TISAX® - Svar på viktiga frågor

INNEHÅLL

• Vad står TISAX® för?
• Vilka är fördelarna med TISAX®?
• Vem övervakar TISAX®?
• Vad är en bedömningsnivå?
• Är TISAX®också för företag som inte är tillverkande?
• TISAX®-certifiering utan krav från kunden?
• Är innehållet i TISAX® analogt med ISO 27001?
• Är en combinerad revision av TISAX® och ISO 27001 rekommenderas?
• Hur definierar jag omfattningen av TISAX®-bedömningen?
• Hur lång tid tar de enskilda bedömningarna?
• Vad är större och mindre avvikelser?
• Kommer TISAX® att ersätta VDA-prototypskydd?
• Vad kan DQS göra för mig?

Vad står TISAX® för?

TISAX® - Trusted Information Security Assessment eXchange (utbyte av tillförlitliga bedömningar av informationssäkerhet).

TISAX® är ett gemensamt bedömnings- och utbytesförfarande för fordonssektorn. Det bygger på ett frågeformulär om informationssäkerhet (ISA - Information Security Assessment) som utvecklats av VDA:s arbetsgrupp "Informationssäkerhet" och som först användes av medlemsföretagen i den tyska sammanslutningen för fordonsindustrin (VDA) för revisioner av leverantörer och tjänsteleverantörer i vars företag känslig information behandlas. Version 5.0 av VDA ISA-frågeformuläret har varit tillgänglig sedan juli 2020. Sedan den 1 oktober 2020 är denna version obligatorisk för alla nya TISAX-formulär.^®-bedömningar.

Dessutom bygger TISAX® på väsentliga krav i den internationellt erkända standarden för informationssäkerhet: ISO 27001. Den är tillämplig inom alla branscher och definierar krav, regler och metoder för att säkerställa informationssäkerheten inom ett företag. I sina krav sträcker sig standarden längre än till skyddet av tekniska IT-system och omfattar alla företagstillgångar som är värda att skyddas, t.ex. lokaler, säkerhetskontroller och arkiv. Med andra ord: ISO 27001 säkerställer skyddet av all information som är värdefull för en organisation.

Vilka är fördelarna med TISAX®?

• TISAX® skapar en enhetlig informationssäkerhetsnivå inom fordonsindustrin.
• Utvärderingsresultaten erkänns företagsövergripande bland alla TISAX®-deltagare, vilket leder till större förtroende för de granskade företagen.
• Onödiga dubbla och flera revisioner undviks genom ömsesidigt erkännande i TISAX®-nätverket.
• Bedömningen för TISAX®-certifiering sker endast vart tredje år, vilket sparar tid och pengar.

Vem övervakar TISAX®?

TISAX® är ett registrerat varumärke som tillhör ENX Association med säte i Frankfurt am Main och Paris. I egenskap av neutralt organ har den anförtrotts genomförandet av TISAX®. ENX är en sammanslutning av europeiska fordonstillverkare, leverantörer och fyra nationella fordonsföreningar, inklusive VDA, som grundade ENX år 2000. ENX-föreningen övervakar kvaliteten på genomförandet och godkänner leverantörer av bedömningstjänster enligt ett strikt förfarande. DQS är listad hos ENX som en godkänd leverantör av revisionstjänster och kan utföra bedömningar över hela världen. Våra experter är alltid tillgängliga för att besvara dina frågor.

För att uppnå ett ömsesidigt erkännande av bedömningarna av deltagarna ingår ENX motsvarande avtal med alla godkända leverantörer av revisionstjänster samt med deltagarna i TISAX®-nätverket. Genom standardisering och kvalitetsövervakning uppnår ENX ett gemensamt erkännande av bedömningsresultaten bland alla deltagare. Onödiga dubbla och flera bedömningar undviks.

Frågor och svar om TISAX®: Vad är en bedömningsnivå?

ITISAX® skiljer man mellan tre bedömningsnivåer (skyddskrav), beroende på vilket skydd som krävs: normalt (nivå 1), högt (nivå 2) och mycket högt (nivå 3). Granskningsmetoden och granskningsinsatsen beror på detta.

