TISAX (VDA ISA) wersja 3.0 a ISO /IEC 27001:2013

TISAX (VDA ISA) wersja 3.0 a ISO/IEC 27001:2013 (2019-10-16)


Wszystkie normy przedstawiające wymagania dotyczące systemów zarządzania ulegają zmianie. Analiza kolejnych wydań tych dokumentów pokazuje, że zmiany te, będące odpowiedzią użytkowników tych norm, w większości przypadków mają na celu zwiększenie skuteczności systemów i/lub poprawę ich praktycznych aspektów.

 

W wielu przypadkach mamy również do czynienia z dostosowywaniem systemów zarządzania do wymagań konkretnych sektorów /branż. Ma to miejsce np. w przypadku ISO 9001 (system zarządzania jakością), na którym wzorowały się standardy takie jak: ISO 13485 (system zarządzania jakością dla wyrobów medycznych), AQAP 2110 (wymagania NATO dotyczące zapewnienia jakości w projektowaniu, rozwoju i produkcji). Jak widać sektorowe wymagania mogą być publikowane zarówno przez Międzynarodową Organizację Normalizacyjną (ISO), jak również przez inne instytucje zajmujące się tematem standaryzacji i normalizacji. Dostosowywanie norm do wymagań sektorowych związane jest z potrzebą uwzględnienia specyficznych wymagań, które nie mogą być zawarte w dokumentach pierwotnych, ze względu na potrzebę zachowania ich ogólnego charakteru. To właśnie ten ogólny charakter dokumentów daje możliwość wdrażania systemów zarządzania przez różnorakie organizacje i instytucje. Brak rozwiązań i wymagań specyficznych dla poszczególnych sektorów, może doprowadzić do sytuacji, kiedy firma będąca przedstawicielem danej branży, nie uwzględni na etapie wdrażania systemu, charakterystycznych dla tej branży wymagań, co może doprowadzić do zmniejszenia skuteczności danego systemu zarządzania.

 

To właśnie powyższe przesłanki spowodowały, opublikowanie przez VDA (Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego) wymagań dotyczących systemu bezpieczeństwa informacji VDA ISA na podstawie międzynarodowego standardu ISO /IEC 27001. Dodatkowo na potrzeby branży motoryzacyjnej VDA opracowało zasady nie tylko audytu zgodności z tymi wymaganiami, ale również zasady wymiany informacji dotyczące wyników tych audytów (określane mianem: TISAX).


Porównanie rozwiązania wprowadzonego przez VDA względem tego wprowadzonego przez ISO należy przeprowadzić na dwóch płaszczyznach:

  • porównanie wymagań ISO /IEC 27001 i wymagań VDA ISA,

  • porównanie modelu ocen, czyli realizowanej w systemie międzynarodowej akredytacji certyfikacji na zgodność z ISO /IEC 27001 oraz modelu audytu i wymiany informacji TISAX.

 

Porównanie wymagań ISO /IEC 27001 i wymagań VDA ISA.

Podstawowa różnica pomiędzy ISO /IEC 27001 a VDA ISA to struktura wymagań oraz sposób przedstawieni tych wymagań.

 

Wymagania dotyczące bezpieczeństwa informacji w ISO /IEC 27001 zostały przedstawione w ramach 10 punktowej struktury, dobrze znanej od kilku lat użytkownikom norm ISO dotyczących innych systemów zarządzania. Wśród wymagań znalazły się te charakterystycznych dla systemu zarządzania bezpieczeństwem informacji, które przedstawione zostały w pkt. 8. Działania operacyjne, oraz te które są spójne z wymaganiami innych norm ISO, określających systemy zarządzania: 4. Kontekst organizacji, 5. Przywództwo, 6. Planowanie, 7. Wsparcie, 9. Ocena wyników, 10. Doskonalenie.

