TISAX

TISAX® (Trusted Information Security Assessment Exchange) to ocena zabezpieczeń dotyczących wymiany poufnych informacji pomiędzy producentami samochodów, dostawcami i usługodawcami. Wymagania standardu TISAX® zostały opracowane przez VDA , czyli Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego w roku 2017. Stworzony przez VDA katalog wymagań VDA Information Security Assessment jest oparty na normie ISO/IEC 27001 oraz skierowany do sektora motoryzacyjnego. TISAX skupia się na dostępności danych w procesach produkcyjnych, ich integralności oraz ochronie.

KOGO DOTYCZY TISAX?

Ukierunkowanie standardu TISAX na branżę motoryzacyjną w praktyce dotyka takie podmioty jak: producenci samochodów oraz komponentów, firmy szkoleniowe, instytuty badawcze, dostawców usług (w tym nowych technologii, sektora IT), agencje reklamowe.

Producenci samochodów (w tym OEM) są rozumiani w procesie jako uczestnik bierny, ponieważ są to podmioty obserwujące wyniki ocen. Na ich podstawie mogą określić chęć dalszej współpracy z dostawcami lub rozpoczęcie nowych kooperacji. Prawem producentów jest zażądanie opublikowania raportu po wykonaniu oceny potencjalnego lub obecnego kontrahenta. W tym celu uczestnik bierny, tak samo jak uczestnik czynny musi się zarejestrować na platformie ENX.

Uczestnicy czynni to wszyscy dostawcy współpracujący z producentami. Mogą oni sami poddać się ocenie zwiększając jednocześnie swój poziom konkurencyjności oraz ulepszając drogę dotarcia do innych partnerów biznesowych. Mogą jednak zostać poproszeni przez uczestnika biernego o uzyskanie oceny zewnętrznej oraz o jej publikację.

VDA Information Security Assessment opiera się na ochronie danych, prototypów, bezpieczeństwie informacji oraz zagadnieniach takich jak:

  • Polityka bezpieczeństwa informacji,
  • Organizacja bezpieczeństwa informacji,
  • Zarządzanie zasobami informacyjnymi,
  • Zarządzanie dostępem,
  • Kryptografia,
  • Bezpieczeństwo fizyczne i środowiskowe,
  • Bezpieczeństwo operacyjne,
  • Bezpieczeństwo komunikacji,
  • Rozwój i utrzymanie systemów,
  • Zarządzanie ciągłością działania,
  • Zgodność

Checklista zawiera również podpunkty wymienionych zagadnień jak również pytania kontrolne oraz kryteria oceny dla każdej podkategorii.

TISAX wyróżnia trzy poziomy ochrony informacji (normalny, wysoki i bardzo wysoki) oraz trzy poziomy oceny (AL).

  1. Poziom 1 – opiera się na samoocenie uczestnika, bez konieczności przeprowadzenia audytu przez organizację akredytowaną przez stowarzyszenie ENX,
  2. Poziom 2 – wymaga wsparcia organizacji akredytowanej do weryfikacji oraz wykonania audytu. Organizacja ta określa stan faktyczny konfrontując go z samooceną uczestnika. Dodatkowo przeprowadzany jest wywiad z osobą odpowiedzialną za bezpieczeństwo informacji oraz weryfikacja dowodów. Odbywa się to zazwyczaj w formie spotkania on-line.
  3. Poziom 3 – z wymogiem kontroli na miejscu, na terenie firmy, gdzie następują obserwacje, wywiady z osobami zarządzającymi procesami, obserwacja tych procesów oraz rozmowy z pracownikami różnych szczebli.

Aby uzyskać etykietę TISAX® uczestnik jest zobowiązany do:

  1. Wykonania rejestracji się na platformie ENX.
  2. Zawarcia kontraktu z organizacją akredytowaną przez ENX.
  3. Sporządzenia zewnętrznej oceny poprzedzonej audytem organizacji akredytowanej przez ENX.
  4. Opublikowania raportu na platformie TISAX (ENX) po jego uzyskaniu.

Korzyści dla uczestników:

  1. Zwiększenie bezpieczeństwa know-how,
  2. Zminimalizowanie ryzyka kar/kosztów poprzez uniknięcie ryzyka wycieku danych,
  3. Ujednolicenie, uproszczenie oraz ustandaryzowanie dla całego przemysłu motoryzacyjnego oraz wszystkich uczestników TISAX,
  4. Ułatwienie dostępu do nowych klientów poprzez budowanie zaufania do naszej firmy,
  5. Ograniczenie ilości ustaleń z klientami zadającymi wiele pytań o formy zabezpieczania danych,
  6. Sprawdzenie poziomu naszych zabezpieczeń dla innych korzyści.

Standard TISAX jest uznawany przez OEM-y rynku niemieckiego co stanowi wartość samą w sobie.

JAK MOŻEMY CI POMÓC?

JUVO, wykorzystując duże doświadczenie w obsłudze podmiotów gospodarczych w zakresie ochrony danych osobowych oraz bezpieczeństwa informacji pomoże Ci zdobyć etykietę TISAX®.

Zajmujemy się tym obszarem doradztwa od 2011 roku. Wspieramy naszych parterów w kwestiach zapewnienia bezpieczeństwa informacji, wdrażamy modele systemu zarządzania bezpieczeństwem informacji zgodne z wymogami normy PN-EN ISO/IEC 27001 od początku naszej działalności. Od lat obserwujemy trendy rynkowe, zmiany w regulacjach, które zaowocowały wprowadzeniem RODO w 2018 r., a aktualnie kolejne zmiany nieuchronnie zbliżają podmioty z branży motoryzacyjnej do spełnienia oraz utrzymywania wymagań standardu TISAX®.

Przygotujemy Twoją firmę do audytu oferując jednocześnie wsparcie podczas samego audytu. Przeprowadzimy audyt zerowy, który pozwoli na ocenę poziomu zgodności standardu Twojej firmy względem oczekiwanego stanu końcowego oraz standardu TISAX. Na tym etapie celem będzie wykrycie oraz zdiagnozowanie niezgodności wraz z określeniem sposobu ich eliminacji. Odbędziemy rozmowy z członkami Twojego przedsiębiorstwa zapraszając ich do współpracy przy tworzeniu dokumentacji. Wyjaśnimy tym samym cel oraz zasadność wprowadzenia zmian w danych obszarach. Po audycie zerowym oraz weryfikacji samooceny przygotujemy plan projektu. Zawiera on zazwyczaj checklistę zadań do zrealizowania z wyszczególnieniem działów lub osób odpowiedzialnych. Pomożemy zabezpieczyć procesy oraz dobrać odpowiedni dla nich poziom zabezpieczeń (AL1, AL2 lub AL3).

ILE TRWA CAŁY PROCES?

Proces od dnia podpisania umowy zajmuje od trzech do dwunastu miesięcy w zależności od doboru poziomu oceny.

Skontaktuj się nami.