nível uniforme de segurança da informação na indústria automóvel
- Os resultados das avaliações são reconhecidos nas empresas entre todos os participantes do TISAX®, levando a uma maior confiança nas empresas auditadas
- Auditorias múltiplas e duplicadas desnecessárias são evitadas através do reconhecimento mútuo na rede TISAX®.
- A avaliação para a certificação TISAX® ocorre apenas a cada três anos, o que poupa tempo e dinheiro
Quem monitoriza o TISAX®?
TISAX® é uma marca registada da Associação ENX, com sede em Frankfurt am Main e Paris. Como entidade neutra, é-lhe confiada a implementação do TISAX®. A ENX é a associação de fabricantes europeus de automóveis, fornecedores e quatro associações automóveis nacionais, incluindo a VDA, que fundou a ENX em 2000. A Associação ENX controla a qualidade da implementação e concede aprovação aos prestadores de serviços de avaliação, de acordo com um procedimento rigoroso. A DQS está listada com a ENX como um fornecedor de serviços de auditoria aprovado e pode realizar avaliações em todo o mundo. Os nossos especialistas estão sempre disponíveis para responder às suas perguntas.
Para conseguir o reconhecimento mútuo das avaliações pelos participantes, a ENX celebra contractos correspondentes com todos os prestadores de serviços de auditoria aprovados, bem como com os participantes da rede TISAX®. Através da padronização e monitorização da qualidade, a ENX consegue o reconhecimento comum dos resultados das avaliações entre todos os participantes. Evitam-se duplicações desnecessárias e avaliações múltiplas.
Perguntas e respostas sobre o TISAX®: O que é um nível de avaliação?
TISAX® distingue três níveis de avaliação (requisitos de protecção), dependendo da protecção necessária: normal (nível 1), elevado (nível 2) e muito elevado (nível 3). O método de auditoria e o esforço de auditoria dependem disso.
Nível 1: Auto-avaliação sem verificação de plausibilidade, geralmente apenas para fins internos. Estes resultados de avaliação têm apenas um significado limitado e não são utilizados no TISAX®.
Nível 2: Verificação da plausibilidade da sua auto-avaliação por um prestador de serviços de auditoria, como a DQS. Estas auditorias de segurança da informação são geralmente realizadas como uma conferência telefónica, não como auditorias no local - a menos que um dos objectivos da auditoria de protecção do protótipo se aplique ou que você o solicite explicitamente.
O que é novo é o método alternativo para realização de uma avaliação no nível de avaliação 2. Em vez da versificação de plausibilidade, o seu fornecedor de serviços de auditoria realiza um teste totalmente remoto. Este método é por vezes chamado de "Nível de Avaliação 2,5". A vantagem é que a abordagem é metodicamente compatível com o nível de avaliação 3. É, portanto, possível actualizar para um exame de avaliação nível 3 mais tarde com esforço gerido.
Nível 3: Verificação da plausibilidade de sua auto-avaliação por um provedor de serviços de auditoria através de uma auditoria aprofundada e abrangente no local.
A introdução do TISAX® também é obrigatória para as empresas não-fabricantes?
A resposta a esta pergunta depende do contexto do seu negócio: Se precisa ou não de implementar o TISAX® depende do seu OEM (fabricante do equipamento original), ou se este lhe exige esta prova de segurança da informação. A menos que o fabricante do carro se aproxime especificamente de você, ou que você veja uma mudança nos T&C, é recomendável esperar e ver. No passado, as empresas eram contactadas pelo OEM sobre os requisitos para uma maior cooperação, quando necessário. No entanto, é claro que lhe cabe a si perguntar proactivamente aos seus parceiros na indústria automóvel.
Faz sentido lutar pela certificação TISAX® mesmo sem uma exigência do cliente?
Hoje em dia, uma abordagem proactiva ao tema da segurança da informação geralmente faz muito sentido, e não apenas para os fornecedores da indústria automóvel. Se o seu OEM não (ainda) especificar qual etiqueta TISAX® se espera de si, é uma boa ideia demonstrar o Nível 3 (Avaliação Nível 3: segurança de informação muito elevada). Desta forma, você está preparado para todos os requisitos futuros sem ter que duplicar o trabalho.
