TISAX® - Відповіді на важливі питання

ЗМІСТ

• Что означает TISAX®?
• Каковы преимущества TISAX®?
• Кто осуществляет мониторинг TISAX®?
• Что такое уровень оценки?
• Применяется ли TISAX® также для непроизводственных компаний?
• Сертификация TISAX® без требований заказчика?
• Соответствует ли содержание TISAX® стандарту ISO 27001?
• Рекомендуется ли комбинированный аудит TISAX® и ISO 27001?
• Як визначити сферу оцінки TISAX®?
• Сколько времени занимает индивидуальное оценивание?
• Что такое серьезные и незначительные несоответствия?+
• Заменит ли TISAX® защиту прототипа VDA?
• Что DQS может сделать для меня?

Що означає TISAX^®?

TISAX^® - каталог стандартизованої оцінки інформаційної безпеки

TISAX^® є загальноприйнятою процедурою оцінки та обміну для автомобільного сектора. Він заснований на анкеті з інформаційної безпеки (ISA - Information Security Assessment), розробленою робочою групою VDA «Інформаційна безпека», яка вперше була використана компаніями-членами Німецької асоціації автомобільної промисловості (VDA) для аудиту постачальників і послуг в компаніях яких обробляється конфіденційна інформація. Версія 5.0 анкети VDA ISA доступна з липня 2020 року. З 1 жовтня 2020 року ця версія стала обов’язковою для всіх нових оцінок TISAX^®.

Крім того, TISAX^® базується на основних вимогах міжнародно визнаного стандарту інформаційної безпеки: ISO 27001. Він застосовний у всіх галузях і визначає вимоги, правила та методи забезпечення безпеки інформації всередині компанії. У своїх вимогах стандарт виходить за рамки захисту технічних ІТ-систем і включає всі корпоративні активи, які заслуговують на захист, такі як приміщення, засоби контролю безпеки та архіви. Іншими словами: ISO 27001 забезпечує захист усієї інформації, яка є цінною для організації.

Які переваги TISAX^®?

• TISAX^® створює єдиний рівень інформаційної безпеки в автомобільній промисловості
• Результати оцінки визнаються всіма компаніями серед усіх учасників TISAX^®, що сприяє підвищенню довіри до перевірених компаній
• Взаємне визнання в мережі TISAX^® дозволяє уникнути непотрібних повторних і множинних аудитів
• Оцінка для сертифікації TISAX^® проводиться лише раз на три роки, що економить час та гроші

Хто стежить за TISAX^®?

TISAX^® є зареєстрованою торговою маркою Асоціації ENX, що базується у Франкфурті-на-Майні та Парижі. Як нейтральному органу, йому довірено впровадження TISAX^®. ENX — це асоціація європейських автовиробників, постачальників автомобілів та чотирьох національних автомобільних асоціацій, включаючи VDA, яка заснувала ENX у 2000 році. ENX Association контролює якість впровадження та надає схвалення постачальникам послуг з оцінки відповідно до жорсткої процедури. DQS входить до списку ENX як затверджений постачальник аудиторських послуг і може проводити оцінки по всьому світу. Наші фахівці завжди готові відповісти на ваші запитання.

Для досягнення взаємного визнання оцінок учасниками, ENX укладає відповідні контракти з усіма затвердженими постачальниками аудиторських послуг, а також з учасниками мережі TISAX^®. Завдяки стандартизації та моніторингу якості ENX досягає загального визнання результатів оцінювання серед усіх учасників. Уникайте непотрібного дублювання та множинних оцінок.

Запитання та відповіді про TISAX®: Що таке рівень оцінки?

TISAX^® розрізняє три рівні оцінки (вимог захисту), залежно від необхідного захисту: нормальний (рівень 1), високий (рівень 2) і дуже високий (рівень 3). Від цього залежить метод аудиту та обсяг аудиторських зусиль.

Рівень 1: Самооцінка без перевірки достовірності, як правило використовується лише для внутрішніх цілей. Ці результати оцінки мають лише обмежене значення і не використовуються в TISAX^®.

