TISAX® - Odgovori na važna pitanja

SADRŽAJ 

• Šta znači TISAX®?
• Koje su prednosti TISAX®-a?
• Ko nadgleda TISAX®?
• Šta je nivo procene?
• Da li je TISAX® takođe namenjen neproizvodnim kompanijama?
• TISAX® sertifikat bez zahteva kupaca?
• Da li je sadržaj TISAX®-a analogan ISO 27001?
• Da li se preporučuje kombinovana provera TISAX® i ISO 27001?
• Kako da definišem obim procene TISAX®?
• Koliko dugo traju pojedinačne procene?
• Šta su veće i manje neusaglašenosti?
• Da li će TISAX® zameniti VDA zaštitu prototipa?
• Šta DQS može učiniti za mene?

Šta znači TISAX®?

TISAX^® - Razmena pouzdane procene bezbednosti informacija 

TISAX^® je uobičajena procedura procene i razmene za automobilski sektor. Zasnovan je na upitniku o bezbednosti informacija (ISA – Information Securiti Assessment) koji je razvila VDA radna grupa „Bezbednost informacija“, a koji su prve koristile kompanije članice Nemačkog udruženja automobilske industrije (VDA) za provere dobavljača i usluga. Provajderi u čijim kompanijama se obrađuju osetljive informacije. Verzija 5.0 VDA ISA upitnika je dostupna od jula 2020. Od 1. oktobra 2020. ova verzija je obavezna za sve nove TISAX® provere. Rad sa novim TISAX® 5.1 katalogom provere sada bi trebalo da bude lakši i efikasniji – i za korisnike i za ocenjivače.

Pored toga, TISAX® je zasnovan na osnovnim zahtevima međunarodno priznatog standarda za bezbednost informacija: ISO 27001. Primenljiv je u svim industrijama i definiše zahteve, pravila i metode za obezbeđivanje bezbednosti informacija unutar kompanije. Standard u svojim zahtevima prevazilazi zaštitu IT tehničkih sistema i obuhvata svu korporativnu imovinu vrednu zaštite, npr. prostorije, bezbednosne kontrole i arhive. Drugim rečima: ISO 27001 obezbeđuje zaštitu svih informacija koje su od vrednosti za organizaciju.

Koje su prednosti TISAX®-a?

• TISAX^® stvara ujednačen nivo bezbednosti informacija u automobilskoj industriji
• Rezultati ocenjivanja su priznati u svim kompanijama među svim TISAX® učesnicima, što dovodi do većeg poverenja u ocenjivanje kompanije
• Nepotrebno dupliranje i višestruke provere se izbegavaju kroz međusobno priznavanje u TISAX® mreži
• Provera za TISAX® sertifikaciju se obavlja samo svake tri godine, što štedi vreme i novac

Ko nadgleda TISAX®?

TISAX® je registrovani zaštitni znak ENX Association, sa sedištem u Frankfurtu na Majni i Parizu. Kao neutralnom telu, poverava mu se implementacija TISAX®-a. ENX je udruženje evropskih proizvođača, dobavljača automobila i četiri nacionalna automobilska udruženja, uključujući VDA, koja je osnovala ENX 2000. ENX Udruženje prati kvalitet implementacije i daje odobrenje pružaocima usluga provere prema strogoj proceduri. DQS je naveden kod ENX-a kao odobreni dobavljač usluga provere i može da vrši provere širom sveta. Naši stručnjaci su uvek na raspolaganju da odgovore na vaša pitanja.

U cilju postizanja međusobnog priznavanja provere od strane učesnika, ENX zaključuje odgovarajuće ugovore sa svim odobrenim pružaocima usluga provere kao i sa učesnicima u TISAX® mreži. Kroz standardizaciju i praćenje kvaliteta, ENX postiže opšte priznanje rezultata ocenjivanja među svim učesnicima. Izbegava se nepotrebno dupliranje i višestruke provere.

Pitanja i odgovori o TISAX®-u: Šta je nivo provere?

TISAX^® razlikuje tri nivoa provere (zahteva zaštite), u zavisnosti od zahtevane zaštite: normalan (nivo 1), visok (nivo 2) i veoma visok (nivo 3). Metod provere i napor provere zavise od toga.