Alternativamente, a norma globalmente reconhecida ISO/IEC 27001 oferece uma boa introdução intersectorial à segurança da informação. A norma está correntement sob revisão, com a versão revista esperada até ao final de 2022.
ISO 27001 - Sistema de gestão da segurança da informação
Sistema de gestão holístico de acordo com a norma ISO ★ Implementação efectiva de um processo de gestão de risco ★ Melhoria contínua do nível de segurança
O conteúdo do TISAX® é análogo ao da norma ISO 27001?
O catálogo de avaliação TISAX® é derivado da norma internacional ISO 27001 e baseia-se nos "controlos" (medidas) aí definidos. Eles descrevem como os respectivos requisitos (devem) ser implementados, como os processos devem ser assegurados e que ferramentas podem ser utilizadas. Uma diferença fundamental entre as duas normas é que o TISAX® requer um certo nível de maturidade para ser alcançado.
É recomendada uma auditoria combinada do TISAX® e da ISO 27001?
Uma auditoria combinada é definitivamente possível e pode ser realizada pela DQS a qualquer momento. Muitos auditores TISAX® da DQS são também auditores autorizados para a ISO 27001, o que significa que ambas as avaliações de segurança da informação podem ser realizadas ao mesmo tempo com pouco esforço adicional.
"O sistema TISAX® é o primeiro a oferecer a possibilidade de garantir um nível uniforme de segurança da informação em toda a indústria automóvel, com base na robusta base do questionário VDA e nos princípios da ISO 27001".
Tenho que ser certificado pela ISO 27001 antes do TISAX®?
A resposta a esta pergunta é: Não. Porque não há nenhuma exigência de que já exista um sistema de gestão de segurança da informação certificado de acordo com a ISO 27001. Para a avaliação TISAX®, basta provar que trabalha de acordo com um sistema de gestão de segurança da informação e que os processos e procedimentos correspondentes são implementados de forma estável na empresa. Esta avaliação é realizada pelo auditor, que também utiliza os documentos para atribuir um nível de maturidade.
Quais são as vantagens de já ter uma certificação ISO 27001?
Se você já pode fornecer provas de um certificado ISO 27001, isso é sempre uma vantagem, é claro. Se apenas porque para TISAX® você tem que provar que tem uma gestão de segurança da informação implementada e ambos os conjuntos de regras têm uma cobertura semelhante.
"Digitalização da indústria automóvel: O número de aplicações e dados nos veículos está s explodir, e com isso as superfícies de ataque e o potencial de danos na segurança da informação também estão em crescimento".
Mas atenção: A definição do âmbito da auditoria TISAX® pode diferir da definição exigida para a certificação ISO 27001. Os conceitos subjacentes não são idênticos. Para organizações maiores, o registro de múltiplos âmbitos de auditoria também pode ser considerado.
A "definição do processo" da ISO 9001 é análoga à do TISAX®?
A resposta a esta pergunta é "sim". Em princípio, a definição e a estrutura dos processos nos conjuntos de regras correspondentes é sempre a mesma. O catálogo de avaliação TISAX® também indica muito especificamente a partir de que controlos os KPIs devem ser determinados e a partir dos quais não devem ser determinados. A criação dos KPIs é apoiada por exemplos para garantir a segurança da informação na indústria automóvel. Um olhar para o questionário VDA ISA ajuda, portanto, com uma visão geral inicial.
É recomendado um responsável pela segurança informática para a implementação do TISAX®?
Não é obrigatório que a pessoa responsável pela introdução do TISAX® venha do departamento de IT. No entanto, como os processos de IT estão envolvidos, algum conhecimento de IT é definitivamente vantajoso.
Como posso definir o âmbito de avaliação do TISAX®?
A ENX oferece um âmbito padrão que é adoptado por 90% de todos os participantes do TISAX®. O âmbito padrão é predefinido e não pode ser alterado. Se você descobrir, durante a preparação para a sua avaliação, que o âmbito padrão não se encaixa, você pode ajustar o âmbito do seu exame sob determinadas circunstâncias. Em casos individuais, as OEMs podem exigir o âmbito expandido. Entretanto, esses casos especiais são raros e serão discutidos em detalhes com você pela respectiva OEM. Normalmente, o âmbito padrão é suficiente. É a base para uma avaliação TISAX® e é aceite por todos os participantes.
