TISAX® - Odpovede na dôležité otázky

OBSAH

• Čo znamená skratka TISAX®?
• Aké sú výhody systému TISAX®?
• Kto monitoruje systém TISAX®?
• Čo je to úroveň hodnotenia?
• Je TISAX®aj pre nevýrobné spoločnosti?
• Certifikácia TISAX® bez požiadavky zákazníka?
• Je obsah systému TISAX® analogický k norme ISO 27001?
• Je csa odporúča kombinovaný audit TISAX® a ISO 27001?
• Ako definovať rozsah hodnotenia TISAX®?
• Ako dlho trvajú jednotlivé posúdenia?
• Čo sú závažné a menej závažné nezhody?
• Nahradí systém TISAX® ochranu prototypu VDA?
• Čo pre mňa môže urobiť DQS?

Čo znamená skratka TISAX®?

TISAX® - Trusted Information Security Assessment eXchange (Dôveryhodná výmena informácií o bezpečnosti)

TISAX® je spoločný postup hodnotenia a výmeny pre automobilový priemysel. Vychádza z dotazníka informačnej bezpečnosti (ISA - Information Security Assessment), ktorý vyvinula pracovná skupina VDA "Informačná bezpečnosť" a ktorý prvýkrát použili členské spoločnosti Nemeckého združenia automobilového priemyslu (VDA) na audity dodávateľov a poskytovateľov služieb, v ktorých podnikoch sa spracúvajú citlivé informácie. Verzia 5.1 dotazníka VDA ISA je k dispozícii od roku 2022. Táto verzia je povinná pre všetky nové hodnotenia TISAX® od januára 2022. Práca s novým katalógom auditov TISAX® 5.1 by teraz mala byť jednoduchšia a efektívnejšia - pre používateľov aj audítorov.

Okrem toho je systém TISAX® založený na základných požiadavkách medzinárodne uznávanej normy pre bezpečnosť informácií: ISO 27001. Je použiteľná vo všetkých odvetviach a definuje požiadavky, pravidlá a metódy na zaistenie bezpečnosti informácií v spoločnosti. Norma vo svojich požiadavkách presahuje rámec ochrany technických systémov IT a zahŕňa všetky podnikové aktíva hodné ochrany, napríklad priestory, bezpečnostné kontroly a archívy. Inými slovami: ISO 27001 zabezpečuje ochranu všetkých informácií, ktoré majú pre organizáciu hodnotu.

Aké sú výhody systému TISAX®?

• TISAX® vytvára jednotnú úroveň bezpečnosti informácií v automobilovom priemysle
• Výsledky hodnotenia sú uznávané vo všetkých spoločnostiach medzi všetkými účastníkmi TISAX®, čo vedie k väčšej dôvere v auditované spoločnosti
• Vďaka vzájomnému uznávaniu v sieti TISAX® sa predchádza zbytočným duplicitným a viacnásobným auditom
• Hodnotenie na účely certifikácie TISAX® sa uskutočňuje len každé tri roky, čo šetrí čas a peniaze

Kto monitoruje systém TISAX®?

TISAX® je registrovaná ochranná známka združenia ENX so sídlom vo Frankfurte nad Mohanom a v Paríži. Ako neutrálny orgán je poverený implementáciou systému TISAX®. ENX je združenie európskych výrobcov automobilov, dodávateľov a štyroch národných automobilových združení vrátane VDA, ktoré založili ENX v roku 2000. Združenie ENX monitoruje kvalitu implementácie a udeľuje schválenie poskytovateľom hodnotiacich služieb podľa prísneho postupu. Spoločnosť DQS je zaradená do zoznamu ENX ako schválený poskytovateľ audítorských služieb a môže vykonávať posúdenia na celom svete. Naši odborníci sú vám vždy k dispozícii, aby odpovedali na vaše otázky.