 

Należy podkreślić, że wymagania te w przypadku części z tych punktów są praktycznie tożsame z wymaganiami np. ISO 9001 dla systemu zarządzania jakością i innych, jednak określone w kontekście zarządzania bezpieczeństwem informacji. Na uwagę zasługuje jednak obligatoryjny załącznik A, w którym przedstawiony został wzorcowy wykaz zabezpieczeń i celów stosowania tych zabezpieczeń. Obligatoryjność (normatywność) załącznika A oznacza, że jest on integralną częścią wymagań standardu ISO /IEC 27001, a tym samym wymagania w nim przedstawione należy wdrożyć w ramach implementacji systemu zarządzania bezpieczeństwem informacji. Katalog zabezpieczeń i ich celów, przedstawione w załączniku A nie są jednak katalogiem zamkniętym. W przypadku, jeśli w wyniku przeprowadzonego szacowania ryzyka, na etapie określania strategii postępowania z ryzykiem i definiowania konkretnych środków wynikających z tych strategii, wyniknie wdrożenia dodatkowych zabezpieczeń to organizacja powinna je wdrożyć, w celu zapewnienia skuteczności przyjętych środków względem danego zagrożenia, a w wyniku tego zapewnienia skuteczności całego systemu zarządzania bezpieczeństwem informacji.

 

Wymagania w treści ISO /IEC 27001 zostały przedstawione w sposób bardzo ogólny, umożliwiający wdrożenie systemu zarządzania bezpieczeństwem informacji w różnych organizacjach: firmach produkcyjnych i usługowych (niezależnie od branży), urzędach i instytucjach, organizacjach otoczenia biznesu itp. Ten ogólny charakter dotyczy również 114 zabezpieczeń przedstawionych w załączniku A. W części przypadków są one bardziej precyzyjne niż same wymagania normy, jednak mają charakter ramowy, które to ramy należy w ramach wdrożenia wypełnić konkretnymi rozwiązaniami charakterystycznymi dla firmy i odpowiednimi do uzyskanych wyników oceny ryzyka.

 

Jeśli wymaganie zostanie przez organizację spełnione, będzie adekwatne do jej potrzeb i skuteczne, to ocena zgodności będzie polegała na stwierdzeniu zgodne /niezgodne bez określenia poziomu tej zgodności lub stopnia skuteczności tego zabezpieczenia.

 

Podczas oceny przeprowadzanej w ramach audytów wewnętrznych lub zewnętrznych w przypadku stwierdzenia słabości rozwiązania lub możliwości jego doskonalenia, możliwe jest wskazanie potencjałów do doskonalenia, jednak po ich wdrożeniu, ich ocena będzie ponownie oceną zero-jedynkową (zgodne /niezgodne).

 

W przypadku wymagań VDA ISA, wymagania te zostały przedstawione w formie katalogu pytań opartego na głównych aspektach międzynarodowej normy ISO / IEC 27001. Pytania te zostały podzielone na 2 części:

  • pytania obligatoryjne: dotyczące oceny bezpieczeństwa informacji (bazujące głównie na ISO 27001:2013),

  • pytania dodatkowe: do wdrożenia, w przypadku, kiedy mają zastosowanie w danej organizacji, dotyczące:

    • połączenia osobami trzecimi, bazujące na ISO 27002:2013
      wymagania mające zastosowanie w przypadku, gdy pracownicy firmy uzyskują dostęp do systemów informatycznych innych firm za pośrednictwem połączeń sieciowych z siedziby firmy

    • ochrony prototypów
      wymagania odnośnie fizycznych i organizacyjnych zabezpieczeń dotyczących ochrony prototypów pojazdów (w tym komponentów i części)

    • ochrony danych osobowych
      wymagania mające zastosowanie w przypadku powierzenia przetwarzania danych osobowych (zgodnie z art. 28 Rozporządzenia RODO).

Dodatkowo w arkuszu VDA ISA przedstawione zostały:

  • przykłady kluczowych wskaźników wydajności (KPI’s) do pomiaru wyników procesów możliwych do zastosowania (jako wsparcie do określenia własnych KPI wymaganych przy 4 poziomie dojrzałości);

  • przykłady najlepszych praktyk – dodatkowe rekomendacje w zakresie stref bezpieczeństwa, wizualizacji /etykietowania, personelu, zabezpieczeń poza miejscem pracy i klas ochrony;

  • słownik – przedstawiający stosowane skróty i terminy;

  • warunki licencji VDA ISA.

