TISAX certificering van de informatiebeveiliging wordt besproken door een man en vrouw in een controlekamer

Evaluarea TISAX

Evaluarea TISAX® - Securitatea informațiilor în industria auto

Sunteți furnizor sau prestator de servicii în industria auto? Atunci trebuie să dovediți disponibilitatea serviciilor dvs. sau securitatea informațiilor sensibile pe care le primiți. De asemenea, trebuie să furnizați dovezi privind manipularea corectă a prototipurilor. În calitate de participant la procesul TISAX® , acest lucru este posibil prin intermediul unei evaluări corespunzătoare, care trebuie efectuată doar o dată la trei ani. Certificarea TISAX® este valabilă pentru toate industriile și definește cerințele de securitate a informațiilor ale companiei dumneavoastră.

Recunoaștere reciprocă între toți participanții la TISAX®

Furnizorii și prestatorii de servicii dobândesc o mai mare încredere în compania dumneavoastră auditată

Evaluarea pentru certificarea TISAX® are loc doar o dată la trei ani

Economisiți timp și costuri prin participarea la rețeaua TISAX®

Informații de bază despre evaluarea TISAX®

TISAX® este o procedură comună de evaluare și schimb pentru sectorul auto. Aceasta se bazează pe chestionarul (ISA - Information Security Assessment) elaborat de grupul de lucru VDA "Information Security", care, la rândul său, se bazează pe aspectele-cheie ale standardului internațional ISO/IEC 27001 și a fost extins pentru a include un model de maturitate.

ISA se referă, de asemenea, la ISO/SAE 62443-2-1 pentru sistemele de control industrial pentru automatizarea și monitorizarea instalațiilor de producție industrială (IACS) și a tehnologiilor operaționale (OT).

În plus, organismele responsabile din cadrul Asociației germane a industriei auto (VDA) au creat condițiile pentru instituirea mecanismului comun de evaluare și schimb sub denumirea TISAX® (Trusted Information Security Assessment eXchange). TISAX® este o marcă înregistrată a Asociației ENX. Asociația producătorilor, furnizorilor și asociațiilor europene din domeniul automobilelor monitorizează calitatea evaluărilor TISAX® și controlează aprobarea furnizorilor de servicii de audit TISAX®.

În prezent, peste 10 000 de locații au fost evaluate în conformitate cu TISAX®, ceea ce face ca acest standard să fie al doilea cel mai aplicat set de norme pentru securitatea informațiilor la nivel mondial, după ISO 27001. VDA și ENX au format grupuri de lucru internaționale pentru TISAX® și catalogul ISA pentru a dezvolta în continuare standardul. În același timp, acest lucru promovează o cooperare mai strânsă cu industria auto globală. Cu TISAX 6.0, forma actualizată a procedurii de evaluare și schimb a fost publicată în toamna anului 2023.

TISAX® 2.2 - Obligatoriu de la 1 aprilie 2024 - Note de tranziție

Evaluările TISAX® care au fost comandate până la 31 martie 2024 pot fi efectuate în conformitate cu vechea versiune ISA 5.1. Evaluările inițiale sau de recertificare comandate începând cu 1 aprilie 2024 vor fi efectuate exclusiv conform noii proceduri TISAX® în conformitate cu catalogul ISA 6.0. Activitățile de audit care depind de auditurile existente, cum ar fi evaluările planului de acțiuni corective, evaluările de urmărire, evaluările de extindere a domeniului de aplicare sau evaluările simplificate continue ale grupurilor, vor continua să fie efectuate în conformitate cu versiunea în temeiul căreia a fost efectuat auditul inițial.

Informații privind principalele modificări din noul ISA 6.0 pot fi găsite în postarea noastră de pe blog"Noul catalog ISA 6.0".

Noul Catalog ISA 6.0 este o etapă importantă pentru TISAX®. Catalogul de evaluare conduce la ajustări ale cerințelor pentru furnizorii de audit, care au fost definite în reglementările TISAX® ACAR 2.2. Schimbarea limbii principale în limba engleză subliniază perspectiva globală și eforturile comune pentru dezvoltarea la nivel mondial. Sunt planificate traduceri suplimentare ale TISAX VDA 6.0.

Cele mai importante modificări din noul catalog ISA 6.0 sunt

Modificări ale etichetelor de securitate:

Eticheta de securitate a informațiilor este înlocuită de etichetele de disponibilitate și confidențialitate. În funcție de rolul dumneavoastră în lanțul de aprovizionare, disponibilitatea sau confidențialitatea sau ambele pot fi relevante pentru dumneavoastră.
O etichetă existentă "Securitate ridicată a informațiilor" va fi înlocuită cu etichetele combinate "Disponibilitate ridicată" și "Confidențial". Același lucru este valabil și pentru o etichetă existentă "Securitate a informațiilor foarte ridicată". Aceasta va fi înlocuită cu "Disponibilitate foarte ridicată" și "Strict confidențial".
Ambele etichete trebuie să îndeplinească același set de cerințe de bază. În plus, fiecare etichetă are cerințe specifice pentru nevoile de protecție ridicate și foarte ridicate. Procesul de evaluare este determinat de etichete, luând în considerare rolul dumneavoastră în lanțul de aprovizionare. Prin urmare, merită să verificați împreună cu clienții dumneavoastră care sunt etichetele relevante pentru rolul dumneavoastră.