Рівень 2: Перевірка достовірності вашої самооцінки постачальником аудиторських послуг, наприклад DQS. Ці аудити інформаційної безпеки зазвичай проводяться в режимі телефонної конференції, а не як аудити на місці - якщо не застосовується одна з цілей аудиту захисту прототипу або якщо ви цього явно не вимагаєте.

Рівень 3: Перевірка достовірності вашої самооцінки постачальником аудиторських послуг за допомогою поглибленого та всебічного аудиту на місці.

Чи є запровадження TISAX^® обов'язковим для невиробничих компаній?

Відповідь на це питання залежить від контексту вашого бізнесу: чи потрібно вам впроваджувати TISAX^®, залежить від вашого OEM (виробника оригінального обладнання), чи вони вимагають від вас надати цей доказ інформаційної безпеки. Якщо виробник автомобіля спеціально не звертається до вас, або ви бачите зміну в T&C, рекомендується почекати і подивитися. Раніше OEM зв’язувався з компаніями щодо вимог щодо подальшої співпраці, коли це було необхідно. Однак, звичайно, ви маєте проактивно запитувати своїх партнерів у автомобільній промисловості.

Чи має сенс прагнути до сертифікації TISAX^® навіть без вимог клієнта?

Проактивний підхід до теми інформаційної безпеки, як правило, має великий сенс у наші дні і не тільки для постачальників в автомобільній промисловості. Якщо ваш OEM (поки що) не вказує, яку етикетку TISAX® від вас очікують, було б гарною ідеєю продемонструвати рівень 3 (рівень оцінки 3: дуже високий рівень інформаційної безпеки). Таким чином, ви демонструєте що готові до всіх майбутніх вимог без необхідності повторювати роботу з оцінки. Крім того, всесвітньо визнаний стандарт ISO/IEC 27001 пропонує гарний, міжгалузевий вступ до інформаційної безпеки.

Чи відповідає вміст TISAX^® стандарту ISO 27001?

Каталог оцінок TISAX^® утворений на основі міжнародного стандарту ISO 27001 і ґрунтується на визначених у ньому «контролях» (заходах). Вони описують, як відповідні вимоги (повинні) можуть бути реалізовані, як процеси мають бути забезпечені та які інструменти можна використовувати. Ключова відмінність між цими двома стандартами полягає в тому, що TISAX^® вимагає досягнення певного рівня зрілості.

Чи рекомендується комбінований аудит TISAX^® та ISO 27001?

Комбінований аудит безперечно можливий і може бути виконаний DQS у будь-який час. Усі аудитори TISAX^® у DQS також є уповноваженими аудиторами за стандартом ISO 27001, що означає, що обидві оцінки інформаційної безпеки можна проводити одночасно з невеликими додатковими зусиллями.

Чи потрібно мені пройти сертифікацію за стандартом ISO 27001, перш ніж починати сертифікацію TISAX^®?

Відповідь на це запитання: Ні. Тому що немає вимоги, щоб сертифікована система управління інформаційною безпекою відповідно до ISO 27001 вже існувала. Для оцінки TISAX^® вам потрібно лише підтвердити, що ви працюєте відповідно до системи управління інформаційною безпекою та що відповідні процеси та процедури стабільно впроваджуються в компанії. Цю оцінку проводить аудитор, який також використовує документи для визначення вашого рівня зрілості.

Які переваги якщо ви вже маэте сертифікат ISO 27001?

Наявність діючого сертифікату ISO 27001 завжди є перевагою. Хоча б тому, що для TISAX^® ви повинні довести, що у вас реалізовано управління інформаційною безпекою і набори правил обох стандартів мають подібне покриття.

Але зверніть увагу: визначення обсягу аудиту TISAX^® може відрізнятися від визначення, необхідного для сертифікації ISO 27001. Основні поняття не тотожні. Для більших організацій також може бути розглянута реєстрація кількох областей аудиту.