Do każdego z pytań przedstawione zostały cele stosowania danej grupy zabezpieczeń oraz wymagania. Wymagania zostały podzielone na:

  • musi – must: wymagania i środki niezbędne do wdrożenia do osiągnięcia celu,

  • powinien – should: zasadniczo wdrożenie tych wymagań i środków jest konieczne do osiągnięcia celu. jednak wdrożenie innych, adekwatnych środków pozwalających na osiągnięcie celu również jest dopuszczalne,

  • może – may: wymagania i środki, których wdrożenie, w zależności od wielkości firmy i okoliczności, może być konieczne do osiągnięcia celów bezpieczeństwa,

  • dodatkowe wymagania i środki w przypadku wysokich wymagań w zakresie bezpieczeństwa danych,

  • dodatkowe wymagania i środki w przypadku bardzo wysokich wymagań w zakresie bezpieczeństwa danych.

Zgodność i skuteczność poszczególnych wdrożonych i stosowanych środków określana jest w 6 stopniowej skali dojrzałości:

  • Poziom 0: wdrożenie wymagań jest niekompletne. Proces nie istnieje lub istniejący proces nie osiąga wymaganych wyników.

  • Poziom 1: niezbędne wymagania są spełnione. Proces jest na realizowany i są dowody jego funkcjonowania jednak nie jest do końca udokumentowany i dlatego nie można zapewnić jego ciągłego funkcjonowania.

  • Poziom 2: Możliwe jest zarządzanie procesem, w celu osiągania celów. Proces jest udokumentowany i dostępne są na to stosowne dowody (np. dokumentacja).

  • Poziom 3: Ustanowiono proces osiągania celu oraz określono powiązania pomiędzy procesami wskazując na istniejące zależności pomiędzy nimi. Dokumentacja jest aktualna i utrzymywana.

  • Poziom 4: Spełnienie wymagań Poziomu 3, a ponadto mierzone są wyniki procesu (np. KPI), dzięki czemu proces jest przewidywalny.

  • Poziom 5: Spełnienie wymagań Poziomu 4, a ponadto zapewniane są dodatkowe zasoby (np. personel i finanse), w celu optymalizacji procesu. Proces podlega ciągłemu doskonaleniu.

W zależności od pytania zostały określone różne minimalne poziomy, których uzyskanie jest niezbędne do uzyskania pozytywnego wyniku oceny. Wartości wymaganych poziomów dojrzałości dla konkretnych pytań zostały przedstawione w załączniku nr 1.

 

W załączniku tym przedstawione również zostało porównanie wymagań VDA ISA (TISAX) w odniesieniu do dokumentów referencyjnych. Wśród tych dokumentów poza ISO /IEC 27001:2013 znajdują się również:

  • ISO /IEC 27002:2013 Technika Informatyczna — Techniki bezpieczeństwa — Praktyczne zasady zabezpieczania informacji.
    Norma ta stanowi kompendium środków i dobrych praktyk, które to organizacje mogą wdrażać na etapie wdrażania zabezpieczeń wskazanych jako obowiązkowe w załączniku A do ISO /IEC 27001 oraz dodatkowych zabezpieczeń, które mogą być określone przez organizację jako niezbędne do zapewnienia skuteczności systemu zarządzania bezpieczeństwem informacji.
    Norma ISO /IEC 27002 wykorzystywana jest jako wytyczne przy wyborze odpowiednich dla organizacji środków do osiągnięcia celów określonych dla poszczególnych zabezpieczeń.

  • ISO/IEC 27017:2015 Technika informatyczna — Techniki bezpieczeństwa — Praktyczne zasady zabezpieczenia informacji na podstawie ISO/IEC 27002 dla usług w chmurze.
    Norma analogiczna do ISO /IEC 27002 jednak uwzględniająca jedynie wytyczne względem zabezpieczeń dotyczących usług w chmurze.

  • Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Rozporządzenie RODO w zakresie powierzania przetwarzania danych osobowych).

