Giải đáp các câu hỏi quan trọng về TISAX®

TISAX® là gì?

TISAX^® - Đánh giá an toàn thông tin đáng tin cậy.

TISAX® là một quy trình đánh giá và trao đổi chung cho lĩnh vực ô tô. Nó dựa trên một bảng câu hỏi về an toàn thông tin (ISA - Information Security Assessment) được phát triển bởi nhóm công tác VDA "Bảo mật thông tin", được sử dụng lần đầu tiên bởi các công ty thành viên của Hiệp hội Công nghiệp Ô tô Đức (VDA) để kiểm tra các nhà cung cấp và nhà cung cấp dịch vụ có thông tin nhạy cảm được xử lý tại công ty.. Phiên bản 5.1 của bảng câu hỏi VDA ISA đã có từ năm 2022. Phiên bản này là bắt buộc đối với tất cả các cuộc đánh giá TISAX® mới kể từ tháng 1 năm 2022. Làm việc với danh mục đánh giá TISAX® 5.1 mới giờ đây sẽ dễ dàng và hiệu quả hơn - đối với cả người dùng và đánh giá viên.

Ngoài ra, TISAX® còn dựa trên các yêu cầu thiết yếu của tiêu chuẩn được quốc tế công nhận về bảo mật thông tin: tiêu chuẩn ISO 27001. Nó có thể áp dụng cho tất cả các ngành và xác định các yêu cầu, quy tắc và phương pháp để đảm bảo an toàn thông tin trong một công ty. Trong các yêu cầu của nó, tiêu chuẩn vượt ra ngoài khả năng bảo vệ các hệ thống kỹ thuật CNTT và bao gồm tất cả các tài sản của công ty đáng được bảo vệ, ví dụ: cơ sở, kiểm soát an ninh và lưu trữ. Nói cách khác: tiêu chuẩn ISO 27001 đảm bảo việc bảo vệ tất cả thông tin có giá trị đối với một tổ chức.

Lợi ích của TISAX® là gì?

• TISAX® tạo ra một mức độ bảo mật thông tin đồng nhất trong ngành công nghiệp ô tô
• Kết quả đánh giá được công nhận giữa các công ty trong số tất cả những người tham gia TISAX®, dẫn đến niềm tin lớn hơn vào các công ty được đánh giá
• Việc đánh giá trùng lặp và nhiều lần không cần thiết được tránh thông qua sự công nhận lẫn nhau trong mạng TISAX®
• Việc đánh giá chứng nhận TISAX® chỉ diễn ra ba năm một lần, giúp tiết kiệm thời gian và tiền bạc.

Cơ quan nào giám sát TISAX®?

TISAX® là nhãn hiệu đã đăng ký của Hiệp hội ENX, có trụ sở tại Frankfurt am Main và Paris. Là một cơ quan trung lập, ENX được giao phó việc triển khai TISAX®. ENX là hiệp hội của các nhà sản xuất, nhà cung cấp ô tô châu Âu và bốn hiệp hội ô tô quốc gia, bao gồm VDA, thành lập vào năm 2000. Hiệp hội ENX giám sát chất lượng của việc thực hiện và cấp phê duyệt cho các nhà cung cấp dịch vụ đánh giá theo một quy trình nghiêm ngặt. DQS được ENX phê duyệt nhà cung cấp dịch vụ đánh giá được chấp thuận đầu tiên tại Đức và có thể thực hiện đánh giá trên toàn thế giới. Các chuyên gia của chúng tôi luôn sẵn sàng giải đáp các thắc mắc của bạn.

Để đạt được sự công nhận lẫn nhau về các đánh giá của những người tham gia, ENX ký kết các hợp đồng tương ứng với tất cả các nhà cung cấp dịch vụ đánh giá đã được phê duyệt cũng như với những người tham gia trong mạng TISAX®. Thông qua tiêu chuẩn hóa và giám sát chất lượng, ENX đạt được sự công nhận chung về kết quả đánh giá giữa tất cả những bên tham gia. Tránh các đánh giá trùng lặp và nhiều lần không cần thiết.

Các cấp độ đánh giá TISAX® ?

TISAX^® Phân biệt giữa ba cấp độ đánh giá (yêu cầu bảo vệ), tùy thuộc vào yêu cầu bảo vệ: bình thường (cấp độ 1), cao (cấp độ 2) và rất cao (cấp độ 3). Phương pháp đánh giá và nỗ lực đánh giá phụ thuộc vào điều này.