Level 1: Samoprocena bez provere verodostojnosti, obično samo za interne svrhe. Ovi rezultati ocenjivanja imaju samo ograničen značaj i ne koriste se u TISAX®.

Level 2: Provera verodostojnosti vaše samoprocene od strane dobavljača usluga provere kao što je DQS. Ove provere bezbednosti informacija se obično sprovode kao telefonska konferencija, a ne kao provere na licu mesta - osim ako se primenjuje jedan od ciljeva provere zaštite prototipa ili vi to eksplicitno zahtevate.

Level 3: Provera verodostojnosti vaše samoprocene od strane dobavljača usluga provere kroz dubinsku, sveobuhvatnu proveru na licu mesta.

Da li je uvođenje TISAX®-a neophodno i za neproizvodne kompanije?

Odgovor na ovo pitanje zavisi od konteksta vašeg poslovanja: da li ćete morati da primenite TISAX® ili ne zavisi od vašeg OEM (proizvođača originalne opreme), ili da li oni zahtevaju da dostavite ovaj dokaz o bezbednosti informacija. Osim ako vam se proizvođač automobila posebno ne obrati, ili ako vidite promenu u uslovima korišćenja, preporučuje se da sačekate i vidite. U prošlosti su kompanije kontaktirane od strane OEM-a u vezi sa zahtevima za dalju saradnju kada je to potrebno. Međutim, na vama je naravno da se proaktivno raspitate kod svojih partnera u automobilskoj industriji.

Da li ima smisla težiti TISAX® sertifikaciji čak i bez zahteva kupaca?

Zauzimanje proaktivnog pristupa temi bezbednosti informacija generalno ima mnogo smisla ovih dana, i to ne samo za dobavljače u automobilskoj industriji. Ako vaš OEM (još) ne precizira koja TISAX® oznaka se očekuje od vas, dobra je ideja da pokažete nivo 3 (Nivo ocene 3: veoma visoka bezbednost informacija). Na ovaj način ste spremni za sve buduće zahteve bez potrebe za dupliranjem posla. Alternativno, globalno priznati standard ISO/IEC 27001 nudi dobar, međuindustrijski uvod u bezbednost informacija.

Da li je sadržaj TISAX®-a analogan ISO 27001?

TISAX® katalog provere je izveden iz međunarodnog standarda ISO 27001 i oslanja se na „kontrole“ (mere) definisane u njemu. Oni opisuju kako se odgovarajući zahtevi (moraju, treba) mogu primeniti, kako procesi treba da budu obezbeđeni i koji alati se mogu koristiti. Ključna razlika između ova dva standarda je u tome što TISAX® zahteva određeni nivo zrelosti da bi se dostigao.

Da li se preporučuje kombinovana provera TISAX® i ISO 27001?

Kombinovana provera je definitivno moguća i može je izvršiti DQS u bilo kom trenutku. Svi TISAX® auditori u DQS-u su takođe ovlašćeni proveravači za ISO 27001, što znači da obe provere bezbednosti informacija mogu da se izvrše istovremeno uz malo dodatnih napora.

Da li moram da budem sertifikovan prema ISO 27001 pre TISAX®?

Odgovor na ovo pitanje je: Ne. Zato što ne postoji zahtev da sertifikovani sistem upravljanja bezbednošću informacija u skladu sa ISO 27001 već mora postojati. Za TISAX® proveru potrebno je samo da dokažete da radite u skladu sa sistemom upravljanja bezbednošću informacija i da se odgovarajući procesi i procedure stabilno sprovode u kompaniji. Ovu proveru vrši ocenjivač, koji takođe koristi dokumente za određivanje nivoa zrelosti.

Koje su prednosti već posedovanja ISO 27001 sertifikata?

Ako već možete da pružite dokaz o ISO 27001 sertifikatu, ovo je naravno uvek prednost. Ako samo zato što za TISAX® morate da dokažete da imate implementirano upravljanje bezbednošću informacija i da oba skupa pravila imaju sličnu pokrivenost.

Ali imajte na umu: definicija obima provere TISAX® može se razlikovati od definicije potrebne za ISO 27001 sertifikaciju. Osnovni koncepti nisu identični. Za veće organizacije može se takođe razmotriti registracija višestrukih opsega provere.

Da li je „definicija procesa“ ISO 9001 analogna TISAX®?

