TISAX® audyt - Bezpieczeństwo informacji w branży motoryzacyjnej

Dlaczego warto wdrożyć standard TISAX?

W niezwykle innowacyjnym środowisku, w którym sukces zależy od wielu podmiotów, bezpieczna wymiana informacji ma zasadnicze znaczenie. Przemysł motoryzacyjny wymaga "ekosystemowego" podejścia do bezpieczeństwa informacji w ramach długich i złożonych łańcuchów dostaw.

W obecnej epoce cyfrowej potrzeby w zakresie bezpieczeństwa informacji wykraczają poza dostawców samochodów, a także firmy marketingowe i inne zaangażowane strony.

Podstawową potrzebą jest ochrona:

• projektów lub informacji projektowych, prototypów lub tajnych planów inwestycyjnych, 
• danych procesowych (big data) związanych z nowymi koncepcjami cyfryzacji, rozwojem autonomicznych samochodów, 
• wzajemnych powiązań w ramach sieci łańcucha dostaw, 
• oraz danych osobowych klientów.

Można to osiągnąć, wdrażając standard TISAX. 

TISAX – co to jest za standard?  

TISAX (Trusted Information Security Assessment Exchange) to globalny standard bezpieczeństwa informacji dla przemysłu motoryzacyjnego. Został opracowany przez VDA (Verband der Automobilindustire) i stanowi odpowiedź na coraz bardziej powszechne zagrożenia cyberbezpieczeństwa. Powstał, aby skutecznie chronić informacje w łańcuchu dostaw. Ocena TISAX jest wymagana przez niektórych producentów OEM i dotyczy przede wszystkim dostawców 1 i 2 poziomu, ale może być rozszerzona na bardziej złożone łańcuchy dostaw. 

Celem programu jest:

• ustanowienie wspólnego poziomu bezpieczeństwa dla przemysłu motoryzacyjnego,
• zapewnienie wspólnego uznawania ocen w celu zmniejszenia kosztów, wysiłków i złożoności dla producentów i dostawców,
• zapewnienie porównywalności i jakości ocen,
• wymiana najlepszych praktyk i zdobytych doświadczeń,
• umożliwienie każdemu uczestnikowi podjęcia decyzji, komu zostaną ujawnione wyniki i jaki będzie stopień ich szczegółowości.

TISAX łączy dawne Zasady Bezpieczeństwa Informacji (ISA) niemieckiego Verbandder Automobilindustrie (VDA) z Załącznikiem A (Kontrole techniczne) normy ISO/IEC 27001, jak również z niektórymi wymogami dotyczącymi prywatności.

TISAX® a ISO/IEC 27001

TISAX opiera się na kluczowych elementach normy ISO/IEC 27001 dotyczącej systemu zarządzania bezpieczeństwem informacji, skupiając się na elementach szczególnie istotnych w kontekście przemysłu motoryzacyjnego. 

Główne różnice prezentuje poniższa tabela.

Korzyści z oceny

Oceny TISAX, poza tym, że są wymogiem koniecznym u niektórych producentów, przyczyniają się do budowania zaufania w łańcuchu dostaw. Korzyści dla certyfikowanego dostawcy:

• Uznanie producentów samochodów;
• Zapobieganie naruszeniom bezpieczeństwa informacji i cyberatakom;
• Zdobycie zaufania klientów;
• Identyfikacja i przeciwdziałanie ryzykom;
• Gwarancja właściwych procesów bezpieczeństwa informacji;
• Dzielenie się wynikami oceny przez platformę ENX.

Certyfikat TISAX to także korzyści finansowe, gdyż firmy, które wdrożyły standard, mogą zwiększyć przewagę konkurencyjną i dotrzeć do nowych klientów oraz budować długotrwałe relacje.  

Jak uzyskać certfikat TISAX?

Firmy przystępujące do programu muszą zarejestrować się na portalu ENX jako uczestnik.   

Proces jest podzielony na następujące etapy: 

• Wymogi
  Zapoznanie się z wymaganiami TISAX. 
• Przygotowanie
  Rejestracja na portalu TISAX, wybór akredytowanej jednostki audytorskiej i przygotowanie się do audytu. Obejmuje to samoocenę w celu pomiaru zgodności i gotowości.  
• Ocena
  Sposób przeprowadzenia audytu zależy od tego, czy dostawca kwalifikuje się do audytu zdalnego (Poziom 2) czy fizycznego (Poziom 3). Sam audyt składa się z wywiadów, przeglądu dokumentów, wyjaśnienia ewentualnych ustaleń i kolejnych kroków.
• Plan działań naprawczych i działania poaudytowe
  Przygotowanie planu działań naprawczych (CAP) w celu zamknięcia wszelkich ustaleń (braków), jest przekazywany dostawcy usług audytowych. Plan jest oceniany pod kątem działań naprawczych i jeśli to konieczne, przesyłany do uzupełnienia. 
• Publikacja wyników
  Jednostka audytorska przesyła raport TISAX na platformę. Audytowana firma decyduje, komu udostępnić wyniki. ENX wystawia znak certyfikacyjny TISAX dla audytowanej firmy.

DNV jest akredytowanym dostawcą zatwierdzonym przez Stowarzyszenie ENX. Dzięki naszej sieci lokalnych biur i audytorów, możemy zapewnić ocenę TISAX na całym świecie.  

ENX utrzymuje kryteria i wymogi oceny dostawców usług audytorskich (TISAX ACAR). Zatwierdza dostawców audytów i monitoruje jakość wdrożenia oraz wyniki oceny. ENX jest wspierany przez Komitet TISAX, składający się z przedstawicie

Jak przygotować firmę do audytu TISAX?

Jednym z najważniejszych etapów przygotowania do audytu TISAX jest samoocena organizacji. Wymaga ona zapoznania się ze szczegółowymi wymaganiami standardu oraz zaplanowanie działań związanych z ochroną informacji. Konieczne jest wdrożenie zaawansowanych mechanizmów samooceny polegających m.in. na przeprowadzeniu analizy ryzyka obejmującej identyfikację potencjalnych zagrożeń oraz ich możliwych skutków. 

Organizacja musi zweryfikować stosowane zabezpieczenia ludzkie, techniczne oraz organizacyjne i ocenić ich skuteczność. Profesjonalna samoocena wymaga pełnego zaangażowania personelu oraz udokumentowania podjętych działań wdrażających m.in.: 

• procedury zarządzania dostępem do systemów,
• metody szyfrowania danych. 

Najważniejsza jest polityka bezpieczeństwa informacji kompleksowo opisująca strategię w zakresie ochrony danych wrażliwych. 

Kompleksowa certyfikacja z DNV

DNV oferuje szeroki zakres usług związanych z organizacją szkoleń oraz przeprowadzaniem procesów certyfikacji firm z różnych branż, nie tylko motoryzacyjnej, ale także m.in. spożywczej. Jesteśmy gronem niezależnych ekspertów wspierających organizacje w zapewnieniu bezpieczeństwa procesów zarządzania. Weryfikujemy ich zgodność z obowiązującymi standardami oraz podnosimy kompetencje pracowników. 

Nasza oferta to m.in. certyfikacja ISO 9001 – system zarządzania jakością, certyfikacja ISO 27001 – system zarządzania bezpieczeństwem informacji oraz certyfikacja ISO 50001 – system zarządzania energią. Zachęcamy do kontaktu z naszymi doradcami!