TISAX certificering van de informatiebeveiliging wordt besproken door een man en vrouw in een controlekamer

Сертифікація TISAX®

Ваш запит


TISAX® Assessment - Інформаційна безпека в автомобільній промисловості

Ви автомобільний постачальник або постачальник послуг? Тоді вам потрібно довести доступність ваших послуг або безпеку конфіденційної інформації, яку ви отримуєте. Ви також повинні надати докази правильного поводження з прототипами. Як учасник процесу TISAX®, це можливо через відповідну оцінку, яку потрібно проводити лише кожні три роки. Сертифікація TISAX® дійсна для всіх галузей і визначає вимоги до інформаційної безпеки вашої компанії.

Взаємне визнання між усіма учасниками TISAX®

Постачальники та постачальники послуг мають більшої довіри до вашої аудованої компанії

Оцінка на сертифікацію TISAX® проводиться лише раз на три роки

Економія часу та витрат завдяки участі в мережі TISAX®

Основна інформація про оцінку TISAX®

TISAX® є загальноприйнятою процедурою оцінки та обміну для автомобільного сектора. Він базується на анкеті ISA (Information Security Assessment – Оцінка безпеки інформації) розробленій робочою групою VDA «Інформаційна безпека», яка у свою чергу базується на ключових аспектах міжнародного стандарту ISO/IEC 27001 і була розширена, щоб включити модель зрілості.

ISA також посилається на ISO/SAE 62443-2-1 для промислових систем управління для автоматизації та моніторингу промислових виробничих потужностей (IACS) і операційних технологій (OT).
Крім того, відповідальні органи Німецької асоціації автомобільної промисловості (VDA) створили умови для створення спільного механізму оцінки та обміну під назвою TISAX® (Trusted Information Security Assessment eXchange). TISAX® є зареєстрованою торговою маркою ENX Association. Асоціація європейських виробників автомобілів, автомобільних постачальників та автомобільних асоціацій стежить за якістю оцінок TISAX® та контролює схвалення постачальників аудиторських послуг TISAX®.

Наразі понад 10 000 місць оцінено відповідно до TISAX®, що робить цей стандарт другим за популярністю набором правил інформаційної безпеки в усьому світі після ISO 27001. VDA та ENX створили міжнародні робочі групи для TISAX® та каталогу ISA для розробки стандарт далі. Водночас це сприяє тіснішій співпраці зі світовою автомобільною промисловістю. З TISAX 6.0 восени 2023 року було опубліковано оновлену форму процедури оцінки та обміну.

Показати більше
Показати менше

Чому оцінка TISAX® корисна для моєї компанії?

Оцінки TISAX®, які були замовлені до 31 березня 2024 року, можна виконувати відповідно до старої версії ISA 5.1. Початкові або ресертифікаційні оцінки, призначені з 1 квітня 2024 року, проводитимуться виключно відповідно до нової процедури TISAX® відповідно до каталогу ISA 6.0. Аудиторська діяльність, що залежить від існуючих аудитів, наприклад, оцінки плану коригувальних дій, подальші оцінки, оцінки розширення обсягу або продовження спрощених групових оцінок, продовжуватиме виконуватися відповідно до версії, згідно з якою проводився початковий аудит.
Інформацію про ключові зміни в новій ISA 6.0 можна знайти в дописі нашого блогу «Новий каталог ISA 6.0» (посилання на https://www.dqsglobal.com/de-de/wissen/blog/isa-katalog-6- 0-ab-2024).

Новий каталог ISA 6.0 є важливою віхою для TISAX®. Каталог оцінок призводить до коригування вимог до постачальників аудиту, які були визначені в правилах TISAX® ACAR 2.2. Зміна основної мови на англійську підкреслює глобальну перспективу та спільні зусилля для всесвітнього розвитку. Плануються подальші переклади TISAX VDA 6.0.
Найважливіші зміни в новому каталозі ISA 6.0:
Зміни захисних етикеток:
<l>- Позначку безпеки інформації замінено на позначки доступності та конфіденційності. Залежно від вашої ролі в ланцюжку постачання, доступність або конфіденційність або обидва можуть мати відношення до вас.
- Існуючу мітку «Високий рівень безпеки інформації» буде замінено комбінованими мітками «Висока доступність» і «Висока конфіденційність». Те саме стосується наявної позначки «Дуже висока інформаційна безпека». Його буде замінено на «Дуже висока доступність» і «Сувора конфіденційність».
- Обидві мітки мають відповідати однаковому набору базових вимог. Крім того, кожна етикетка має особливі вимоги щодо високих і дуже високих потреб у захисті. Процес оцінки керується етикетками, враховуючи вашу роль у ланцюжку постачання. Тому варто перевірити у ваших клієнтів, які ярлики відповідають вашій ролі.
Підвищена увага до інформаційної безпеки та систем OT у ланцюжку постачання
- Відповідні компанії в ланцюжку постачання повинні відповідати вимогам «високої доступності» або «дуже високої доступності».
- Акцент на системах операційних технологій (OT) у виробництві та інших сферах в оцінці TISAX®.
- Посилання на IEC 62443-2-1 і нові вимоги до каталогу ISA сприяють фокусу на OT.
- Включення промислових систем зв'язку та управління (IACS).
- Компанії цієї категорії повинні продемонструвати належний захист конфіденційних даних під час розробки та виробництва.
- Багато вимог збігаються з "Високою чутливістю" або "Дуже високою чутливістю".
- Компанії в ланцюжку постачання, які не мають особливого значення, але яким довірено конфіденційну інформацію, повинні продемонструвати, що цю інформацію можна належним чином захистити.
- Мітки «Висока конфіденційність» або «Сувора конфіденційність» використовуються для вибору вимог TISAX®, які сприяють цій меті захисту.
- Основна мета вибіркової оцінки, описаної вище, полягає в тому, щоб компанії відповідали лише тим вимогам каталогу ISA, які стосуються їх ролі.
Нові виклики для виробничих компаній
- Системи OT повинні підлягати управлінню, подібному до того, яке зазвичай вимагається для IT-систем TISAX®.
- У результаті OT в управлінні активами ідентифікується з його конкретними ризиками, аналізується на потенційну вразливість, керується компетентними співробітниками, піддається СУІБ-сумісним процесам для дистанційного обслуговування та іншим найкращим практикам управління.
Показати більше
Показати менше
Показати більше
Показати менше