S cieľom dosiahnuť vzájomné uznávanie hodnotení účastníkmi uzatvára ENX príslušné zmluvy so všetkými schválenými poskytovateľmi audítorských služieb, ako aj s účastníkmi siete TISAX®. Prostredníctvom štandardizácie a monitorovania kvality dosahuje ENX spoločné uznávanie výsledkov hodnotenia všetkými účastníkmi. Predchádza sa tak zbytočnému duplicitnému a viacnásobnému posudzovaniu.

Otázky a odpovede o systéme TISAX®: Čo je to úroveň hodnotenia?

TISAX® rozlišuje tri úrovne posudzovania (požiadavky na ochranu) v závislosti od požadovanej ochrany: normálna (úroveň 1), vysoká (úroveň 2) a veľmi vysoká (úroveň 3). Od toho závisí metóda auditu a náročnosť auditu.

Úroveň 1: Vlastné posúdenie bez kontroly hodnovernosti, zvyčajne len na interné účely. Výsledky tohto hodnotenia majú len obmedzený význam a v systéme TISAX® sa nepoužívajú.

Úroveň 2: Kontrola hodnovernosti vášho samohodnotenia poskytovateľom audítorských služieb, ako je napríklad DQS. Tieto audity bezpečnosti informácií sa zvyčajne vykonávajú ako telefonická konferencia, nie ako audity na mieste - pokiaľ sa neuplatňuje jeden z cieľov auditu ochrany prototypov alebo ak o to výslovne nepožiadate.

Novinkou je alternatívna metóda hodnotenia na úrovni 2. Namiesto kontroly hodnovernosti vykoná váš poskytovateľ audítorských služieb kompletný test na diaľku. Táto metóda sa niekedy označuje ako "Assessment-Level 2.5". Výhodou je, že tento prístup je metodicky kompatibilný s úrovňou posudzovania 3. Preto je možné neskôr s zvládnuteľným úsilím prejsť na úplnú skúšku na úrovni hodnotenia 3.

Úroveň 3: Kontrola hodnovernosti vášho samohodnotenia poskytovateľom audítorských služieb prostredníctvom hĺbkového, komplexného auditu na mieste.

Je zavedenie systému TISAX® nevyhnutné aj pre nevýrobné spoločnosti?

Odpoveď na túto otázku závisí od kontextu vášho podniku: To, či je potrebné zaviesť systém TISAX®, závisí od vášho výrobcu OEM (výrobca originálneho vybavenia), resp. od toho, či od vás vyžaduje tento dôkaz o bezpečnosti informácií. Pokiaľ vás výrobca automobilu výslovne neosloví alebo nezaznamenáte zmenu v T&C, odporúča sa počkať a uvidíte. V minulosti boli spoločnosti v prípade potreby kontaktované výrobcom originálneho vybavenia v súvislosti s požiadavkami na ďalšiu spoluprácu. Je však samozrejme na vás, aby ste sa proaktívne informovali u svojich partnerov v automobilovom priemysle.

Má zmysel usilovať sa o certifikáciu TISAX® aj bez požiadavky zákazníka?

Aktívny prístup k téme informačnej bezpečnosti má v súčasnosti vo všeobecnosti veľký zmysel, a to nielen pre dodávateľov v automobilovom priemysle. Ak váš výrobca OEM (zatiaľ) nešpecifikuje, aká značka TISAX® sa od vás očakáva, je dobré preukázať úroveň 3 (Assessment Level 3: veľmi vysoká bezpečnosť informácií). Takto budete pripravení na všetky budúce požiadavky bez toho, aby ste museli duplikovať prácu.

Alternatívou je celosvetovo uznávaná norma ISO/IEC 27001, ktorá ponúka dobrý úvod do informačnej bezpečnosti pre rôzne odvetvia. Revidovaná verzia normy bola uverejnená 25. októbra 2022.

Je obsah normy TISAX® analogický norme ISO 27001?

