Bezbednost informacija u automobilskoj industriji
Međusobno prepoznavanje među svim učesnicima TISAX-a®
Dobavljači i pružaoci usluga nakon ocenjivanja dobijaju veće poverenje u vašu organizaciju
Procena za TISAX sertifikaciju® odvija se na svake tri godine
Ušteda vremena i troškova učešćem u TISAX® mreži
Osnovne informacije o TISAX® ocenjivanju
Pored toga, odgovorna tela u Nemačkom udruženju automobilske industrije (VDA) stvorila su uslove za uspostavljanje zajedničkog mehanizma ocenjivanja i razmene pod nazivom TISAX® (Trusted Information Security Assessment eXchange). TISAX® je registrovani zaštitni znak udruženja ENX. Asocijacija evropskih proizvođača automobila, dobavljača automobila i automobilskih udruženja prati kvalitet TISAX® ocena i kontroliše odobrenje dobavljača TISAX® auditorskih usluga.
Više od 10.000 lokacija je sada ocenjeno prema zahtevima TISAX®, što ovaj standard čini drugim najšire primenjenim skupom pravila za bezbednost informacija širom sveta posle ISO 27001. VDA i ENX su formirali međunarodne radne grupe za TISAX® i ISA katalog za dalji razvoj standarda. Istovremeno, ovo promoviše bližu saradnju sa svetskom automobilskom industrijom. Sa TISAX-om 6.0, ažurirani obrazac postupka ocenjivanja i razmene objavljen je u jesen 2023. godine.
TISAX® 2.2 - Obavezan od 1. aprila 2024. – Napomene o tranziciji
Novi ISA katalog 6.0 je važna prekretnica za TISAX®. Katalog ocene dovodi do prilagođavanja zahteva za pružaoce audita, koji su definisani u TISAX® ACAR 2.2 propisima. Promena glavnog jezika u engleski naglašava globalnu perspektivu i zajedničke napore za razvoj širom sveta. Planirani su dalji prevodi TISAX VDA 6.0.
Najvažnije promene u novom ISA katalogu 6.0 su
Promene bezbednosnih oznaka:
- Oznakabezbednost informacija je zamenjena nalepnicama dostupnosti i poverljivosti. U zavisnosti od vaše uloge u lancu snabdevanja, dostupnost ili poverljivost ili oboje mogu biti relevantni za vas.
– Postojeća oznaka „Visoka bezbednost informacija“ biće zamenjena kombinovanim oznakama „Velika dostupnost“ i „Visoka poverljivost“. Isto važi i za postojeću oznaku „Veoma visoka bezbednost informacija“. Biće zamenjen sa „Veoma visoka dostupnost“ i „Stroga poverljivost“.
- Obe oznake moraju da ispunjavaju isti skup osnovnih zahteva. Pored toga, svaka etiketa ima posebne zahteve za visoke i veoma visoke potrebe zaštite. Proces ocene je vođen etiketama, uzimajući u obzir vašu ulogu u lancu snabdevanja. Stoga je vredno proveriti sa svojim klijentima koje oznake su relevantne za vašu ulogu.
Povećan fokus na bezbednost informacija i OT sisteme u lancu snabdevanja
– Relevantne kompanije u lancu snabdevanja moraju ispuniti zahteve „visoke dostupnosti” ili „veoma visoke dostupnosti”.
- Naglasak na sistemima operativne tehnologije (OT) u proizvodnji i drugim oblastima u TISAX® oceni.
- Reference na IEC 62443-2-1 i novi zahtevi ISA kataloga promovišu OT fokus.
- Uključivanje industrijskih komunikacionih i kontrolnih sistema (IACS).
- Kompanije u ovoj kategoriji moraju da pokažu adekvatnu zaštitu osetljivih podataka u razvoju i proizvodnji.
– Mnogi zahtevi se preklapaju sa „visokom osetljivošću“ ili „vrlo visokom osetljivošću“.
- Kompanije u lancu snabdevanja koje nisu veoma relevantne, ali su im poverene osetljive informacije, moraju da pokažu da se te informacije mogu adekvatno zaštititi.
- Oznake "Visoka poverljivost" ili "Stroga poverljivost" se koriste za izbor TISAX® zahteva koji doprinose ovom cilju zaštite.
- Glavna svrha selektivne ocene koja je gore opisana je da obezbedi da kompanije moraju da ispune samo zahteve ISA kataloga koji su relevantni za njihovu ulogu.
Novi izazovi za proizvodne kompanije
- OT sistemi moraju biti predmet upravljanja sličnog onom koji je generalno potreban za TISAX® IT sisteme.
- Kao rezultat toga, OT u upravljanju imovinom je identifikovan sa svojim specifičnim rizicima, analiziran na potencijalne ranjivosti, kojim upravljaju kompetentni zaposleni, podvrgnut je procesima usaglašenim sa ISMS-om za daljinsko održavanje i drugim najboljim praksama upravljanja.
Kako funkcioniše TISAX®?