Nivå 1: Självbedömning utan rimlighetskontroll, vanligtvis endast för interna ändamål. Dessa bedömningsresultat har endast begränsad betydelse och används inte i TISAX®.

Nivå 2: Plausibilitetskontroll av din självbedömning av en leverantör av revisionstjänster, till exempel DQS. Dessa informationssäkerhetsrevisioner genomförs vanligtvis som en telefonkonferens, inte som revisioner på plats - såvida inte ett av målen för prototypskyddsrevisionen är tillämpligt eller om du uttryckligen begär detta.

Nivå 3: Plausibilitetskontroll av din självbedömning av en leverantör av revisionstjänster genom en djupgående, omfattande revision på plats.

Är införandet av TISAX® också ett måste för företag som inte är tillverkningsföretag?

Svaret på denna fråga beror på sammanhanget i din verksamhet: Om du behöver införa TISAX® eller inte beror på din OEM (original equipment manufacturer), eller om de kräver att du ska tillhandahålla detta bevis på informationssäkerhet. Om inte biltillverkaren specifikt vänder sig till dig eller om du ser en ändring i användarvillkoren rekommenderas att du väntar och ser. Tidigare har företagen kontaktats av OEM-företaget om kraven för ytterligare samarbete vid behov. Men det är naturligtvis upp till er att proaktivt fråga era partner inom bilindustrin.

Är det meningsfullt att sträva efter TISAX®-certifiering även utan kundkrav?

Att ta ett proaktivt grepp om ämnet informationssäkerhet är generellt sett mycket vettigt i dag, och inte bara för leverantörer inom fordonsindustrin. Om din OEM (ännu) inte anger vilken TISAX®-märkning som förväntas av dig är det en bra idé att visa upp nivå 3 (bedömningsnivå 3: mycket hög informationssäkerhet). På så sätt är du förberedd för alla framtida krav utan att behöva göra dubbelt arbete. Alternativt erbjuder den globalt erkända standarden ISO/IEC 27001 en bra, branschövergripande introduktion till informationssäkerhet.

Är innehållet i TISAX® analogt med ISO 27001?

TISAX®-bedömningskatalogen är hämtad från den internationella standarden ISO 27001 och bygger på de "kontroller" (åtgärder) som definieras där. De beskriver hur respektive krav (måste, bör) kan genomföras, hur processerna ska säkerställas och vilka verktyg som kan användas. En viktig skillnad mellan de två standarderna är att TISAX® kräver en viss mognadsnivå för att uppnås.

Rekommenderas en kombinerad revision av TISAX® och ISO 27001?

En kombinerad revision är definitivt möjlig och kan när som helst utföras av DQS. Alla TISAX®-revisorer hos DQS är också auktoriserade revisorer för ISO 27001, vilket innebär att båda bedömningarna för informationssäkerhet kan utföras samtidigt med liten extra ansträngning.

Måste jag vara certifierad enligt ISO 27001 före TISAX®?

Svaret på denna fråga är: Nej, eftersom det inte finns något krav på att det redan måste finnas ett certifierat ledningssystem för informationssäkerhet i enlighet med ISO 27001. För TISAX®-bedömningen behöver du bara bevisa att du arbetar enligt ett ledningssystem för informationssäkerhet och att motsvarande processer och förfaranden tillämpas på ett stabilt sätt i företaget. Bedömningen utförs av revisorn, som också använder dokumenten för att tilldela en mognadsnivå.

Vilka är fördelarna med att redan ha en ISO 27001-certifiering?

Om du redan kan visa att du har ett ISO 27001-certifikat är det naturligtvis alltid en fördel. Om inte annat för att man för TISAX®måste bevisa att man har infört en förvaltning av informationssäkerheten och att båda regelverken har en liknande täckning.

Men observera: Definitionen av TISAX®-revisionens omfattning kan skilja sig från den definition som krävs för ISO 27001-certifiering. De underliggande begreppen är inte identiska. För större organisationer kan registrering av flera granskningsområden också övervägas.