Katalóg hodnotenia TISAX® je odvodený od medzinárodnej normy ISO 27001 a vychádza z "kontrol" (opatrení) v nej definovaných. Opisujú, ako sa dajú realizovať príslušné požiadavky (musí, malo by), ako sa majú zabezpečiť procesy a aké nástroje sa môžu použiť. Kľúčovým rozdielom medzi týmito dvoma normami je, že TISAX® vyžaduje dosiahnutie určitej úrovne vyspelosti.

Odporúča sa kombinovaný audit noriem TISAX® a ISO 27001?

Kombinovaný audit je určite možný a DQS ho môže vykonať kedykoľvek. Mnohí audítori systému TISAX® v spoločnosti DQS sú zároveň autorizovanými audítormi pre normu ISO 27001, čo znamená, že obe hodnotenia bezpečnosti informácií možno vykonať súčasne bez väčšieho úsilia.

Musím byť pred zavedením systému TISAX® certifikovaný podľa normy ISO 27001?

Odpoveď na túto otázku znie: Nie. Pretože neexistuje žiadna požiadavka, že už musí existovať certifikovaný systém riadenia bezpečnosti informácií v súlade s normou ISO 27001. Pri hodnotení TISAX® musíte len preukázať, že pracujete podľa systému riadenia informačnej bezpečnosti a že príslušné procesy a postupy sú v spoločnosti stabilne zavedené. Toto posúdenie vykonáva audítor, ktorý na základe dokumentov prideľuje aj úroveň vyspelosti.

Aké sú výhody toho, že už máte certifikát ISO 27001?

Ak už môžete predložiť dôkaz o certifikáte ISO 27001, je to samozrejme vždy výhoda. Už len preto, že pre TISAX® musíte preukázať, že máte zavedené riadenie informačnej bezpečnosti a oba súbory pravidiel majú podobný rozsah.

Upozornenie: Definícia rozsahu auditu TISAX® sa však môže líšiť od definície požadovanej pre certifikáciu podľa normy ISO 27001. Základné pojmy nie sú totožné. V prípade väčších organizácií sa môže zvážiť aj registrácia viacerých rozsahov auditu.

Je "definícia procesu" normy ISO 9001 analogická s definíciou TISAX®?

Odpoveď na túto otázku je "áno". V zásade je definícia a štruktúra procesov v príslušných súboroch pravidiel vždy rovnaká. V katalógu hodnotenia TISAX® sa tiež celkom konkrétne uvádza, z ktorých kontrol sa musia určiť KPI a z ktorých nie. Tvorba KPI je podložená príkladmi na zabezpečenie informačnej bezpečnosti v automobilovom priemysle. Pohľad na dotazník VDA ISA preto pomáha pri prvotnom prehľade.

Odporúča sa pri zavádzaní systému TISAX® zamestnanec zodpovedný za bezpečnosť IT?

Nie je povinné, aby osoba zodpovedná za zavedenie systému TISAX® pochádzala z oddelenia IT. Keďže však ide o procesy podporované IT, určité znalosti IT sú určite výhodné.

Ako mám definovať rozsah hodnotenia TISAX®?

ENX ponúka štandardný rozsah, ktorý prijíma 90 % všetkých účastníkov hodnotenia TISAX® . Štandardný rozsah je preddefinovaný a nie je možné ho meniť. Ak počas prípravy na hodnotenie zistíte, že vám štandardný rozsah nevyhovuje, môžete si za určitých okolností rozsah skúšky upraviť. V jednotlivých prípadoch môžu výrobcovia originálnych zariadení požadovať rozšírený rozsah. Tieto osobitné prípady sú však zriedkavé a príslušný OEM ich s vami podrobne prediskutuje. Za normálnych okolností je štandardný rozsah postačujúci. Je základom pre hodnotenie TISAX® a akceptujú ho všetci účastníci.

Postačuje jeden rozsah posudzovania pre všetky pracoviská?