Większość zabezpieczeń przedstawionych w załączniku A do normy ISO /IEC 27001 zostało przedstawionych w katalogu pytań VDA ISA. W przypadku wymagań samej normy ISO /IEC 27001 brakuje jednoznacznych odwołań do nich w treści VDA ISA. Pomimo jednak ich braku, odniesienie do nich można znaleźć wśród poszczególnych wymagań VDA ISA. Załącznik nr 1 do niniejszego opracowania został przygotowany wyłącznie na podstawie informacji przedstawionych przez VDA w katalogach pytań (głównych oraz dodatkowych), które dostępne są w arkuszu excel udostępnionym przez VDA na stronie: https://www.vda.de/information-security-requirements.

 

Dodatkowo w załączniku nr 2 do niniejszego opracowania zostało przedstawione w jaki sposób wymagania ISO /IEC 27001 zostały wprowadzone do katalogu pytań VDA ISA. W tym przypadku również jedynym materiałem źródłowym były informacje przedstawione jednoznacznie przez VDA. Nie zostały przedstawione w tym opracowaniu żadne powiązania pomiędzy wymaganiami, które nie zostały wprost wskazane, ale wynikają z charakteru samych wymagań.

 

Porównując wymagania VDA ISA z wymaganiami ISO /IEC 27001 w pierwszej kolejności widać, że podejście zastosowane przez VDA jest znacznie bardziej szczegółowe. Większość z wymagań pokrywa się z wymaganiami ISO /IEC 27001, w szczególności załącznika A. Niektóre jednak wymagania to wprost przedstawione zabezpieczenia jakie muszą /powinny być przez organizację wdrożone. W tak szczegółowej formie nie zostały one przedstawione w załączniku A do ISO /IEC 27001. Znaleźć jednak można podobne zabezpieczenia w treści normy ISO /IEC 27002 stanowiącej rozwinięcie załącznika A ISO IEC 27001. Przykładem takich wymagań mogą być np. zabezpieczenia przedstawione w odniesieniu do bezpieczeństwa fizycznego (punkt 11). W VDA ISA przedstawiono wśród wymagań typu „should” zabezpieczenia takie jak:

  • określenie regulacji dotyczących przyjmowania gości, w tym ich rejestrowania i eskortowania
    przykładowo w ISO /IEC 27001 jest mowa jednie o ochronie stref bezpiecznych i zapewnieniu dostępu jedynie osobom uprawnionym, a w ISO /IEC 27002 zostało przedstawionych w tym zakresie kilka możliwych do zastosowania środków w tym zbliżone do tych przedstawionych w VDA ISA,

  • odpowiednia identyfikacja stref bezpieczeństwa,

  • monitorowanie stref bezpieczeństwa,

  • zapewnienie redundantnych źródeł mediów (energia elektryczna, połączenia telekomunikacyjne itp.),

  • i wiele innych.

Tak jak w pierwszym z przypadków, wymagania dotyczące tych obszarów zostały przedstawione w ISO /IEC 27001 w tym w załączniku A jednak w taki sposób, że organizacja wdrażająca ma pewną elastyczność w wyborze konkretnych środków, które zastosuje. W tym zakresie organizacja może posiłkować się przykładowymi środkami i dobrymi praktykami przedstawionymi w ISO /IEC 27002. Ich wybór i zastosowanie, jest jednak w pełni uzależnione od organizacji, jej wyników oceny ryzyka oraz podjętych decyzji. Nie ma bowiem obowiązku stosowania jakichkolwiek środków i dobrych praktyk przedstawionych w ISO /IEC 27002. Wymagania VDA ISA w części przypadków nie dają takiej możliwości i nakładają obowiązek wprowadzenia konkretnych środków. Wymagania VDA ISA są bardziej „sztywnymi wymaganiami” od tych przedstawionych w ISO /IEC 27001.

 

Dodatkowo wśród wymagań oraz wytycznych przedstawionych w VDA ISA oraz innych opracowaniach przedstawionych przez komitet techniczny VDA ds. Bezpieczeństwa Informacji znajdują się rekomendowane sposoby między innymi:

  • określania klas ochrony informacji,

  • klasyfikowania informacji w odniesieniu do poufności,

  • etykietowania informacji cyfrowej w celu określenia klasy informacji,

  • określania klasy obszarów /stref bezpieczeństwa,

  • określenia i przyjęcia KPI dla bezpieczeństw informacji (kluczowych wskaźników procesu) wraz z systemem ich monitorowania.