Cấp độ 1 (AL1): Tự đánh giá mà không kiểm tra tính xác đáng, thường chỉ dành cho mục đích nội bộ. Các kết quả đánh giá này chỉ có ý nghĩa hạn chế và không được sử dụng trong TISAX®.

Cấp độ 2 (AL2): Kiểm tra tính hợp lý đối với việc tự đánh giá của bạn bởi một nhà cung cấp dịch vụ đánh giá như DQS. Các cuộc đánh giá bảo mật thông tin này thường được tiến hành dưới dạng một cuộc họp qua điện thoại, không phải như đánh giá tại chỗ - trừ khi một trong các mục tiêu đánh giá bảo vệ nguyên mẫu được áp dụng hoặc bạn yêu cầu rõ ràng điều này.

Điểm mới là một phương pháp thay thế để thực hiện đánh giá trong Cấp độ Đánh giá 2. Thay vì kiểm tra tính hợp lý, nhà cung cấp dịch vụ đánh giá của bạn thực hiện một bài kiểm tra từ xa hoàn chỉnh. Phương pháp này đôi khi được gọi là "Mức độ đánh giá 2,5". Ưu điểm là phương pháp tiếp cận tương thích về mặt phương pháp với Đánh giá Cấp độ 3. Do đó, có thể nâng cấp lên một kỳ thi đánh giá toàn diện cấp độ 3 vào một ngày sau đó với nỗ lực có thể quản lý được.

Cấp độ 3 (AL3): Kiểm tra tính hợp lý đối với việc tự đánh giá của bạn bởi nhà cung cấp dịch vụ đánh giá thông qua đánh giá toàn diện và chuyên sâu tại chỗ.

TISAX® có dành cho các công ty phi sản xuất không?

Câu trả lời cho câu hỏi này tùy thuộc vào bối cảnh kinh doanh của bạn: Bạn có cần triển khai TISAX® hay không phụ thuộc vào OEM (nhà sản xuất thiết bị gốc) của bạn hoặc liệu họ có yêu cầu bạn cung cấp bằng chứng bảo mật thông tin này hay không. Trừ khi nhà sản xuất xe hơi tiếp cận bạn một cách cụ thể, hoặc bạn thấy có sự thay đổi trong Điều khoản và Điều kiện, bạn nên chờ xem. Trước đây, các công ty đã được OEM liên hệ về các yêu cầu hợp tác thêm khi cần thiết. Tuy nhiên, việc chủ động tìm hiểu các đối tác trong ngành ô tô là điều tất nhiên của bạn.

Ngay cả khi không có yêu cầu của khách hàng , bạn có cần phấn đấu để đạt được chứng nhận TISAX® ?

Ngày nay, việc chủ động tiếp cận chủ đề an toàn thông tin có rất nhiều ý nghĩa và không chỉ đối với các nhà cung cấp trong ngành công nghiệp ô tô. Nếu OEM của bạn không (chưa) chỉ định nhãn TISAX® nào mà bạn mong đợi, thì bạn nên chứng minh Cấp độ 3 (AL3: bảo mật thông tin rất cao). Bằng cách này, bạn được chuẩn bị cho tất cả các yêu cầu trong tương lai mà không cần phải làm việc trùng lặp.

Ngoài ra, tiêu chuẩn ISO / IEC 27001 được công nhận trên toàn cầu cung cấp một giới thiệu tốt, xuyên ngành về bảo mật thông tin. Tiêu chuẩn hiện đang được sửa đổi, dự kiến sẽ có phiên bản sửa đổi vào cuối năm 2022.

Nội dung của TISAX® có tương tự với ISO 27001 không?

Danh mục đánh giá TISAX® có nguồn gốc từ tiêu chuẩn quốc tế ISO 27001 và dựa trên "các biện pháp kiểm soát" được xác định trong đó. Chúng mô tả cách thức thực hiện các yêu cầu tương ứng (phải, nên), cách thức đảm bảo các quy trình và công cụ nào có thể được sử dụng. Điểm khác biệt chính giữa hai tiêu chuẩn là TISAX® yêu cầu phải đạt được một mức độ hoàn thiện nhất định.

Có nên đánh giá kết hợp TISAX® và ISO 27001 không?