Är "processdefinitionen" i ISO 9001 analog med TISAX®?

Svaret på denna fråga är "ja". I princip är definitionen och strukturen av processerna i de motsvarande regelverken alltid densamma. I TISAX®-bedömningskatalogen anges också ganska specifikt från vilka kontroller KPI:er måste fastställas och från vilka de inte får fastställas. Skapandet av KPI:er backas upp med exempel för att säkerställa informationssäkerheten inom fordonsindustrin. En titt på VDA ISA-frågeformuläret hjälper därför till med en första överblick.

Rekommenderas en IT-säkerhetsansvarig för genomförandet av TISAX®?

Det är inte obligatoriskt att den person som ansvarar för införandet av TISAX® kommer från IT-avdelningen. Eftersom det handlar om IT-stödda processer är det dock definitivt fördelaktigt med viss IT-kunskap.

Hur definierar jag omfattningen av TISAX®-bedömningen?

ENX erbjuder en standardomfattning som används av 90 % av alla TISAX®-deltagare. Standardomfattningen är fördefinierad och kan inte ändras. Om du under förberedelserna inför din bedömning upptäcker att standardomfånget inte passar, kan du under vissa omständigheter justera omfattningen av din bedömning. I enskilda fall kan OEM-företag kräva den utökade omfattningen. Dessa specialfall är dock sällsynta och kommer att diskuteras i detalj med dig av respektive OEM. Normalt är standardomfånget tillräckligt. Den utgör grunden för en TISAX® -bedömning och accepteras av alla deltagare.

Räcker det med en bedömningsomfattning för alla anläggningar?

En enda omfattning som omfattar alla anläggningar har fördelar men också nackdelar.

Fördelar

• Endast ett besiktningsresultat, en besiktningsrapport och ett utgångsdatum.
• Minskade kostnader eftersom centrala processer, förfaranden och resurser bara behöver bedömas en gång.

Nackdelar

• Granskningsresultatet är tillgängligt först när alla anläggningar har bedömts.
• Granskningsresultatet är beroende av att alla anläggningar klarar granskningen, dvs. om endast en anläggning inte klarar granskningen får du inget positivt granskningsresultat.

Kan bedömningsområdet isoleras, t.ex. till "säkerhetskritiska anställda"?

ENX svarar entydigt på denna fråga om TISAX® : Alla anställda som kommer i kontakt med känslig information från bilindustrin måste ingå i omfattningen. Detta kan också vara till exempel en maskinoperatör som arbetar med en kunds byggplan. Ditt företag måste självt definiera vilka anställda som är involverade i processer som är relevanta för informationssäkerheten.

Stämmer det att man med ENX först måste lämna in ansökan om en TISAX®-revision och först därefter kan man välja revisionsleverantör?

Ja, det stämmer. När du har registrerat dig online på www.enx.com/tisax/ och ENX har godkänt omfattningen av bedömningen får du en förteckning över alla godkända leverantörer av bedömningstjänster. Du kan dock också se listan i förväg på ENX. DQS är listad som tjänsteleverantör på ENX och kan utföra bedömningar över hela världen. För frågor och svar om informationssäkerhet inom fordonsindustrin, tveka inte att kontakta våra experter.

Är en förfrågan meningsfull överhuvudtaget om mognadsnivån är för låg?

Om du i en självbedömning konstaterar att ditt företag fortfarande har en del att ta igen när det gäller informationssäkerhet, är en begäran om bedömning inte meningsfull för tillfället. Det rekommenderas att ni först åtgärdar de identifierade bristerna och sedan överväger en revision.

Hur lång tid tar de enskilda bedömningarna?

Svaret på frågan om hur lång tid de individuella bedömningarna tar beror på företagets storlek och de resor som krävs för att granska era anläggningar. För ett företag av genomsnittlig storlek räcker 2-3 dagar på plats för bedömningsprocessen.

Hur lång tid tar det för ett företag att betraktas som certifierat?