Um âmbito de avaliação é suficiente para todos os locais?
Um único escopo que inclui todos os sites oferece vantagens, mas também desvantagens.
Vantagens
- Apenas um resultado de inspecção, um relatório de inspecção, uma data de expiração
- Redução de custos, uma vez que os processos, procedimentos e recursos centrais só precisam de ser avaliados uma vez
Desvantagens
- O resultado da auditoria só está disponível depois de todos os locais terem sido avaliados
- O resultado da auditoria depende de todos os sites que passarem na auditoria, ou seja, se apenas um site falhar a auditoria, você não receberá um resultado positivo da auditoria
Para empresas com muitas localizações, o procedimento de avaliação TISAX® regular pode ser bastante extensivo. Sob certas condições, nós oferecemos uma alternativa - a "avaliação de grupo simplificada" (SGA). A avaliação de grupo simplificada é um caso especial do procedimento de avaliação TISAX®. Se os requisitos forem cumpridos, pode reduzir o esforço quando comparado com a avaliação TISAX® regular. Este procedimento de avaliação TISAX® especial é para empresas com pelo menos três localizações e um sistema de gestão de segurança de informação (ISMS) centralizado e altamente desenvolvido. Esta adenda descreve em que circunstâncias você pode beneficiar da avaliação de grupo simplificada e como pode passar o processo de avaliação especial.
O âmbito da avaliação pode ser isolado, por exemplo, para "funcionários críticos para a segurança"?
A ENX responde a esta pergunta sobre o TISAX® sem ambiguidades: Todos os colaboradores que entram em contacto com informações sensíveis da indústria automóvel devem ser incluídos no âmbito de aplicação. Isto também pode ser, por exemplo, um operador de máquina que trabalha com o plano de construção de um cliente. A sua empresa deve definir para si própria quais os colaboradores que estão envolvidos em processos relevantes para a segurança da informação.
É verdade que com ENX, o pedido para uma auditoria TISAX® deve ser apresentado primeiro e só então o provedor de auditoria pode ser seleccionado?
Sim, isto é correcto. Após o seu registo online em www.enx.com/tisax/ e a aprovação do âmbito de avaliação pela ENX, receberá uma lista de todos os prestadores de serviços de avaliação aprovados. No entanto, você também pode visualizar a lista com antecedência na ENX. A DQS está listada como um provedor de serviços na ENX e pode realizar avaliações em todo o mundo. Para perguntas e respostas sobre segurança de informação na indústria automóvel, não hesite em contactar os nossos especialistas.
Faz algum sentido um inquérito se o nível de maturidade for demasiado baixo?
Se você determinar numa auto-avaliação que sua empresa ainda tem algum trabalho de recuperação em termos de segurança da informação, um pedido de avaliação não faz sentido por enquanto. Recomenda-se que você primeiro feche as lacunas identificadas e depois considere uma auditoria.
Quanto tempo demoram as avaliações individuais?
A resposta à pergunta sobre a duração das avaliações individuais depende da dimensão da sua empresa e das viagens envolvidas na auditoria dos seus sites. Para uma empresa de tamanho médio, 2-3 dias no local são suficientes para o processo de avaliação.
Quanto tempo demora para que uma empresa seja considerada certificada?
Todo o processo de auditoria TISAX® pode levar um máximo de nove meses. Começa com a auditoria inicial e termina com a última auditoria de seguimento. Se o processo de avaliação não puder ser concluído dentro do período especificado, não receberá uma etiqueta TISAX®.
Avaliação TISAX®.
Também ficaríamos felizes em responder às suas perguntas numa reunião pessoal.
Sem compromisso e sem custos.
Se a sua empresa cumpre todos os critérios ou apresenta apenas pequenas não conformidades, o relatório de avaliação é submetido à ENX. Assim que este for aceite, receberá o seu rótulo (temporário) TISAX®. Se existirem grandes não conformidades que devam ser corrigidas primeiro, o rótulo é válido a partir do dia em que a não-conformidade for considerada corrigida.