Чи є «визначення процесу» ISO 9001 аналогічним TISAX^®?

Відповідь на це питання «так». В принципі, визначення та структура процесів у відповідних наборах правил завжди однакові. У каталозі оцінок TISAX^® також досить чітко вказано, з яких засобів контролю необхідно визначати KPI, а з яких ні. Створення KPI підкріплено прикладами забезпечення інформаційної безпеки в автомобільній промисловості. Таким чином, перегляд анкети ISA VDA допомагає організувати початковий огляд.

Чи рекомендовано задіяння спеціаліста з ІТ-безпеки для впровадження TISAX®?

Не обов’язково, щоб особа, відповідальна за впровадження TISAX^®, була представником ІТ-відділу. Однак, оскільки задіяні процеси, що підтримуються ІТ, певні знання ІТ безперечно корисні.

Як визначити область оцінки TISAX^®?

ENX пропонує стандартну сферу дії, яку прийняло 90% усіх учасників TISAX^®. Сфера дії за замовчуванням є попередньо визначеною і не може бути змінена. Якщо під час підготовки до оцінювання ви виявите, що стандартна сфера дії не підходить, ви можете змінити сферу дії свого іспиту за певних обставин. В окремих випадках OEM-виробникам може знадобитися розширенасфера дії. Однак ці особливі випадки рідкісні і будуть детально обговорені з вами відповідним OEM. Зазвичай стандартної сфери дії достатньо. Вона є основою для оцінки TISAX^® і приймається всіма учасниками.

Чи достатньо однієї сфери дії оцінки для всіх локацій?

Єдина область дії, яка включає всі локації, має переваги, але й недоліки.

Переваги

• Тільки один результат перевірки, один акт перевірки, один термін придатності
• Зменшення витрат, оскільки центральні процеси, процедури та ресурси потрібно оцінювати лише один раз

Недоліки

• Результат аудиту доступний лише після оцінки всіх об’єктів
• Результат аудиту залежить від усіх локацій, які пройшли аудит, тобто якщо тільки один сайт не пройде аудит, ви не отримаєте позитивного результату аудиту

Чи можна відокремити сферу оцінки, наприклад для "критичних працівників"?

ENX відповідає на це питання про TISAX^® однозначно: усі співробітники, які стикаються з конфіденційною інформацією з автомобільної промисловості, повинні бути включені в сферу дії. Це також може бути, наприклад, машиніст, який працює з планом будівництва замовника. Ваша компанія повинна сама визначити, які співробітники залучені до процесів, які мають відношення до інформаційної безпеки.

Чи правда, що в ENX спочатку потрібно подати заявку на аудит TISAX^® і лише потім вибрати постачальника аудиту?

Так, це правильно. Після вашої онлайн-реєстрації на веб-сайті www.enx.com/tisax/ та схвалення обсягу оцінювання компанією ENX ви отримаєте список усіх затверджених постачальників послуг оцінювання. Однак ви також можете заздалегідь переглянути список на ENX. DQS входить до списку постачальників послуг ENX і може проводити оцінки по всьому світу. З питаннями та відповідями щодо інформаційної безпеки в автомобільній промисловості, будь ласка, звертайтеся до наших експертів.

Чи має сенс запит взагалі, якщо рівень зрілості занадто низький?

Якщо під час самооцінки ви визначите, що вашій компанії ще потрібно щось наздогнати з точки зору інформаційної безпеки, запит на оцінку наразі не має сенсу. Рекомендується спочатку закрити виявлені прогалини, а потім розглянути аудит.

Скільки часу займають індивідуальні оцінки?

Відповідь на питання про тривалість індивідуальних оцінок залежить від розміру вашої компанії та подорожей, пов’язаних з аудитом ваших локацій. Для середнього розміру компанії достатньо 2-3 днів на одному місці для процесу оцінки.

Через який час компанія вважається сертифікованою?

