TISAX® - Merak edilenler

İÇERİK

• TISAX® nedir?
• TISAX®'ın avantajları nelerdir?
• TISAX®'ı kim izler?
• Değerlendirme düzeyi (Assessment Level) nedir?
• TISAX® imalat dışı şirketler için de geçerli mi?
• Müşteri şartı olmadan TISAX® sertifikası?
• TISAX® içeriği ISO 27001'e benzer mi?
• TISAX® ve ISO 27001'in entegre denetimi tavsiye edilir mi?
• TISAX® değerlendirme kapsamını nasıl tanımlarım?
• TISAX denetimi ne kadar sürer?
• Majör ve minör uygunsuzluklar nelerdir?
• TISAX®, mevcut prototip korumasının yerini alacak mı?
• DQS sizin için neler yapabilir?

TISAX® nedir?

TISAX^® - Trusted Information Security Assessment eXchange (Güvenilir Bilgi Güvenliği Değerlendirmesi Değişimi)

TISAX^® Otomotiv sektöründe bulunan ve şirketlerinde hassas bilgilerin işlendiği sağlayıcılar için ortak bir değerlendirme ve değişim prosedürüdür. İlk olarak Alman Otomotiv Endüstrisi Birliği üye şirketleri tarafından tedarikçi ve hizmet denetimleri için kullanılan "Bilgi Güvenliği" çalışma grubu tarafından geliştirilen bir bilgi güvenliği değerlendirmesine dayanmaktadır. Değerlendirme kataloğunun 5.0 versiyonu Temmuz 2020'den beri mevcuttur. 1 Ekim 2020'den bu yana, bu versiyon tüm yeni TISAX® denetimleri için zorunludur.

Buna ek olarak, TISAX® bilgi güvenliği için uluslararası kabul görmüş standart olan ISO 27001'in temel gereksinimlerine dayanmaktadır. Tüm endüstrilerde geçerlidir ve bir şirket içinde bilgi güvenliğini sağlamak için gereksinimleri, kuralları ve yöntemleri tanımlar. Gereksinimlerinde standart, BT teknik sistemlerinin korunmasının ötesine geçer ve binalar, güvenlik kontrolleri ve arşivler gibi korunmaya değer tüm kurumsal varlıkları içerir. Başka bir deyişle: ISO 27001, bir kuruluş için değerli olan tüm bilgilerin korunmasını sağlar.

TISAX®'ın avantajları nelerdir?

• TISAX®, otomotiv endüstrisinde tek tip bir bilgi güvenliği seviyesi yaratır
• Değerlendirme sonuçları, tüm TISAX® katılımcıları arasındaki şirketler arasında tanınır ve denetlenen şirketlere daha fazla güven duyulmasını sağlar
• TISAX® ağındaki karşılıklı tanıma sayesinde gereksiz tekrar ve çoklu denetimlerden kaçınılır
• TISAX® sertifikası değerlendirmesi yalnızca üç yılda bir yapılır, bu da zamandan ve paradan tasarruf sağlar

TISAX®'ı kim izler?

TISAX®, Frankfurt am Main ve Paris merkezli ENX Association'ın tescilli ticari markasıdır. Tarafsız bir kurum olarak, TISAX'ın uygulanmasıyla görevlendirilmiştir. ENX, 2000 yılında ENX'i kuran Avrupalı otomotiv üreticileri, tedarikçileri ve dört ulusal otomotiv derneğinin birliğidir. ENX Derneği, uygulamanın kalitesini izler ve katı bir prosedüre göre değerlendirme hizmeti sağlayıcılarına onay verir. DQS, ENX onaylı bir denetim hizmeti sağlayıcısı olarak listelenmiştir ve dünya çapında değerlendirmeler gerçekleştirebilir. Uzmanlarımız sorularınızı yanıtlamak için her zaman hazırdır.

