Segurança da informação na indústria automóvel
Reconhecimento mútuo entre todos os participantes do TISAX®.
Fornecedores e prestadores de serviços alcançam maior confiança na empresa auditada
A avaliação para a certificação TISAX® só se realiza de três em três anos
Poupar tempo e custos ao participar na rede TISAX®.
Informação básica sobre a avaliação TISAX®.
ISA refere-se também á ISO/SAE 62443-2-1 para sistemas de controlo industrial para a automatização e monitorização de instalações de produção industriais (IACS) e tecnologias operacionais (OT).
Além disso, os organismos responsáveis da Associação Alemã da Indústria Automóvel (VDA) criaram as condições para o estabelecimento do mecanismo conjunto de avaliação e intercâmbio sob o nome TISAX® (Trusted Information Security Assessment eXchange). O TISAX® é uma marca registada da Associação ENX. A Associação de fabricantes europeus de automóveis, fornecedores e associações do ramo automóvel monitorizam a qualidade das avaliações TISAX® e controlam a aprovação dos prestadores de serviços de auditoria TISAX®.
Mais de 10,000 localizações já foram avaliadas de acordo com o TISAX®, tornando esta norma o segundo conjunto de regras mais amplamente implementado para a segurança da informação a nível mundial, depois da ISO 27001. A VDA e a ENX formaram grupos de trabalho internacionais para o TISAX® e o catálogo ISA para desenvolver ainda mais a norma. Ao mesmo tempo, isto promove uma cooperação mais estreita com a indústria automóvel global. Com o TISAX 6.0, a forma actualizada do procedimento de avaliação e intercâmbio foi publicada no outono de 2023.
TISAX® 2.2 - Obrigatório a partir de 1 de Abril de 2024 - notas de Transição
- A Etiqueta de Segurança de Informação é substituída pelas Etiquetas de Disponibilidade e Confidencialidade. Dependendo do seu papel na cadeia de fornecimento, Disponibilidade e Confidencialidade ou ambas podem ser relevantes para si.
- A Etiqueta existente "Segurança de Informação Elevada" será substituída pelas Etiquetas combinadas "Disponibilidade Elevada" e "Confidencialidade Elevada". O mesmo aplica-se á Etiqueta Segurança de Informação Muito Elevada existente. Será substituída pelas Etiquetas "Disponibilidade Muito Elevada" e "Confidencialidade Rígida".
- Ambas as etiquetas devem cumprir o mesmo conjunto de requisitos base. Além disso, cada etiqueta tem requisitos específicos para necessidades de proteção elevadas e muito elevadas. O processo de avaliação é orientado pelas etiquetas, tendo em conta o seu papel na cadeia de fornecimento. Por conseguinte, vale a pena verificar com os seus clientes quais as etiquetas que são relevantes para a sua função.Maior atenção à segurança da informação e aos sistemas OT na cadeia de fornecimento.
- Empresas relevantes na cadeia de fornecimento devem cumprir requisitos de "disponibilidade elevada" ou "disponibilidade muito elevada".
- Ênfase nos sistemas de Tecnologia Operacional (TO) na produção e noutras áreas da avaliação TISAX®.
- As referências à norma IEC 62443-2-1 e os novos requisitos do catálogo ISA promovem o foco nas OT.
- Inclusão de sistemas de comunicação e controlo industriais (IACS).
- As empresas desta categoria devem demonstrar uma proteção adequada dos dados sensíveis no desenvolvimento e na produção.
- Muitos dos requisitos sobrepõem-se aos requisitos de "Sensibilidade elevada" ou "Sensibilidade muito elevada".
- As empresas na cadeia de fornecimento que não são altamente relevantes mas às quais são confiadas informações sensíveis devem demonstrar que estas informações podem ser adequadamente protegidas.
- Os rótulos "Confidencialidade elevada" ou "Confidencialidade rígida" são utilizados para selecionar os requisitos TISAX® que contribuem para este objectivo de protecção.
- O principal objetivo da avaliação selectiva acima descrita é assegurar que as empresas apenas têm de cumprir os requisitos do catálogo ISA que são relevantes para a sua função.Novos desafios para as empresas de fabrico
- Os sistemas OT devem ser objeto de uma gestão semelhante à que é geralmente exigida para os sistemas informáticos TISAX®.
- Como resultado, a OT na gestão de activos é identificada com os seus riscos específicos, analisada quanto a potenciais vulnerabilidades, gerida por funcionários competentes, sujeita a processos compatíveis com o ISMS para manutenção remota e outras melhores práticas de gestão..
Quais são as vantagens de uma avaliação TISAX® para a sua empresa?