Takich rekomendacji nie znajdziemy w treści ISO /IEC 27001 oraz załącznika A, jak również wśród wytycznych i dobrych praktyk przedstawionych w ISO 27002. Są to już konkretne proponowane do wdrożenia rozwiązania mające na celu standaryzację podejścia do konkretnych zagadnień w branży motoryzacyjnej.


Dodatkowo wśród wymagań specyficznych znalazły się między innymi wymagania dotyczące ochrony prototypów, w tym między innymi:

  • zabezpieczeń dotyczących otoczenia firmy (dokument referencyjny: ISO 27002),

  • solidności konstrukcji obiektu (dokument referencyjny: ISO 27002),

  • separacja Klienta (brak dokumentów referencyjnych),

  • obsługa pojazdów, komponentów i części (brak dokumentów referencyjnych),

  • wymagania dotyczące pojazdów testowych (brak dokumentów referencyjnych).

Na uwagę zasługują również znacznie bardziej szczegółowe niż w ISO /IEC 27001 wymagania w zakresie:

  • ochrony danych osobowych (dodatkowe wymagania w VDA ISA, wdrażane, jeśli mają zastosowanie),

  • połączenia z osobami trzecimi (dodatkowe wymagania w VDA ISA, wdrażane, jeśli mają zastosowanie),

  • wymagania dotyczące przetwarzania danych w chmurze.

W przypadku wymagań VDA ISA brak jest jednak wymagań charakterystycznych dla systemów zarządzania określanych wymaganiami norm ISO dotyczących kontekstu organizacji (czynniki zewnętrzne i wewnętrzne, wymagania stron zainteresowanych (te w VDA ISA są wprost wskazane)) oraz odniesienia do nich w zakresie np. zarządzania ryzykiem, przeglądu zarządzania przez kierownictwo. Dodatkowo brakuje szczegółowych wymagań dotyczących przywództwa przedstawionych w normach ISO w pkt. 5, wymagań dotyczących audytów systemowych (pkt. 9.2) oraz przeglądu zarządzania przez kierownictwo (9.3) w takiej formie, do której są przyzwyczajeni użytkownicy norm ISO.

 

Podsumowując: wymagania przedstawione w katalogu pytań VDA ISA, pomimo że bazują na ISO /IEC 27001 to części z nich poziomem szczegółowości bliżej jest do wytycznych przedstawionych w ISO 27002, a część z nich ze względu na to, że są specyficzne dla branży motoryzacyjnej w ogólnie nie występuje w jednej i drugiej normie (te jednak należą do mniejszości). Z tego względu na etapie wdrażania systemu bezpieczeństwa informacji należy mieć na uwadze, że w przypadku wymagań VDA ISA organizacje mają znacznie mniejszą elastyczność w doborze zabezpieczeń niż w przypadku ISO /IEC 27001. Dodatkowo ze względu na strukturę wymagań system zbudowany na podstawie wymaga ISO /IEC 27001 łatwiej jest zintegrować z innymi systemami zarządzania zgodnymi z wymaganiami innych norm ISO. Pomimo tego integracja systemu bezpieczeństwa informacji zgodnego z wymaganiami VDA ISA również nie jest jakoś szczególnie kłopotliwa. Porównując wymagania VDA ISA z wymaganiami normy ISO /IEC 27001 wyraźnie widać ukierunkowanie wymagań dotyczących bezpieczeństwa informacji na informacje powierzane przez, lub istotne dla Klientów /odbiorców na rynku motoryzacyjnym. ISO /IEC 27001 przedstawia wymagania dotyczące systemu zarządzania bezpieczeństwem informacji dla wszystkich istotnych informacji przetwarzanych w firmie, niezależnie od ich wagi dla klientów. Równie istotna w firmie może być bowiem informacja dotycząca np. strategii rozwoju firmy i jej procesów co może być informacją w ogóle nie dostępną dla stron zewnętrznych, a jednak jej ochrona może być jednym z priorytetów firmy.