Весь процес аудиту TISAX^® може тривати максимум дев’ять місяців. Він починається з первинного аудиту і закінчується останнім наступним аудитом. Якщо процес оцінки не може бути завершений протягом зазначеного періоду, ви не отримаєте етикетку TISAX^®.

Якщо ваша компанія відповідає всім критеріям або показує лише незначні невідповідності, звіт про оцінку подається до ENX. Як тільки це буде прийнято, ви отримаєте свою (тимчасову) етикетку TISAX®. Якщо є серйозні невідповідності, які спочатку необхідно усунути, етикетка дійсна з дня, коли вважається, що невідповідність усунуто.

Запитання та відповіді про TISAX^®: Що таке етикетки TISAX^®?

Етикетки є результатом процесу оцінювання та підсумовують ваш результат. Вони ієрархічно пов’язані одна з одною. Тобто якщо ви отримуєте певну етикетку, ви автоматично отримуєте «етикетку під нею». Етикетки можна переглянути лише на порталі ENX. Термін їх дії зазвичай становить три роки.

Що таке серйозні та незначні невідповідності?

Серйозна невідповідність — це коли невідповідність викликає сумніви щодо загальної ефективності вашої системи управління інформаційною безпекою або коли вона викликає значні ризики для інформаційної безпеки. Це той випадок, наприклад, якщо потрібна двофакторна ідентифікація, а це ще не реалізовано.

Незначна невідповідність має місце, наприклад, якщо невідповідність не ставить під сумнів загальну ефективність вашої системи управління інформаційною безпекою і не становить значного ризику інформаційної безпеки в автомобільній промисловості. Наприклад, окремі чи спорадичні помилки та недоліки реалізації.

Чи потрібно мені також надавати докази ефективності окремих заходів?

Відповідь «так». Після того, як ви створите свій каталог заходів та запровадите їх, їх ефективність буде перевірена. З цієї причини процес сертифікації передбачає дев’ять місяців.

Як визначити кількість працівників "заздалегідь"?

Зокрема: Як я можу заздалегідь визначити точну кількість працівників, якщо додаткові співробітники не можуть бути найняті доти, доки не буде підписано договір з нашим клієнтом?

Діапазон, у якому класифікуються працівники для TISAX^® значно більший, ніж для міжнародного стандарту ISO 27001. TISAX^® класифікує кількість працівників, наприклад, у 0-50, 51-150 тощо. Тож якщо ви приблизно знаєте, як багато нових співробітників буде найнято, ви можете розмістити себе у відповідному діапазоні.

Скільки документів має бути доступним, щоб відповідати вимогам TISAX^®?

Тут неможливо зробити загальне твердження. Це завжди залежить від розміру та діяльності вашої компанії. Теоретично ви можете охопити все в одному документі, якщо у вас є чіткий огляд. Проте доцільно створити кілька документів, які охоплюють суміжні теми.

Чи замінить TISAX^® захист прототипу VDA?

Оскільки TISAX^® включає в себе окремий модуль для захисту прототипів, який розглядає окремі критерії набагато більш детально, ніж це було раніше, можна припустити, що в довгостроковій перспективі TISAX^® замінить попередні набори правил інформаційної безпеки в автомобільній промисловості. Проте наразі версія захисту прототипу VDA 3.0 2018 року все ще діє.

Запитання та відповіді про TISAX® - Що DQS може зробити для мене?

DQS входить до списку ENX як затверджений постачальник аудиторських послуг і може проводити оцінки по всьому світу. Усі наші аудитори TISAX ® також є схваленими аудиторами за міжнародним стандартом ISO 27001, що означає, що DQS може оцінити обидва стандарти одночасно та без додаткових зусиль. Наші експерти із задоволенням дадуть відповідь на ваші запитання щодо інформаційної безпеки в автомобільній промисловості. Ми з нетерпінням чекаємо на розмову з вами.

Експертиза та довіра

Наші технічні статті написані виключно нашими штатними експертами зі стандартів та постійними аудиторами. Якщо у вас є будь-які питання щодо змісту або наших авторів, будь ласка, зв'яжіться з нами.