Accent sporit pe securitatea informațiilor și pe sistemele OT în lanțul de aprovizionare

Companiile relevante din lanțul de aprovizionare trebuie să îndeplinească cerințele de "disponibilitate ridicată" sau "disponibilitate foarte ridicată".
Accent pe sistemele de tehnologie operațională (OT) în producție și în alte domenii în cadrul evaluării TISAX®.
Referințele la IEC 62443-2-1 și noile cerințe din catalogul ISA promovează accentul pe OT.
Includerea sistemelor industriale de comunicare și control (IACS).
Companiile din această categorie trebuie să demonstreze protecția adecvată a datelor sensibile în dezvoltare și producție.
Multe dintre cerințe se suprapun cu "Sensibilitate ridicată" sau "Sensibilitate foarte ridicată".
Întreprinderile din lanțul de aprovizionare care nu sunt foarte relevante, dar cărora li se încredințează informații sensibile, trebuie să demonstreze că aceste informații pot fi protejate în mod adecvat.
Etichetele "Confidențial" sau "Strict confidențial" sunt utilizate pentru a selecta cerințele TISAX® care contribuie la acest obiectiv de protecție.
Scopul principal al evaluării selective descrise mai sus este de a garanta că întreprinderile trebuie să îndeplinească numai cerințele catalogului ISA care sunt relevante pentru rolul lor.

Noi provocări pentru întreprinderile de producție

Sistemele OT trebuie să facă obiectul unei gestionări similare celei care este în general necesară pentru sistemele IT TISAX® .
Ca urmare, OT în gestionarea activelor este identificat cu riscurile sale specifice, analizat pentru vulnerabilități potențiale, gestionat de angajați competenți, supus unor procese conforme ISMS pentru mentenanță de la distanță și alte bune practici de gestionare.

Care sunt avantajele unei evaluări TISAX® pentru compania dumneavoastră?

În calitate de prestator de servicii sau furnizor în industria auto, trebuie să le dovediți clienților dumneavoastră că respectați cerințele de securitate a informațiilor. Până în prezent, aceste evaluări erau efectuate în principal chiar de către producători. Participanții înregistrați în rețeaua TISAX® pot selecta acum un furnizor de servicii de audit prin intermediul unei platforme online comune și pot solicita o evaluare. Avantajele pentru întreprinderi depășesc dezavantajele:

Pot fi evitate evaluările duplicate și multiple efectuate de diferiți clienți, economisindu-se timp și bani.
Recunoașterea evaluărilor între companii pentru participanții la TISAX®
Rezultate fiabile datorită catalogului de evaluare armonizat, care asigură un proces de evaluare consecvent
Creșterea încrederii în compania evaluată prin intermediul unei etichete TISAX®

După o evaluare reușită, veți primi o etichetă TISAX® pe platforma online TISAX® . Această etichetă este comparabilă cu un certificat și are rolul de a consolida încrederea în compania dumneavoastră și de a confirma eforturile dumneavoastră de a asigura securitatea informațiilor.

Cum funcționează TISAX®?

În cadrul TISAX®, participanții își pot asuma două roluri diferite: "consumatorul de informații" (pasiv), de exemplu un producător care dorește să primească informații despre un furnizor, și "furnizorul de informații" (activ), de exemplu un furnizor de piese sau un prestator de servicii care dorește să fie auditat cu privire la adecvarea sa pentru a primi comenzi de la producători.

De asemenea, o întreprindere poate îndeplini ambele roluri de participant. Oricine dorește să participe la TISAX® în calitate de contribuitor de informații trebuie să parcurgă următorii patru pași principali:

1. Înregistrarea online la www.enx.com/TISAX
2. 2. Selectarea unui furnizor de servicii de audit aprobat de ENX, cum ar fi DQS
3. Supuneți-vă unei evaluări TISAX®
4. Schimbul rezultatelor auditului pe platforma online TISAX®.

Dacă o întreprindere este interesată de rezultatele dumneavoastră TISAX®, aceasta se poate înregistra la ENX ca "consumator de informații". Puteți decide pentru fiecare consumator de informații dacă doriți să împărtășiți cu acesta statutul dumneavoastră TISAX® actual.

Cum funcționează o evaluare TISAX®?