Após uma avaliação bem sucedida, receberá um rótulo TISAX® na plataforma online TISAX®. Esta etiqueta é comparável a um certificado e serve para reforçar a confiança na sua empresa e para confirmar os seus esforços para garantir a segurança da informação.
Como funciona o TISAX®?
Uma empresa também pode assumir as duas funções de participante. Qualquer pessoa que deseje participar no TISAX® como Contribuinte de Informação deve seguir os quatro passos principais a seguir:
- 1. Registe-se online em www.enx.com/TISAX.
- 2. Selecione um provedor de serviços de auditoria aprovado pela ENX, como a DQS
- 3. Submeter-se a uma avaliação TISAX®.
- 4. Partilhar os resultados da auditoria na plataforma online TISAX®.
Se uma empresa estiver interessada nos seus resultados TISAX, pode registar-se na ENX como "consumidor de informação". Pode decidir, para cada consumidor de informação, se pretende partilhar com eles o seu estado atual no TISAX.
Como funciona uma avaliação TISAX®?
Antes de iniciar a avaliação TISAX®, a sua empresa deve definir um âmbito claro. Isto inclui o nível de avaliação, que define os requisitos de avaliação específicos. Estes requisitos podem incluir a garantia da "disponibilidade" das capacidades de produção, a garantia da "confidencialidade" das informações confiadas ou a segurança de "peças de protótipo" e "dados pessoais". Estes critérios de base aplicam-se a todos os sítios abrangidos pelo âmbito de aplicação.
Um desafio fundamental é combinar locais com requisitos semelhantes num único âmbito. A DQS pode fornecer uma valiosa orientação de conceção sobre se deve ser um único âmbito abrangente ou vários âmbitos. Em princípio, existem vantagens em combinar locais num único âmbito, sob a forma de uma possível redução do esforço de auditoria se todos os locais operarem sob um SGSI centralizado
No primeiro passo, você selecciona um prestador de serviços de auditoria aprovado. No segundo passo, há um pontapé de saída, a revisão de documentos (auto-avaliação, não no local) e uma avaliação subsequente (Nível 2: não no local, Nível 3: no local).
Por favor note: Existe um método alternativo para realização de uma avaliação no nível de avaliação 2. Em vez de uma verificação de plausibilidade, o seu fornecedor de serviços de auditoria realiza uma avaliação totalmente remota. Este método é por vezes referido como "Nível de avaliação 2.5". A vantagem de um nível de avaliação 2.5 é que a abordagem é metodicamente compatível com o nível de avaliação 3. É, portanto, possível actualizar para um exame de avaliação nível 3 completo mais tarde com esforço gerido.
Os resultados da auditoria TISAX® são registados num relatório intercalar. Em caso de não-conformidades, são acordadas as medidas a implementar. Se necessário, a implementação das medidas é determinada dentro de um período acordado. Este procedimento garante que todos os problemas identificados são tratados de forma efectiva e rápida.
Uma vez encerradas as não-conformidades, é realizada uma análise da eficácia para validar o encerramento das não-conformidades e avaliar a eficácia global das medidas correctivas tomadas.
O resultado final será publicado online no portal ENX®. A sua empresa será então listada como participante no processo TISAX® com o rótulo de teste correspondente. Ao contrário de outras certificações, não existe um certificado TISAX®.
Quanto custa a avaliação do TISAX®?
As metas de protecção, por exemplo, são sobre se você deseja incluir tópicos como a protecção de protótipos ou a protecção de dados na avaliação. Se você se quiser envolver no procedimento TISAX®, fale com a DQS, seu provedor de serviços de auditoria aprovado, o mais cedo possível. Esta é a única forma de determinarmos o cálculo correto para o âmbito da avaliação e fornecer-lhe um orçamento confiável para o custo da sua certificação TISAX®.
O que você pode esperar de nós
- Mais de 35 anos de experiência na certificação de sistemas e processos de gestão
- Certificados com aceitação internacional
- Apoio pessoal e sem problemas dos nossos especialistas - a nível regional, nacional e internacional
- Ofertas individuais com condições contractuais flexíveis sem custos ocultos
Avaliação TISAX®
A DQS GmbH é um participante registado no TISAX® e foi submetida a uma avaliação TISAX® para obter o rótulo "Segurança da informação muito elevada" no nível de avaliação 3. As avaliações TISAX® são efectuadas por prestadores de serviços de avaliação acreditados pela ENX. Os resultados da avaliação TISAX® não se destinam ao público em geral. O resultado da avaliação na DQS GmbH está disponível para os participantes registados através do portal ENX: https://portal.enx.com/