Một cuộc đánh giá kết hợp chắc chắn có thể được thực hiện bởi DQS bất cứ lúc nào. Nhiều Chuyên gia của DQS thực hiện đánh giá TISAX® cũng là những Chuyên gia được ủy quyền cho ISO 27001, có nghĩa là cả hai đánh giá về bảo mật thông tin có thể được thực hiện cùng một lúc với ít nỗ lực bổ sung.

Có cần thực hiện chứng nhận ISO 27001 trước TISAX® không?

Câu trả lời cho câu hỏi này là: "Không". Bởi vì không có yêu cầu rằng hệ thống quản lý an toàn thông tin được chứng nhận phù hợp với ISO 27001 phải tồn tại. Đối với đánh giá TISAX®, bạn chỉ phải chứng minh rằng bạn làm việc theo hệ thống quản lý an toàn thông tin và các quy trình và thủ tục tương ứng được thực hiện một cách ổn định trong công ty. Đánh giá này được thực hiện bởi Chuyên gia, sử dụng các tài liệu để ấn định mức độ hoàn thiện.

Những lợi thế của việc đã có chứng nhận ISO 27001 là gì?

Nếu bạn đã có thể cung cấp bằng chứng về chứng chỉ ISO 27001, thì điều này tất nhiên luôn là một lợi thế. Nếu chỉ  TISAX®, bạn phải chứng minh rằng bạn có một hệ thống quản lý bảo mật thông tin được triển khai và cả hai bộ quy tắc đều có phạm vi tương tự.

Nhưng xin lưu ý: Định nghĩa về phạm vi đánh giá TISAX® có thể khác với định nghĩa được yêu cầu đối với chứng nhận ISO 27001. Các khái niệm cơ bản không giống nhau. Đối với các tổ chức lớn hơn, việc đăng ký nhiều phạm vi đánh giá cũng có thể được xem xét.

"Định nghĩa quy trình" của ISO 9001 có tương tự như TISAX® không?

Câu trả lời cho câu hỏi này là "có". Về nguyên tắc, định nghĩa và cấu trúc của các quy trình trong các bộ quy tắc tương ứng luôn giống nhau. Danh mục đánh giá TISAX® cũng nêu khá cụ thể mà từ đó các KPI kiểm soát phải được xác định và không được xác định. Việc tạo ra các KPI được sao lưu với các ví dụ để đảm bảo an toàn thông tin trong ngành công nghiệp ô tô. Do đó, việc xem xét bảng câu hỏi VDA ISA sẽ giúp có cái nhìn tổng quan ban đầu.

Nhân viên bảo mật CNTT có phải là người chịu trách nhiệm chính để triển khai TISAX® không?

Không bắt buộc người chịu trách nhiệm giới thiệu TISAX® phải đến từ bộ phận CNTT. Tuy nhiên, vì các quy trình được hỗ trợ bởi CNTT đều có liên quan nên một số kiến thức CNTT chắc chắn sẽ có lợi.

Cách xác định phạm vi đánh giá TISAX®?

ENX đưa ra một phạm vi tiêu chuẩn được 90% tất cả những người tham gia TISAX® chấp nhận. Phạm vi mặc định được xác định trước và không thể thay đổi. Nếu bạn nhận thấy trong quá trình chuẩn bị cho đánh giá của mình mà phạm vi tiêu chuẩn không phù hợp, bạn có thể điều chỉnh phạm vi  của mình trong một số trường hợp nhất định. Trong các trường hợp riêng lẻ, OEM có thể yêu cầu phạm vi mở rộng. Tuy nhiên, những trường hợp đặc biệt này rất hiếm và sẽ được OEM tương ứng thảo luận chi tiết với bạn. Thông thường, phạm vi tiêu chuẩn là đủ. Đây là cơ sở để đánh giá TISAX® và được tất cả những người tham gia chấp nhận.

Một phạm vi đánh giá có đủ cho tất cả các địa điểm không?

Một phạm vi duy nhất bao gồm tất cả các địa điểm cung cấp những lợi thế nhưng cũng có những bất lợi.