Perguntas e respostas sobre o TISAX®: O que são os rótulos TISAX®?
Os rótulos são o resultado do processo de avaliação e resumem o seu resultado. Eles estão hierarquicamente ligados entre si. Ou seja, se você recebe uma determinada etiqueta, você recebe automaticamente as "etiquetas abaixo" dela. Os rótulos só podem ser visualizados no portal ENX. O seu período de validade é normalmente de três anos.
O que são não conformidades maiores e menores?
Uma não-conformidade maior é quando a não-conformidade levanta dúvidas sobre a eficácia geral do seu sistema de gestão da segurança da informação ou quando causa riscos significativos de segurança da informação. Este é o caso, por exemplo, se a identificação de dois factores for necessária e isso ainda não tiver sido implementado.
Uma não conformidade menor existe, por exemplo, se a não conformidade não coloca em questão a eficácia global do seu sistema de gestão da segurança da informação nem representa um risco significativo para a segurança da informação na indústria automóvel. Por exemplo, erros isolados ou esporádicos e deficiências de implementação.
Também preciso de apresentar provas da eficácia das medidas individuais?
A resposta é "sim". Depois de ter criado o seu catálogo de medidas e de as ter implementado, a sua eficácia será verificada. Por este motivo, o processo de certificação também prevê um período de nove meses.
Como posso determinar o número de funcionários "com antecedência"?
Especificamente: Como posso determinar com antecedência o número exacto de funcionários se só podem ser contratados funcionários adicionais após a assinatura do contrato com o nosso cliente?
A gama em que os funcionários são classificados para o TISAX® é significativamente maior do que para a norma internacional ISO 27001. TISAX® classifica o número de funcionários, por exemplo, em 0-50, 51-150, etc. Portanto, se você souber aproximadamente quantos novos funcionários serão contratados, você pode-se colocar numa faixa adequada.
Quantos documentos devem estar disponíveis para que o TISAX® esteja em conformidade?
Não é possível fazer uma declaração geral aqui. Depende sempre da dimensão e da actividade da sua empresa. Teoricamente, você pode cobrir tudo num único documento, desde que você tenha uma visão geral clara. No entanto, é aconselhável criar vários documentos que abranjam tópicos relacionados.
O TISAX® irá substituir a protecção do protótipo VDA?
Uma vez que o TISAX® inclui um módulo separado para a protecção de protótipos, que entra em muito mais detalhes sobre os critérios individuais do que anteriormente, pode-se assumir que a longo prazo o TISAX® irá substituir os anteriores conjuntos de regras para a segurança da informação na indústria automóvel. Actualmente, no entanto, a versão 3.0 do protótipo de protecção VDA de 2018 ainda é válida.
Perguntas e respostas sobre o TISAX® - O que a DQS pode fazer por mim?
A DQS está listada com a ENX como um provedor de serviços de auditoria aprovado e pode realizar avaliações em todo o mundo. Muitos dos nossos auditores TISAX® são também auditores aprovados pela norma internacional ISO 27001, o que significa que ambas as normas podem ser avaliadas pela DQS ao mesmo tempo e com pouco esforço adicional. Os nossos especialistas terão todo o prazer em responder às suas perguntas sobre a segurança de informação na indústria automóvel. Estamos ansiosos para falar consigo.
Você tem alguma pergunta?
Contacte-nos!
Sem compromisso e sem custos.
Competência e confiança
Os nossos artigos técnicos são escritos exclusivamente pelos nossos especialistas internos em normas e auditores de longo prazo. Se você tiver alguma dúvida sobre o conteúdo ou sobre nossos autores, não hesite em entrar em contato connosco.
Newsletter DQS
Holger Schmeken
Gestor de produtos para TISAX® e VCS, Auditor para ISO/IEC 27001, Perito em Engenharia de Software com mais de 30 anos de experiência e Diretor Adjunto de Segurança da Informação. Holger Schmeken tem um mestrado em informática empresarial e possui competências alargadas de auditoria para infra-estruturas críticas na Alemanha (KRITIS).