Denetimlerin katılımcılar tarafından karşılıklı olarak tanınmasını sağlamak için ENX, tüm onaylı denetim hizmeti sağlayıcılarıyla ve TISAX® ağındaki katılımcılarla ilgili sözleşmeler yapar. Standardizasyon ve kalite izleme yoluyla ENX, tüm katılımcılar arasında değerlendirme sonuçlarının ortak olarak tanınmasını sağlar. Gereksiz yinelenen ve birden çok değerlendirmeden kaçınılır.

TISAX® hakkında sorular ve cevaplar: Değerlendirme düzeyi nedir?

TISAX^®, gerekli korumaya bağlı olarak üç değerlendirme seviyesi (koruma gereksinimleri) arasında ayrım yapar: normal (Normal, seviye 1), yüksek (High, seviye 2) ve çok yüksek (Very High, seviye 3). Denetim yöntemi ve denetim çabası buna bağlıdır.

Level 1: Genellikle yalnızca dahili amaçlar için, inandırıcılık kontrolü olmaksızın yapılan bir öz değerlendirmedir. Bu değerlendirme sonuçları yalnızca sınırlı öneme sahiptir ve TISAX®'ta kullanılmaz.

Level 2: DQS gibi bir denetim hizmeti sağlayıcısı tarafından yapılan öz değerlendirmenizin doğruluk kontrolüdür. Bu, bilgi güvenliği denetimleri veya prototip koruma denetimi hedeflerinden biri geçerli olmadıkça veya siz açıkça talep etmedikçe, yerinde denetimler olarak değil, genellikle bir tele konferans/Uzaktan denetim yöntemi ile gerçekleştirilir.

Level 3: Derinlemesine, kapsamlı bir yerinde denetim yoluyla bir denetim hizmeti sağlayıcısı tarafından öz değerlendirmenizin kontrolü yapılır.

TISAX® imalat dışı şirketler için de şart mı?

Bu sorunun cevabı, işinizin içeriğine bağlıdır: TISAX®'i uygulamanız gerekip gerekmediği, OEM'inize (orijinal ekipman üreticisi) veya bu bilgi güvenliği kanıtını sağlamanızı gerektirip gerektirmediğine bağlıdır. 

Müşteri şartı olmadan bile TISAX® değerlendirmesinden geçmek mantıklı mı?

Bilgi güvenliği konusuna proaktif bir yaklaşım benimsemek, bugünlerde yalnızca otomotiv endüstrisindeki tedarikçiler için değil, genel olarak çok mantıklı bir yaklaşımdır. OEM'iniz (henüz) sizden hangi TISAX® etiketinin beklendiğini belirtmiyorsa, 3. Seviyesinde (AL 3, çok yüksek bilgi güvenliği)  bir değerlendirme alıp bunu müşterilerinize göstermek iyi bir fikirdir. Bu şekilde, gelecekte karşınıza çıkabilecek ek isteklere bu günden hazırlık yapmış olursunuz. Alternatif olarak ise, dünya çapında tanınan ISO 27001 standardı, bilgi güvenliğinde sektörler arası iyi bir giriş sunar.

TISAX® içeriği ISO 27001'e benzer mi?

TISAX® değerlendirme kataloğu, uluslararası ISO 27001 standardından türetilmiştir ve burada tanımlanan "kontrollerden" (ölçülerden) yararlanır. İlgili gereksinimlerin (zorunlu, olması gereken) nasıl uygulanabileceğini, süreçlerin nasıl sağlanacağını ve hangi araçların kullanılabileceğini tanımlarlar. İki standart arasındaki temel fark, TISAX®'in ulaşılabilmesi için belirli bir olgunluk düzeyi gerektirmesidir.

TISAX® ve ISO 27001'in entegre denetimi tavsiye edilir mi?