Đối với các công ty có nhiều địa điểm, quy trình đánh giá TISAX® thông thường có thể khá rộng rãi. Trong một số điều kiện nhất định, chúng tôi cung cấp một giải pháp thay thế - "đánh giá nhóm đơn giản hóa" (SGA). Đánh giá nhóm được đơn giản hóa là một trường hợp đặc biệt của thủ tục đánh giá TISAX®. Nếu các yêu cầu được đáp ứng, nó có thể làm giảm nỗ lực so với đánh giá TISAX® thông thường. Quy trình đánh giá TISAX® đặc biệt này dành cho các công ty có ít nhất ba địa điểm và hệ thống quản lý an ninh thông tin (ISMS) tập trung, phát triển cao. Phụ lục này quy định những trường hợp nào bạn có thể được hưởng lợi từ việc đánh giá nhóm được đơn giản hóa và cách bạn có thể thực hiện quy trình đánh giá đặc biệ

Có thể tách biệt phạm vi đánh giá không, ví dụ: cho "nhân viên an ninh quan trọng"?

ENX trả lời câu hỏi này về TISAX® một cách rõ ràng: Tất cả nhân viên tiếp xúc với thông tin nhạy cảm từ ngành công nghiệp ô tô phải được đưa vào phạm vi. Ví dụ, đây cũng có thể là một người vận hành máy làm việc với sơ hồ xây dựng của khách hàng. Công ty của bạn phải tự xác định những nhân viên nào tham gia vào các quy trình liên quan đến bảo mật thông tin.

Với ENX, đơn đăng ký đánh giá TISAX® phải được gửi trước và chỉ sau đó nhà cung cấp dịch vụ đánh giá mới có thể được chọn báo giá?

Điều này là hoàn toàn chính xác. Sau khi đăng ký trực tuyến tại www.enx.com/tisax/ và được ENX phê duyệt phạm vi đánh giá, bạn sẽ nhận được danh sách tất cả các nhà cung cấp dịch vụ đánh giá đã được phê duyệt. Tuy nhiên, bạn cũng có thể xem trước danh sách tại ENX. DQS là nhà cung cấp dịch vụ đánh giá được ủy quyền đầu tiên của ENX và thực hiện đánh giá trên toàn thế giới. Đối với các câu hỏi và câu trả lời liên quan đến bảo mật thông tin trong ngành công nghiệp ô tô, vui lòng liên hệ với các chuyên gia của DQS.

Nếu mức độ hoàn thiện thấp, cuộc thẩm tra có ý nghĩa không ?

Nếu bạn xác định trong bản tự đánh giá rằng công ty của bạn vẫn còn một số vấn đề cần làm về bảo mật thông tin, thì yêu cầu đánh giá không có ý nghĩa trong lúc này. Trước tiên, bạn nên đóng các lỗ hổng đã xác định và sau đó xem xét đánh giá.

Các cuộc đánh giá mất bao lâu?

Câu trả lời cho câu hỏi về thời gian đánh giá phụ thuộc vào quy mô công ty của bạn và quá trình liên quan đến việc đánh giá các địa điểm của bạn. Đối với quy mô công ty trung bình, 2-3 ngày tại chỗ là đủ cho quá trình đánh giá.

Cần bao lâu để công ty bạn được coi là được chứng nhận?

Toàn bộ quá trình đánh giá TISAX® có thể mất tối đa chín tháng. Nó bắt đầu với cuộc đánh giá ban đầu và kết thúc với cuộc đánh giá follow up cuối cùng. Nếu quá trình đánh giá không thể hoàn thành trong khoảng thời gian quy định, bạn sẽ không nhận được nhãn TISAX®.

Nếu công ty của bạn đáp ứng tất cả các tiêu chí hoặc chỉ cho thấy những điểm không phù hợp nhỏ, báo cáo đánh giá sẽ được nộp cho ENX. Ngay sau khi điều này được chấp nhận, bạn sẽ nhận được nhãn TISAX® (tạm thời) của mình. Nếu có những điểm không phù hợp lớn phải được khắc phục thì nhãn có giá trị kể từ ngày mà sự không phù hợp được coi là đã được khắc phục.

Nhãn TISAX® là gì?

Nhãn là kết quả của quá trình đánh giá và tóm tắt kết quả của bạn. Chúng được liên kết thứ bậc với nhau. Ví dụ nếu bạn nhận được một nhãn nhất định, bạn sẽ tự động nhận được "nhãn bên dưới" nó. Chỉ có thể xem các nhãn trong cổng ENX. Thời hạn hiệu lực của chúng thường là ba năm.