Înainte de a începe cu evaluarea ^TISAX®, compania dumneavoastră trebuie să definească un domeniu de aplicare clar. Aceasta include nivelul de evaluare, care definește cerințele specifice de evaluare. Aceste cerințe pot include asigurarea "disponibilității" capacităților de producție, garantarea "confidențialității" informațiilor încredințate sau securizarea "pieselor prototip" și a "datelor personale". Aceste criterii de bază se aplică tuturor amplasamentelor din domeniul de aplicare.

O provocare cheie este combinarea siturilor cu cerințe similare într-un singur domeniu de aplicare. DQS poate oferi orientări valoroase în ceea ce privește proiectarea, pentru a stabili dacă ar trebui să fie un singur domeniu de aplicare cuprinzător sau mai multe domenii de aplicare. În principiu, combinarea siturilor în cadrul unui singur domeniu de aplicare prezintă avantaje sub forma unei posibile reduceri a efortului de audit dacă toate siturile funcționează în conformitate cu un ISMS centralizat.

În prima etapă, selectați un furnizor de servicii de audit aprobat. În a doua etapă, are loc o lansare, revizuirea documentelor (autoevaluare, nu la fața locului) și o evaluare ulterioară (nivelul 2: nu la fața locului, nivelul 3: la fața locului).

Vă rugăm să rețineți: există o metodă alternativă pentru efectuarea unei evaluări la nivelul 2 de evaluare. În locul unei verificări a plauzibilității, furnizorul dvs. de servicii de audit efectuează o evaluare completă la distanță. Această metodă este denumită uneori "nivel de evaluare 2.5". Avantajul unui nivel de evaluare 2.5 este că abordarea este compatibilă din punct de vedere metodologic cu nivelul de evaluare 3. Prin urmare, este posibilă trecerea la un examen complet de evaluare de nivel 3 la o dată ulterioară, cu un efort gestionabil.

Rezultatele auditului ^TISAX® sunt înregistrate într-un raport intermediar. În cazul neconformităților, se convine asupra măsurilor care urmează să fie puse în aplicare. Dacă este necesar, punerea în aplicare a măsurilor este stabilită în cadrul unei perioade convenite. Această procedură asigură că toate problemele identificate sunt abordate eficient și prompt.

Odată ce neconformitățile au fost închise, se efectuează o revizuire a eficacității pentru a valida închiderea neconformităților și pentru a evalua eficacitatea generală a măsurilor corective luate.

Rezultatul final va fi publicat online în portalul ENX®. Compania dvs. va fi apoi listată ca participant la procesul ^TISAX® cu eticheta de testare corespunzătoare. Spre deosebire de alte certificări, nu există un certificat ^TISAX®.

Cât costă evaluarea TISAX®?

Doi factori importanți influențează domeniul de aplicare al întregii evaluări și, prin urmare, costurile. Evaluările TISAX® sunt posibile pe baza unui domeniu extins, a unui domeniu standard sau a unui domeniu restrâns. Decizia dumneavoastră privind domeniul de aplicare trebuie să fie bine pregătită și determinată de obiectivele de protecție dorite, dar și de dimensiunea întreprinderii dumneavoastră.

Obiectivele de protecție, de exemplu, se referă la faptul dacă doriți să includeți în evaluare subiecte precum protecția prototipurilor sau protecția datelor. Dacă doriți să vă implicați în procedura TISAX®, discutați cât mai curând posibil cu DQS, furnizorul dvs. de servicii de audit aprobat. Numai în acest fel putem determina calculul corect pentru domeniul de aplicare al evaluării și vă putem oferi o ofertă fiabilă pentru costul certificării TISAX®.

La ce vă puteți aștepta de la noi

DQS este un furnizor autorizat de servicii de audit al Asociației ENX
Perspective cu valoare adăugată privind securitatea informațiilor în organizația dvs.
Acreditări pentru toate reglementările relevante din industria auto
Auditori cu experiență în industrie și experți din domeniu

Peste 35 de ani de experiență în certificarea sistemelor și proceselor de management
Certificate cu acceptare internațională
Asistență personală, fără probleme din partea specialiștilor noștri - la nivel regional, național și internațional
Oferte individuale cu termeni contractuali flexibili, fără costuri ascunse

Evaluarea TISAX

DQS GmbH este un participant înregistrat TISAX® și a fost supusă unei evaluări TISAX® pentru eticheta "Information Security Very High" la nivelul de evaluare 3. Evaluările TISAX® sunt efectuate de furnizori de servicii de evaluare acreditați ENX. Rezultatele evaluării TISAX® nu sunt destinate publicului larg. Rezultatul evaluării la DQS GmbH este disponibil participanților înregistrați prin intermediul portalului ENX: https://portal.enx.com/

Descărcați documentul de aici