Hela TISAX®-revisionsprocessen kan ta högst nio månader. Den börjar med den första revisionen och slutar med den sista uppföljningsrevisionen. Om bedömningsprocessen inte kan slutföras inom den angivna perioden får du ingen TISAX®-märkning.

Om ditt företag uppfyller alla kriterier eller endast uppvisar mindre avvikelser lämnas bedömningsrapporten till ENX. Så snart den har godkänts får du din (tillfälliga) TISAX®-märkning. Om det finns större avvikelser som först måste åtgärdas är märket giltigt från och med den dag då avvikelsen anses ha åtgärdats.

Frågor och svar om TISAX®: Vad är TISAX®-etiketter?

Etiketter är resultatet av bedömningsprocessen och sammanfattar ditt resultat. De är hierarkiskt kopplade till varandra. Det vill säga om du får en viss etikett får du automatiskt de "etiketter som ligger under" den. Etiketterna kan endast ses i ENX-portalen. Deras giltighetstid är vanligtvis tre år.

Vad är större och mindre avvikelser?

En större avvikelse är när avvikelsen ger upphov till tvivel om den övergripande effektiviteten hos ditt ledningssystem för informationssäkerhet eller när den orsakar betydande informationssäkerhetsrisker. Detta är till exempel fallet om det krävs tvåfaktorsidentifiering och detta ännu inte har genomförts.

En mindre avvikelse föreligger till exempel om avvikelsen varken ifrågasätter den övergripande effektiviteten hos ditt ledningssystem för informationssäkerhet eller utgör en betydande risk för informationssäkerheten inom fordonsindustrin. Till exempel isolerade eller sporadiska fel och brister i genomförandet.

Måste jag också lämna in bevis för enskilda åtgärders effektivitet?

Svaret är "ja". När du har skapat din åtgärdskatalog och genomfört dem kommer deras effektivitet att verifieras. Av denna anledning föreskrivs i certifieringsprocessen också en period på nio månader.

Hur kan jag bestämma antalet anställda "i förväg"?

Specifikt: Hur kan jag fastställa det exakta antalet anställda i förväg om ytterligare anställda inte får anställas förrän efter det att kontraktet med vår kund har undertecknats?

Det område inom vilket de anställda klassificeras för TISAX® är betydligt större än för den internationella standarden ISO 27001. I TISAX® klassificeras antalet anställda t.ex. i 0-50, 51-150 osv. Så om du vet ungefär hur många nya anställda som kommer att anställas kan du placera dig i ett lämpligt intervall.

Hur många dokument bör finnas tillgängliga för att följa TISAX®?

Det är inte möjligt att göra ett generellt uttalande här. Det beror alltid på företagets storlek och verksamhet. Teoretiskt sett kan man täcka in allt i ett enda dokument, så länge man har en tydlig överblick. Det är dock tillrådligt att skapa flera dokument som täcker relaterade ämnen.

Kommer TISAX® att ersätta VDA-prototypskyddet?

Eftersom TISAX® innehåller en separat modul för prototypskydd, som går in mycket mer i detalj på de enskilda kriterierna än vad som tidigare var fallet, kan man anta att TISAX® på lång sikt kommer att ersätta de tidigare regelverken för informationssäkerhet inom bilindustrin. För närvarande gäller dock fortfarande VDA:s prototypskydd version 3.0 från 2018.

Frågor och svar om TISAX® - Vad kan DQS göra för mig?

DQS är listad hos ENX som en godkänd leverantör av revisionstjänster och kan utföra bedömningar över hela världen. Alla våra TISAX ^®-revisorerär också godkända revisorer för den internationella standarden ISO 27001, vilket innebär att båda standarderna kan bedömas av DQS samtidigt och med liten extra ansträngning. Våra experter svarar gärna på dina frågor om informationssäkerhet inom fordonsindustrin. Vi ser fram emot att prata med dig.

Sakkunskap och förtroende

Våra tekniska artiklar skrivs uteslutande av våra interna standardexperter och långtidsrevisorer. Om du har några frågor om innehållet eller våra författare är du välkommen att kontakta oss.