 

Pomimo tego, że nie wynika to wprost z wymagań VDA ISA to z założeń modelu oceny i wymiany informacji TISAX można wywnioskować, że w systemie bezpieczeństwa informacji zgodnym z VDA ISA najistotniejszą informacją wymagającą zapewnienia odpowiedniej ochrony jest informacja stanowiąca własność Klientów. Oczywistym jest, że wprowadzając zabezpieczenia większość z nich będzie miała zastosowanie do wszystkich przetwarzanych w firmie informacji (np. zabezpieczenia dotyczące stref bezpieczeństwa, systemów informatycznych dostępu do aktywów informacyjnych itp.), to jednak część z nich nie musi mieć zastosowania do ogółu danych (np. reguły klasyfikacji informacji).

 
 

Porównanie modelu ocen, czyli realizowanej w systemie międzynarodowej akredytacji certyfikacji na zgodność z ISO /IEC 27001 oraz modelu audytu i wymiany informacji TISAX.

Różnice pomiędzy modelem oceny realizowanym w ramach akredytowanej certyfikacji ISO /IEC 27001 a modelem audytu i wymiany informacji TISAX są znacznie większe niż różnice pomiędzy wymaganiami obu standardów.

 

W przypadku certyfikacji zgodności systemu zarządzania bezpieczeństwem informacji ISO /IEC 27001 przeprowadzana ona jest w ten sam sposób jak procesy certyfikacji innych systemów zarządzania np. jakością na zgodność z ISO 9001, zarządzania środowiskowego – ISO 14001 czy BHP – ISO 45001. W tych przypadkach podczas dwufazowego audytu weryfikowana jest zgodność systemu zarządzania z wymaganiami ISO /IEC 27001 oraz regulacjami wewnętrznymi organizacji (w tym z Deklaracją Stosowania). Ze względu na ogólny charakter wymagań normy oraz możliwość ich spełnienia na wiele różnych sposobów, oceniający (audytor) musi charakteryzować się otwartością umysłu. Nie może stwierdzić, że któreś ze stosowanych zabezpieczeń przez firmę jest złym zabezpieczeniem, jeśli firma potrzebę jego wdrożenia określiła na podstawie przeprowadzonej oceny ryzyka oraz pozytywnie oceniła jego skuteczność. Jeśli procedury jednostki certyfikującej mu na to pozwalają, może wskazać w takich przypadkach potencjały do doskonalenia, jednak nie może narzucić obowiązku ich wdrożenia. W tym przypadku ocena zgodności z VDA ISA jest w części przypadków znacznie bardziej prosta – zero jedynkowa.

 

Należy jednak mieć na uwadze fakt, że na każde z pytań przedstawione w katalogu pytań VDA ISA można uzyskać ocenę we wskazanej powyżej 6 stopniowej skali dojrzałości. Dla każdego z pytań określona została minimalna ocena, która waha się pomiędzy 2 a 4 i na podstawie których to ocen wyznaczane są oceny zbiorcze dla poszczególnych obszarów tematycznych. Wyniki dla poszczególnych obszarów są przedstawiane na wykresie radarowym. To znacznie bardziej precyzyjne przedstawianie wyników audytu niż w przypadku certyfikacji ISO /IEC 27001, gdzie wskazane są jedynie obszary, w których stwierdzono pełną zgodność, częściową zgodność (z uwagami) oraz brak zgodności (sposób przedstawienia tych wyników zależy od procedur wewnętrznych jednostki certyfikującej).