Entegre bir denetim kesinlikle mümkündür ve herhangi bir zamanda DQS tarafından gerçekleştirilebilir. DQS'in tüm TISAX® denetçileri aynı zamanda ISO 27001 için yetkili denetçilerdir; bu, bilgi güvenliğine yönelik her iki değerlendirmenin de az bir ek çabayla aynı anda gerçekleştirilebileceği anlamına gelir.

TISAX®'tan önce ISO 27001 sertifikası almam gerekir mi?

Bu sorunun cevabı: Hayır. Çünkü ISO 27001'e göre sertifikalı bir bilgi güvenliği yönetim sisteminin var olması şartı aranmamaktadır. TISAX® denetimi için yalnızca bir bilgi güvenliği yönetim sistemine göre çalıştığınızı ve ilgili süreç ve prosedürlerin şirkette istikrarlı bir şekilde uygulandığını kanıtlamanız yeterlidir. Bu değerlendirme de, bir olgunluk düzeyi tayin etmek için belgelerinizi ve sisteminizi inceleyecek olan denetçi tarafından gerçekleştirilir.

Halihazırda bir ISO 27001 sertifikasına sahip olmanın avantajları nelerdir?

Halihazırda bir ISO 27001 sertifikasının kanıtını sunabiliyorsanız, bu elbette her zaman bir avantajdır. TISAX® için, uygulanan bir bilgi güvenliği yönetimine sahip olduğunuzu göstermek önemli detaylardan biridir. Her iki standart için de benzer gereklilikler söz konusu olduğundan, ortak gereklilikleri zaten yerine getirdiğinizi gösterir.

Ancak lütfen unutmayın: TISAX® denetim kapsamının tanımı, ISO 27001 sertifikası için gereken tanımdan farklı olabilir. Temel kavramlar aynı değildir. Daha büyük kuruluşlar için, birden fazla denetim kapsamının kaydı da düşünülebilir.

ISO 9001'in "süreç tanımı" TISAX®'a benzer mi?

Bu sorunun cevabı "evet". Prensipte, karşılık gelen kurallar dizisindeki süreçlerin tanımı ve yapısı her zaman aynıdır. TISAX® değerlendirme kataloğu ayrıca hangi kontrol KPI'larının belirlenmesi gerektiğini ve hangilerinin yapılmaması gerektiğini oldukça spesifik olarak belirtir. Otomotiv sektöründe bilgi güvenliğini sağlamak için KPI'ların oluşturulması örneklerle desteklenmektedir. Bu nedenle, bilgi güvenliği değerlendirme (ISA) listesine bir bakış, ilk aşamada yardımcı olur.

TISAX® uygulaması için bir BT güvenlik görevlisi tavsiye edilir mi?

TISAX®'ın tanıtılmasından sorumlu kişinin BT departmanından gelmesi zorunlu değildir. Ancak, BT destekli süreçler söz konusu olduğundan, bazı BT bilgileri kesinlikle avantajlıdır.

TISAX® değerlendirme kapsamını nasıl tanımlarım?

ENX, tüm TISAX® katılımcılarının %90'ı tarafından benimsenen standart bir kapsam sunar. Varsayılan kapsam önceden tanımlanmıştır ve değiştirilemez. Değerlendirmeniz için hazırlık yaparken standart kapsamın uymadığını tespit ederseniz, belirli koşullar altında denetimin kapsamını değiştirebilirsiniz. Özel durumlarda, OEM'ler genişletilmiş kapsamı gerektirebilir. Ancak, bu özel durumlar nadirdir ve ilgili OEM tarafından sizinle ayrıntılı olarak tartışılacaktır. Bu gibi özel durumlar haricinde, standart kapsam yeterlidir. TISAX® denetiminin temelidir ve tüm katılımcılar tarafından kabul edilir.

Tüm sahalar için tek bir değerlendirme kapsamı yeterli midir?

Tüm sahaları içeren tek bir kapsam, avantajların yanı sıra dezavantajlar da sunar.