Odgovor na ovo pitanje je "da". U principu, definicija i struktura procesa u odgovarajućim skupovima pravila je uvek ista. TISAX® katalog procene takođe sasvim konkretno navodi iz kojih kontrolnih KPI se moraju odrediti, a od kojih ne smeju. Kreiranje KPI-a je potkrepljeno primerima kako bi se osigurala sigurnost informacija u automobilskoj industriji. Pogled na VDA ISA upitnik zato pomaže pri početnom pregledu.

Da li se za implementaciju TISAX®-a preporučuje službenik za IT bezbednost?

Nije obavezno da osoba odgovorna za uvođenje TISAX®-a dolazi iz IT odeljenja. Međutim, pošto su uključeni procesi podržani IT-om, izvesno IT znanje je definitivno korisno.

Kako da definišem TISAX® opseg ocenjivanja?

ENX nudi standardni opseg koji usvaja 90% svih TISAX® učesnika. Podrazumevani opseg je unapred definisan i ne može se promeniti. Ako tokom pripreme za ocenu utvrdite da standardni obim ne odgovara, možete prilagoditi obim svog ispita pod određenim okolnostima. U pojedinačnim slučajevima, proizvođači originalne opreme mogu zahtevati prošireni obim. Međutim, ovi posebni slučajevi su retki i odgovarajući OEM će o njima detaljno razgovarati sa vama. Obično je dovoljan standardni opseg. To je osnova za TISAX® ocenjivanje i prihvataju je svi učesnici.

Da li je jedan opseg ocene dovoljan za sve sajtove?

Jedinstveni opseg koji obuhvata sve sajtove nudi prednosti, ali i nedostatke.

Prednosti

• Samo jedan rezultat ocenjivanja, jedan izveštaj o ocenjivanju, jedan datum isteka
• Smanjeni troškovi, jer centralni procesi, procedure i resursi treba da se provere samo jednom

Nedostaci

• Rezultat provere je dostupan tek nakon što se ocene sve lokacije
• Rezultat provere zavisi od toga da sve lokacije prođu proveru, odnosno ako samo jedna lokacija ne prođe proveru, nećete dobiti pozitivan rezultat provere

Može li se izolovati obim provere, npr. na „zaposlene kritične za bezbednost“?

ENX na ovo pitanje o TISAX®-u odgovara nedvosmisleno: Svi zaposleni koji dolaze u kontakt sa osetljivim informacijama iz automobilske industrije moraju biti uključeni u delokrug. To takođe može biti, na primer, rukovalac mašinama koji radi sa planom izgradnje kupca. Vaša kompanija mora sama da definiše koji zaposleni su uključeni u procese koji su relevantni za bezbednost informacija.

Da li je tačno da se kod ENX-a prvo mora predati prijava za TISAX® proveru i tek onda može biti izabran dobavljač usluge provere?

Da, ovo je tačno. Nakon vaše onlajn registracije na www.enk.com/tisak/ i odobrenja obima ocenjivanja od strane ENX-a, dobićete listu svih odobrenih provajdera usluga ocenjivanja. Takođe možete unapred pogledati listu na ENX-u. DQS je naveden kao dobavljač usluga u ENX-u i može da vrši provere širom sveta. Za pitanja i odgovore u vezi sa sigurnošću informacija u automobilskoj industriji, slobodno kontaktirajte naše stručnjake.

Da li ispitivanje uopšte ima smisla ako je nivo zrelosti prenizak?

Ako u samoproveru utvrdite da vaša kompanija još ima nešto da nadoknadi u pogledu bezbednosti informacija, zahtev za proveru za sada nema smisla. Preporučuje se da prvo zatvorite identifikovane nedostatke, a zatim razmotrite proveru.

Koliko dugo traju pojedinačne procene?

Odgovor na pitanje o trajanju pojedinačnih provera zavisi od veličine vaše kompanije i putovanja uključenih u proveru vaših sajtova. Za prosečnu veličinu kompanije, 2-3 dana na licu mesta su dovoljna za proces ocenjivanja.

Koliko vremena je potrebno da se kompanija smatra sertifikovanom?

Ceo proces provere TISAX® može trajati najviše devet meseci. Počinje početnom proverom i završava se poslednjom naknadnom proverom. Ako se proces provere ne može završiti u navedenom periodu, nećete dobiti TISAX® oznaku.