Чому оцінка TISAX® корисна для моєї компанії?

Як постачальник послуг або комплектуючих в автомобільній промисловості, ви повинні довести своїм клієнтам, що ви дотримуєтеся вимог інформаційної безпеки. До цього часу ці оцінки в основному проводили самі виробники. Зареєстровані учасники мережі TISAX® тепер можуть вибрати постачальника аудиторських послуг через загальну онлайн-платформу та подати запит на оцінку. Переваги для компаній переважають недоліки:

  • Можна уникнути повторюваних і множинних оцінок різними клієнтами
  • Визнання оцінок інформаційної безпеки між компаніями для учасників TISAX®
  • Надійність результатів завдяки гармонізованому каталогу тестів VDA ISA
  • Зміцнення довіри до перевірених компаній з маркою TISAX®
Показати більше
Показати менше

Як працює TISAX®?

У TISAX® учасники можуть грати дві різні ролі: «Споживач інформації» (пасивний), наприклад, виробник, який хотів би отримувати інформацію про постачальника, та «Розповсюджувач інформації» (активний), наприклад, постачальник запчастин або постачальник послуг, який хотів би пройти аудит на придатність для одержання замовлень від виробників.

Компанія також може взяти на себе обидві ролі учасників. Будь-хто, хто бажає брати участь у TISAX® як постачальник інформації, повинен виконати наступні чотири основні кроки:

  1. Зареєструйтесь на сайті www.enx.com/TISAX.
  2. Виберіть ухваленого ENX постачальника послуг аудиту, наприклад DQS.
  3. Пройдіть оцінку TISAX®
  4. Обмін результатами аудиту на онлайн-платформі TISAX®.
Показати більше
Показати менше
Business28.png

Як працює оцінка TISAX®?

Вимоги щодо обсягу та рівню оцінки повинні бути визначені вами заздалегідь, наприклад, «із захистом прототипу або без нього».

Як учасник TISAX®, ви повинні спочатку зареєструватися онлайн, після чого ENX присвоює ідентифікатор області застасування (стягується річна плата за обслуговування).

На першому кроці ви вибираєте затвердженого постачальника аудиторських послуг. На другому етапі проводиться розгляд документів (самооцінка, а не на місці) і подальша оцінка (рівень 2: не на місці, рівень 3: на місці).

Висновки аудиту фіксуються у проміжному звіті. У разі виявлення невідповідностей узгоджуються заходи, які необхідно впровадити. У разі необхідності виконання заходів визначається в узгоджений термін.

Після закриття невідповідностей проводиться перевірка ефективності шляхом аудиту.

Остаточний звіт розміщується на порталі TISAX®. У ньому ваша компанія вказана як учасник із відповідною міткою аудиту.

Banking13.png

Скільки коштує оцінка TISAX®?

Два важливі фактори

Два важливі фактори впливають на обсяг усієї оцінки, а отже і на витрати. Оцінки можливі на основі розширеної, стандартної чи обмеженої сфери застосування. Ваше рішення щодо сфери застосування має бути добре підготовленим і визначеним бажаними цілями захисту, а також розміром вашої компанії.

Наприклад, цілі захисту стосуються того, чи хочете ви включити в оцінку такі теми, як захист прототипу або захист даних. Якщо ви хочете взяти участь у процедурі TISAX®, якомога раніше зверніться до DQS, вашого затвердженого постачальника аудиторських послуг. Тільки так ми можемо визначити правильний розрахунок для обсягу оцінки і надати вам надійну пропозицію щодо вартості вашої сертифікації TISAX®.

Показати більше
Показати менше
Business2.png

Що ви можете очікувати від нас

  • DQS є затвердженим постачальником аудиторських послуг Асоціації ENX
  • Додавання цінності про інформаційну безпеку у вашій організації
  • Акредитація на всі відповідні норми в автомобільній промисловості
  • Досвідчені в галузі аудитори та експерти в цій галузі
  • Більше 35 років досвіду в сертифікації систем і процесів менеджменту
  • Сертифікати з міжнародним визнанням
  • Персональну, постійну підтримку від наших спеціалістів - на регіональному, національному та міжнародному рівні
  • Індивідуальні пропозиції з гнучкими умовами договору без прихованих витрат
Показати більше
Показати менше

Запит пропозицій

Ірина Поліщук

Ми будемо раді надати вам індивідуальну пропозицію для процесу TISAX.

Ваш запит

Є питання?

Ми до ваших послуг.
Зв'яжіться з нами