Kompanija takođe može da preuzme obe uloge učesnika. Svi koji žele da učestvuju u TISAX-u® kao saradnik za informacije moraju da preduzmu sledeća četiri glavna koraka:
- 1. Registrujte se online na www.enx.com/TISAX
- 2. Izaberite dobavljača usluga nadzora koji je odobrio ENX, kao što je DQS
- 3. Sprovedite TISAX® procenu
- 4. Razmenite rezultate audita na TISAX® onlajn platformi.
Zašto je TISAX® ocena korisna za moju kompaniju?
- Duplikati i višestruke procene različitih kupaca mogu se izbeći
- Međukompanijsko priznavanje procena bezbednosti informacija za učesnike TISAX-a®
- Pouzdanost rezultata zahvaljujući usaglašenom VDA ISA test kataloga
- Jačanje poverenja u kompanije sa TISAX® oznakom
Nakon uspešno sprovedene ocene dobićete oznaku TISAX® na TISAX® onlajn platformi. Ova oznaka je zamena za sertifikat i služi za jačanje poverenja u vašu kompaniju i potvrdu vaših napora da obezbedite bezbednost informacija.
Kako TISAX® funkcioniše?
If a company is interested in your TISAX results, it can register with ENX as an "Information Consumer". You can decide for each Information Consumer whether you want to share your current TISAX status with them.
Ako je kompanija zainteresovana za vaše TISAX rezultate, može se registrovati kod ENX-a kao „Korisnik informacija“. Možete odlučiti za svakog pojedinačnog zainteresovanog korisnika informacija da li želite da podelite svoj trenutni TISAX status sa njima.
Kako funkcioniše TISAX® ocena?
Pre nego što počnete sa TISAX® ocenom, vaša kompanija mora da definiše jasan obim. Ovo uključuje nivo ocene, koji definiše specifične zahteve za ocenjivanje. Ovi zahtevi mogu uključivati obezbeđivanje „dostupnosti“ proizvodnih kapaciteta, garantovanje „poverljivosti“ poverenih informacija ili obezbeđenje „delova prototipa“ i „ličnih podataka“. Ovi osnovni kriterijumi se primenjuju na sve lokacije u okviru obima sertifikacije.
Ključni izazov je kombinovanje sajtova sa sličnim zahtevima u jedan opseg. DQS može da pruži dragocene smernice za dizajn o tome da li treba da bude jedan sveobuhvatan opseg ili više opsega. U principu, postoje prednosti kombinovanja lokacija pod jednim obimom u vidu mogućeg smanjenja napora audita ako sve lokacije rade pod centralizovanim ISMS-om.
Kao učesnik TISAX-a®, morate se prvo registrovati na mreži. ENX će tada dodeliti ID obima sertifikacije. Imajte na umu da postoje naknade za usluge povezane sa ovim procesom registracije, koje će se naplaćivati za svaku lokaciju u okviru vašeg delokruga.
U prvom koraku birate odobrenog provajdera auditorskih usluga. U drugom koraku, postoji početak, pregled dokumenta (samo-ocena, ne na licu mesta) i naknadna ocena (nivo 2: nije na licu mesta, nivo 3: na licu mesta).
Imajte na umu: Postoji alternativni metod za sprovođenje ocene na Nivou ocene 2. Umesto provere verodostojnosti, vaš pružalac usluga audita sprovodi potpunu ocenu na daljinu (remote). Ovaj metod se ponekad naziva „Nivo ocene 2.5“. Prednost nivoa ocenjivanja 2.5 je u tome što je pristup metodološki kompatibilan sa Nivoom ocenjivanja 3. Stoga je moguće nadograditi na potpuni nivo ocenjivanja 3 kasnije uz napor kojim se može upravljati.
Nalazi iz audita zabeleženi su u privremenom izveštaju. U slučaju neusaglašenosti, dogovaraju se mere koje će se sprovesti. Po potrebi, sprovođenje mera se utvrđuje u dogovorenom roku. Ova procedura osigurava da se svi identifikovani problemi efikasno i brzo rešavaju.
Kada su neusaglašenosti zatvorene, vrši se pregled efektivnosti da bi se potvrdilo zatvaranje neusaglašenosti i da bi se procenila ukupna efikasnost preduzetih korektivnih mera.
Konačni rezultat će biti objavljen onlajn na ENX® portalu. Vaša kompanija će tada biti navedena kao učesnik u TISAX® procesu sa odgovarajućom oznakom za testiranje. Za razliku od drugih sertifikacija, ne postoji TISAX® sertifikat.
Koja je cena TISAX® audita?
Ciljevi zaštite se, na primer, odnose na to da li želite da uključite teme kao što su zaštita prototipa ili zaštita podataka u procenu. Ako želite da se uključite u TISAX® proceduru, razgovarajte sa DQS-om, vašim odobrenim dobavljačem usluga audita, što je pre moguće. Ovo je jedini način da utvrdimo tačan obračun za opseg procene i obezbedimo vam pouzdanu ponudu za troškove vaše TISAX sertifikacije®.
Šta možete očekivati od nas
- Više od 35 godina iskustva u sertifikaciji sistema menadžmenta i procesa
- Međunarodno priznati sertifikati
- Vrhunska podrška od strane naših specijalista - na lokalnom, nacionalnom i međunarodnom nivou
- Pojedinačne ponude sa fleksibilnim uslovima ugovora bez skrivenih troškova