Jeden rozsah, ktorý zahŕňa všetky lokality, ponúka výhody, ale aj nevýhody.

V prípade spoločností s mnohými pobočkami môže byť pravidelný postup hodnotenia TISAX® pomerne rozsiahly. Za určitých podmienok ponúkame alternatívu - "zjednodušené skupinové posúdenie" (SGA). Zjednodušené skupinové posudzovanie je osobitným prípadom postupu posudzovania TISAX® . Ak sú splnené požiadavky, môže znížiť náročnosť v porovnaní s bežným postupom posudzovania TISAX®. Tento osobitný postup posudzovania TISAX® je určený pre spoločnosti s najmenej tromi lokalitami a centralizovaným, vysoko rozvinutým systémom riadenia bezpečnosti informácií (ISMS). V tomto dodatku sa opisuje, za akých okolností môžete využiť zjednodušené skupinové posúdenie a ako môžete prejsť osobitným postupom posúdenia.

Možno rozsah hodnotenia izolovať, napr. na "bezpečnostne kritických zamestnancov"?

ENX odpovedá na túto otázku o systéme TISAX® jednoznačne: Do rozsahu hodnotenia musia byť zahrnutí všetci zamestnanci, ktorí prichádzajú do styku s citlivými informáciami z automobilového priemyslu. Môže to byť napríklad aj operátor stroja, ktorý pracuje s konštrukčným plánom zákazníka. Vaša spoločnosť si musí sama definovať, ktorí zamestnanci sa podieľajú na procesoch, ktoré sú relevantné z hľadiska bezpečnosti informácií.

Je pravda, že v systéme ENX sa musí najprv podať žiadosť o audit TISAX® a až potom sa môže vybrať poskytovateľ auditu?

Áno, je to pravda. Po vašej online registrácii na stránke www.enx.com/tisax/ a schválení rozsahu hodnotenia spoločnosťou ENX dostanete zoznam všetkých schválených poskytovateľov služieb hodnotenia. Tento zoznam si však môžete pozrieť aj vopred na stránke ENX. Spoločnosť DQS je uvedená v zozname poskytovateľov služieb ENX a môže vykonávať posúdenia na celom svete. V prípade otázok a odpovedí týkajúcich sa bezpečnosti informácií v automobilovom priemysle sa neváhajte obrátiť na našich odborníkov.

Má vyšetrovanie vôbec zmysel, ak je úroveň vyspelosti príliš nízka?

Ak pri samohodnotení zistíte, že vaša spoločnosť má v oblasti informačnej bezpečnosti ešte čo doháňať, žiadosť o posúdenie zatiaľ nemá zmysel. Odporúča sa najprv odstrániť zistené nedostatky a až potom zvážiť audit.

Ako dlho trvajú jednotlivé posúdenia?

Odpoveď na otázku o trvaní jednotlivých posúdení závisí od veľkosti vašej spoločnosti a od ciest spojených s auditom vašich pracovísk. Pri priemernej veľkosti spoločnosti postačujú na proces posudzovania 2 - 3 dni na mieste.

Ako dlho trvá, kým sa spoločnosť považuje za certifikovanú?

Celý proces auditu TISAX® môže trvať maximálne deväť mesiacov. Začína sa úvodným auditom a končí sa posledným následným auditom. Ak sa proces hodnotenia nepodarí ukončiť v stanovenom období, značku TISAX® nedostanete.

Ak vaša spoločnosť spĺňa všetky kritériá alebo vykazuje len menšie nezhody, správa o posúdení sa predloží spoločnosti ENX. Hneď po jej prijatí dostanete (dočasnú) značku TISAX®. Ak sa vyskytnú závažné nezhody, ktoré sa musia najprv odstrániť, etiketa je platná odo dňa, keď sa nezhoda považuje za odstránenú.

Otázky a odpovede o systéme TISAX®: Čo sú to štítky TISAX®?