Avantajlar

• Yalnızca bir denetim sonucu, bir denetim raporu, bir geçerlilik tarihi
• Merkezi süreçler, prosedürler ve kaynakların yalnızca bir kez değerlendirilmesi gerektiğinden maliyetlerde azalma

Dezavantajlar

• Denetim sonucu ancak tüm sahalar değerlendirildikten sonra elde edilebilir
• Denetim sonucu, denetimi geçen tüm sahalara bağlıdır, yani yalnızca bir saha bile denetimden geçemezse, olumlu bir denetim sonucu alamazsınız.

Değerlendirme kapsamı izole edilebilir mi, örneğin "güvenlik açısından kritik çalışanlar" için?

ENX, TISAX® ile ilgili bu soruyu net bir şekilde yanıtlıyor: Otomotiv endüstrisinden hassas bilgilerle temas eden tüm çalışanlar kapsama dahil edilmelidir. Örneğin, bir müşterinin inşaat planıyla çalışan bir makine operatörü de olabilir. Şirketiniz, bilgi güvenliği ile ilgili süreçlerde hangi çalışanların yer aldığını kendisi tanımlamalıdır.

TISAX® denetimi başvurusunun öncelikle ENX üzerinden yapılması gerektiği ve ancak o zaman belgelendirme kuruluşu seçilebileceği doğru mu?

Evet bu doğru. www.enx.com/tisax/ adresinde online kaydınızı yaptıktan ve değerlendirme kapsamının ENX tarafından onaylanmasından sonra, tüm onaylı değerlendirme hizmeti sağlayıcılarının bir listesini alacaksınız. Ancak listeyi önceden ENX'te de görüntüleyebilirsiniz. DQS, ENX'te bir servis sağlayıcı olarak listelenmiştir ve dünya çapında değerlendirmeler yapabilir. Otomotiv sektöründe bilgi güvenliği ile ilgili soru ve cevaplar için lütfen uzmanlarımızla iletişime geçmekten çekinmeyiniz.

Olgunluk seviyesi çok düşükse bir denetim almak mantıklı mı?

Bir öz değerlendirmede, şirketinizin bilgi güvenliği açısından hala yapması gereken bazı şeyler olduğunu belirlerseniz, TISAX denetimi talebiniz şu an için bir anlam ifade etmeyecektir. Önce tespit edilen boşlukları kapatmanız ve ardından bir denetim düşünmeniz önerilir.

TISAX Denetimleri ne kadar sürer?

TISAX denetimlerinin süresi hakkındaki sorunun cevabı, şirketinizin büyüklüğüne ve sahalara yapılacak olan denetim seyahatleri ile ilgilidir. Ortalama büyüklükteki bir şirketin değerlendirme süreci için sahada 2-3 gün yeterlidir.

Bir şirketin sertifikalı olarak kabul edilmesi ne kadar sürer?

TISAX® denetim sürecinin tamamı en fazla dokuz ay sürebilir. İlk denetimle başlar ve son takip denetimiyle biter. Değerlendirme süreci belirtilen süre içerisinde tamamlanamazsa TISAX® etiketi alamazsınız.

Şirketiniz tüm kriterleri karşılıyorsa veya sadece küçük uygunsuzluklar gösteriyorsa değerlendirme raporu ENX'e gönderilir. Bu rapor kabul edilir edilmez (geçici) TISAX® etiketinizi alacaksınız. Önce düzeltilmesi gereken büyük uygunsuzluklarınız varsa, TISAX etiketi, uygunsuzluğun düzeltilmiş sayıldığı günden itibaren geçerlidir.

TISAX® hakkında sorular ve cevaplar: TISAX® etiketleri nelerdir?

Etiketler, değerlendirme sürecinin sonucudur ve sonucunuzu özetler. Hiyerarşik olarak birbirlerine bağlıdırlar. Sürecin sonunda "aşağıdaki etiketleri" alırsınız. Etiketler yalnızca ENX portalında görüntülenebilir. Geçerlilik süreleri genellikle üç yıldır.