Ako vaša kompanija ispunjava sve kriterijume ili pokazuje samo manje neusaglašenosti, izveštaj o proveri se dostavlja ENX-u. Čim ovo bude prihvaćeno, dobićete svoju (privremenu) TISAX® etiketu. Ako postoje veće neusaglašenosti koje se prvo moraju otkloniti, oznaka važi od dana kada se smatra da je neusaglašenost otklonjena.

Pitanja i odgovori o TISAX®: Šta su TISAX® oznake?

Oznake su rezultat procesa ocenjivanja i sumiraju vaš rezultat. Oni su hijerarhijski povezani jedni sa drugima. tj. ako dobijete određenu oznaku, automatski dobijate "oznake ispod" nje. Etikete se mogu pogledati samo na ENX portalu. Njihov rok važenja je obično tri godine.

Šta su veće i manje neusaglašenosti?

Velika neusaglašenost je kada neusaglašenost izaziva sumnju u ukupnu efikasnost vašeg sistema upravljanja bezbednošću informacija ili kada uzrokuje značajne rizike za bezbednost informacija. Ovo je slučaj, na primer, ako je potrebna dvofaktorska identifikacija, a to još nije sprovedeno.

Manja neusaglašenost postoji, na primer, ako neusaglašenost niti dovodi u pitanje ukupnu efikasnost vašeg sistema upravljanja bezbednošću informacija niti predstavlja značajan rizik za bezbednost informacija u automobilskoj industriji. Na primer, izolovane ili sporadične greške i nedostaci u implementaciji.

Da li je potrebno da dostavim i dokaze o efikasnosti pojedinačnih mera?

Odgovor je "da". Nakon što napravite svoj katalog mera i primenite ih, njihova efikasnost će biti verifikovana. Iz tog razloga, proces sertifikacije takođe predviđa period od devet meseci.

Kako mogu da odredim broj zaposlenih „unapred“?

Konkretno: Kako mogu unapred da odredim tačan broj zaposlenih ako se dodatni zaposleni ne mogu angažovati tek nakon potpisivanja ugovora sa našim klijentom?

Opseg u kojem su zaposleni klasifikovani za TISAX® je znatno veći nego za međunarodni standard ISO 27001. TISAX® klasifikuje broj zaposlenih, na primer, u 0-50, 51-150 itd. Dakle, ako znate otprilike kako, biće angažovano mnogo novih zaposlenih, možete se postaviti u odgovarajući rang.

Koliko dokumenata treba da bude dostupno da bi se uskladio sa TISAX®?

Ovde nije moguće dati opštu izjavu. Uvek zavisi od veličine i aktivnosti vaše kompanije. Teoretski, sve možete pokriti u jednom dokumentu, sve dok imate jasan pregled. Međutim, preporučljivo je napraviti nekoliko dokumenata koji pokrivaju srodne teme.

Da li će TISAX® zameniti VDA zaštitu prototipa?

Budući da TISAX® uključuje poseban modul za zaštitu prototipa, koji ulazi u mnogo više detalja o pojedinačnim kriterijumima nego što je to bio ranije slučaj, može se pretpostaviti da će dugoročno TISAX® zameniti prethodne skupove pravila za bezbednost informacija u automobilskoj industriji. Trenutno, međutim, verzija VDA prototipa zaštite 3.0 iz 2018. još uvek važi.

Pitanja i odgovori o TISAX® - Šta DQS može učiniti za mene?

DQS je naveden kod ENX-a kao odobreni dobavljač usluga provere i može da vrši ocenjivanje širom sveta. Svi naši TISAX ® proveravači su takođe odobreni ocenjivači za međunarodni standard ISO 27001, što znači da DQS može ocenjuje oba standarda u isto vreme i uz malo dodatnih napora. Naši stručnjaci će rado odgovoriti na vaša pitanja o bezbednosti informacija u automobilskoj industriji. Radujemo se razgovoru sa vama.

Stručnost i poverenje

Naše tehničke članke pišu isključivo naši interni stručnjaci za standarde i dugogodišnji proveravači. Ako imate bilo kakvih pitanja u vezi sa sadržajem ili našim autorima, slobodno nas kontaktirajte.