Štítky sú výsledkom procesu posudzovania a sumarizujú váš výsledok. Sú navzájom hierarchicky prepojené. To znamená, že ak získate určitý štítok, automaticky získate aj "štítky pod ním". Štítky je možné zobraziť len na portáli ENX. Ich platnosť je zvyčajne tri roky.

Čo sú to závažné a menej závažné nezhody?

O závažnej nezhode hovoríme vtedy, keď nezhoda vyvoláva pochybnosti o celkovej účinnosti vášho systému riadenia bezpečnosti informácií alebo keď spôsobuje významné riziká pre bezpečnosť informácií. Ide napríklad o prípad, keď sa vyžaduje dvojfaktorová identifikácia a tá ešte nebola zavedená.

O menej závažnú nezhodu ide napríklad vtedy, ak nezhoda nevyvoláva pochybnosti o celkovej účinnosti vášho systému riadenia bezpečnosti informácií ani nepredstavuje významné riziko pre bezpečnosť informácií v automobilovom priemysle. Ide napríklad o ojedinelé alebo sporadické chyby a nedostatky v implementácii.

Musím predložiť aj dôkazy o účinnosti jednotlivých opatrení?

Odpoveď znie "áno". Po vytvorení katalógu opatrení a ich implementácii sa overí ich účinnosť. Z tohto dôvodu sa v certifikačnom procese stanovuje aj obdobie deviatich mesiacov.

Ako môžem určiť počet zamestnancov "vopred"?

Konkrétne: Ako môžem vopred určiť presný počet zamestnancov, ak ďalší zamestnanci môžu byť prijatí až po podpise zmluvy s naším klientom?

Rozsah, do ktorého sa zaraďujú zamestnanci pre TISAX®, je podstatne väčší ako pre medzinárodnú normu ISO 27001. TISAX® klasifikuje počet zamestnancov napríklad v rozsahu 0-50, 51-150 atď. Ak teda približne viete, koľko nových zamestnancov bude prijatých, môžete sa zaradiť do príslušného rozsahu.

Koľko dokladov by malo byť k dispozícii, aby sa dosiahol súlad so systémom TISAX®?

Tu nie je možné urobiť všeobecné vyhlásenie. Vždy to závisí od veľkosti a činnosti vašej spoločnosti. Teoreticky môžete všetko obsiahnuť v jednom dokumente, pokiaľ máte jasný prehľad. Odporúča sa však vytvoriť niekoľko dokumentov, ktoré pokrývajú súvisiace témy.

Nahradí systém TISAX® ochranu prototypu VDA?

Keďže TISAX® obsahuje samostatný modul pre ochranu prototypov, ktorý sa venuje jednotlivým kritériám oveľa podrobnejšie, ako tomu bolo doteraz, možno predpokladať, že z dlhodobého hľadiska TISAX® nahradí predchádzajúce súbory pravidiel pre bezpečnosť informácií v automobilovom priemysle. V súčasnosti je však stále platná verzia 3.0 VDA o ochrane prototypov z roku 2018.

Otázky a odpovede o systéme TISAX® - Čo pre mňa môže urobiť DQS?

Spoločnosť DQS je uvedená v zozname ENX ako schválený poskytovateľ audítorských služieb a môže vykonávať posúdenia na celom svete. Mnohí naši TISAX^® audítori sú zároveň schválenými audítormi pre medzinárodnú normu ISO 27001, čo znamená, že obe normy môže DQS posudzovať súčasne a bez väčšieho úsilia. Naši odborníci vám radi odpovedia na vaše otázky týkajúce sa bezpečnosti informácií v automobilovom priemysle. Tešíme sa na rozhovor s vami.

Odbornosť a dôvera

Naše odborné články píšu výlučne naši interní odborníci na normy a dlhoroční audítori. Ak máte akékoľvek otázky týkajúce sa obsahu alebo našich autorov, neváhajte nás kontaktovať.