Majör ve minör uygunsuzluklar nelerdir?

Majör uygunsuzluk, uygunsuzluğun bilgi güvenliği yönetim sisteminizin genel etkinliği hakkında şüphe uyandırması veya önemli bilgi güvenliği risklerine neden olmasıdır. Örneğin, iki faktörlü tanımlama gerekliyse ve bu henüz uygulanmadıysa bu durum Majör uygunsuzluk olarak nitelendirilir.

Eğer, uygunsuzluk bilgi güvenliği yönetim sisteminizin genel etkinliğini sorgulamıyorsa veya otomotiv endüstrisinde bilgi güvenliği için önemli bir risk oluşturmuyorsa, Minör bir uygunsuzluk mevcuttur. Örneğin, izole veya düzensiz hatalar ve uygulama eksiklikleri.

Bireysel önlemlerin etkinliğine dair kanıt da sunmam gerekiyor mu?

Cevap Evet." Önlem kataloğunuzu oluşturup uyguladıktan sonra bunların etkinliği doğrulanacaktır. Bu nedenle sertifikasyon süreci de dokuz aylık bir süre sağlar.

Çalışan sayısını "önceden" nasıl belirleyebilirim?

Spesifik olarak: Müşterimizle sözleşme imzalanana kadar ek personel işe alınamayacaksa, çalışan tam sayısını önceden nasıl belirleyebilirim?

TISAX®'ın sınıflandırıldığı çalışan sayısı aralığı, uluslararası ISO 27001 standardına göre önemli ölçüde daha büyüktür. TISAX®, çalışan sayısını 0-50, 51-150 gibi aralıklar olarak sınıflandırır. Yani ileride yaklaşık olarak işe kaç kişinin alınabileceğini biliyorsanız, kendinizi rahatlıkla uygun bir aralığa yerleştirebilirsiniz.

TISAX® ile uyumlu olmak için kaç belge mevcut olmalıdır?

Burada genel bir açıklama yapmak mümkün değil. Her zaman şirketinizin büyüklüğüne ve faaliyetine bağlıdır. Teorik olarak, net bir genel bakışınız olduğu sürece her şeyi tek bir belgede ele alabilirsiniz. Ancak, ilgili konuları kapsayan birkaç belge oluşturmanız önerilir.

TISAX®, mevcut prototip korumasının yerini alacak mı?

TISAX®, bireysel kriterler hakkında daha önce olduğundan çok daha fazla ayrıntıya giren, prototip koruması için ayrı bir modül içerdiğinden, uzun vadede otomotiv sektöründe TISAX®'ın geçmişteki bilgi güvenliği kurallarının yerini alacağı varsayılabilir. Ancak şu anda, 2018'den bu yana geçerli olan Alman Otomotiv Sanayi Birliği prototip koruma versiyonu 3.0 hala geçerlidir.

DQS sizin için neler yapabilir?

DQS, ENX onaylı bir denetim hizmeti sağlayıcısı olarak listelenmiştir ve dünya çapında değerlendirmeler gerçekleştirebilir. Tüm TISAX® denetçilerimiz aynı zamanda uluslararası ISO 27001 standardı için onaylı denetçilerdir; bu, her iki standardın da DQS tarafından aynı anda ve çok az ek çabayla değerlendirilebileceği anlamına gelir.
Uzmanlarımız, otomotiv endüstrisinde bilgi güvenliği ile ilgili sorularınızı yanıtlamaktan memnuniyet duyacaktır.

Uzmanlık ve güven

Teknik makalelerimiz, yalnızca kurum içi standart uzmanlarımız ve uzun vadeli denetçilerimiz tarafından yazılmaktadır. İçerik veya yazarlarımızla ilgili herhangi bir sorunuz varsa, lütfen bizimle iletişime geçmekten çekinmeyin.