Sự không phù hợp lớn và nhỏ là gì?

Sự không phù hợp lớn là khi sự không phù hợp làm dấy lên nghi ngờ về hiệu quả tổng thể của hệ thống quản lý an toàn thông tin của bạn hoặc khi nó gây ra những rủi ro đáng kể về an toàn thông tin. Đây là trường hợp, ví dụ, nếu yêu cầu xác định hai yếu tố và điều này chưa được thực hiện.

Sự không phù hợp nhỏ tồn tại, ví dụ: nếu sự không phù hợp không đặt ra câu hỏi về hiệu quả tổng thể của hệ thống quản lý an ninh thông tin của bạn cũng như gây ra rủi ro đáng kể đối với an ninh thông tin trong ngành công nghiệp ô tô. Ví dụ, các lỗi cô lập hoặc rời rạc và các khiếm khuyết trong quá trình thực hiện.

Tôi có cần phải nộp bằng chứng về hiệu quả của các biện pháp không?

Câu trả lời là "có." Sau khi bạn đã tạo danh mục các biện pháp và thực hiện chúng, hiệu quả của chúng sẽ được xác minh. Vì lý do này, quá trình cấp giấy chứng nhận cũng có thời hạn là chín tháng.

Làm thế nào tôi có thể xác định "trước" số lượng nhân viên ?

Cụ thể: Làm thế nào tôi có thể xác định trước số lượng nhân viên chính xác nếu nhân viên bổ sung có thể không được thuê cho đến khi hợp đồng với khách hàng của chúng tôi được ký kết?

Phạm vi phân loại nhân viên cho TISAX® lớn hơn đáng kể so với tiêu chuẩn quốc tế ISO 27001. TISAX® phân loại số lượng nhân viên, ví dụ: 0-50, 51-150, v.v. Vì vậy, nếu bạn ước lượng được nhiều nhân viên mới sẽ được tuyển, để sắp xếp vào một phạm vi thích hợp.

Có bao nhiêu tài liệu để tuân thủ TISAX®?

Không thể nói chung chung ở đây. Nó luôn phụ thuộc vào quy mô và hoạt động của công ty bạn. Về mặt lý thuyết, bạn có thể bao gồm tất cả mọi thứ trong một tài liệu duy nhất, miễn là bạn có một cái nhìn tổng quan rõ ràng. Tuy nhiên, bạn nên tạo một số tài liệu bao gồm các chủ đề liên quan.

TISAX^® có thể thay thế cho bảo vệ nguyên mẫu VDA không ?

Vì TISAX® bao gồm một mô-đun riêng biệt để bảo vệ nguyên mẫu, mô-đun này chi tiết hơn nhiều về các tiêu chí riêng lẻ so với trường hợp trước đây, nên có thể giả định rằng về lâu dài TISAX® sẽ thay thế các bộ quy tắc trước đây về bảo mật thông tin trong công nghiệp ô tô. Tuy nhiên, hiện tại, phiên bản bảo vệ nguyên mẫu VDA 3.0 năm 2018 vẫn còn hiệu lực.

DQS có thể hỗ trợ gì cho Doanh nghiệp bạn ?

DQS là nhà cung cấp dịch vụ đánh giá được ủy quyền đầu tiên của ENX và thực hiện đánh giá trên toàn thế giới. Nhiều đánh giá  TISAX ® của chúng tôi cũng là những đánh giá viên đã được phê duyệt cho tiêu chuẩn quốc tế ISO 27001, có nghĩa là cả hai tiêu chuẩn có thể được DQS đánh giá cùng một lúc mà không tốn thêm nhiều công sức. Các chuyên gia của chúng tôi sẽ sẵn lòng trả lời các câu hỏi của bạn về bảo mật thông tin trong ngành ô tô. Chúng tôi luôn sẵn lòng giải đáp các câu hỏi của bạn !

Chuyên môn và sự tin tưởng

Các bài báo mang mang tính chuyên môn của chúng tôi được viết độc quyền bởi các chuyên gia tiêu chuẩn nội bộ và các đánh giá viên lâu năm của chúng tôi. Nếu bạn có bất kỳ câu hỏi nào liên quan đến nội dung hoặc tác giả của chúng tôi, vui lòng liên hệ với Đội ngũ hỗ trợ nhiệt tình của DQS!