 

Na szczególną uwagę zasługuje jednak nie sama ocena /audyt, a zarządzanie informacją poaudytową. W przypadku certyfikacji ISO /IEC 27001 audytowana firma otrzymuje raport z audytu, a w ślad za nim certyfikat potwierdzający zgodność jej systemu zarządzania bezpieczeństwem informacji z wymaganiami ISO /IEC 27001. W przypadku modelu oceny TISAX po przeprowadzonym audycie raport jest publikowany w systemie TISAX. Wyniki te mogą być udostępniane przez właściciela raportu (ocenianą firmę) innym uczestnikom TISAX (np. Klientom lub potencjalnym klientom zainteresowanym współpracą z daną firmą). W ten sposób można skuteczniej zapobiec dodatkowym audytom bezpieczeństwa informacji ze strony klientów i potencjalnych klientów, niż w przypadku ISO /IEC 27001, ze względu na pełniejszą informację, do której można zainteresowanym zapewnić dostęp.

 

Audyty w obu przypadkach przeprowadzane są przez akredytowane jednostki certyfikujące. W przypadku ISO /IEC 27001 akredytacja przyznawana jest przez tzw. krajowe jednostki akredytujące (w Polsce PCA – Polskie Centrum Akredytacji: www.pca.gov.pl). W przypadku TISAX nadzór nad jakością audytów oraz obsługą platformy TISAX sprawuje wytypowana do tego celu przez VDA organizacja: Stowarzyszenie ENX (European Network eXchange): www.enx.com/tisax/. Na stronie tej można znaleźć informacje o jednostkach akredytowanych do przeprowadzania audytów TISAX. Porównując informacje dostępne na stronie PCA oraz innych krajowych jednostek akredytujących z informacjami dostępnymi na stronie ENX widać jak wielka jest różnica pomiędzy ilością jednostek certyfikujących zgodność z ISO /IEC 27001, a tymi które mają akredytację ENX na przeprowadzanie audytów TISAX.

 

Dodatkowo Stowarzyszenie ENX zarządza portalem wymiany informacji o wynikach ocen zgodności z VDA ISA pomiędzy zarejestrowanymi użytkownikami platformy. To zasadnicza różnica pomiędzy modelem oceny TISAX a certyfikacją ISO/IEC 27001. Nie istnieje bowiem żaden jednolity rejestr posiadaczy certyfikatów ISO /IEC 27001. Każda z jednostek posiada swój wewnętrzny rejestr i daje możliwość weryfikowania ważności wystawionego przez siebie certyfikatu. Aby jednak móc zweryfikować taki certyfikat niezbędna jest znajomość jego numeru (w niektórych przypadkach wystarczy nazwa firmy). Nie ma jednak jednego wspólnego dla wszystkich jednostek rejestru podmiotów certyfikowanych. W przypadku TISAX wszystkie podmioty, które przeszły audyt TISAX są zarejestrowane na platformie TISAX i za jej pomocą mogą udostępniać innym zarejestrowanym użytkownikom tej platformy wyniki przeprowadzonych u nich audytów (raporty TISAX). To daje znaczną przewagę systemowi TISAX nad certyfikowanym systemem zgodnym z ISO /IEC 27001.

 

Pomimo wskazanej przewagi TISAX należy liczyć się również z pewnymi minusami, do których należą lub mogą należeć:

  • wskazana powyżej większa „sztywność” wymagań VDA ISA ponad wymagania ISO /IEC 27001 a tym samym możliwe większe kłopoty z wdrożeniem (ze względu na problematyczność wdrożenia części zabezpieczeń),

  • niższa podaż na rynku akredytowanych audytów TISAX niż akredytowanej certyfikacji zgodności z ISO /IEC 27001 (stosunek podaży do popytu zawsze determinuje wysokość cen za usługę),

  • transparentność wyników dla upoważnionych uczestników TISAX (przez audytowaną firmę) – to może być dla jednych plusem a dla innych organizacji minusem,

  • standard przeznaczony typowo dla branży motoryzacyjnej – możliwa trudność z rozpoznawalnością w innych branżach, dla których produkcję, poza branżą motoryzacyjną, może również prowadzić organizacja.

W przypadku części klientów w branży motoryzacyjnej wystarczającym jest wdrożenie i certyfikowanie systemu ISO /IEC 27001. Dla innych istotne może być wdrożenie i ocena TISAX. Jak w przypadku każdego tego typu dylematu o zdanie należy zapytać swoich klientów czy mają jakieś preferencje względem wymagań, które będą określały funkcjonujący system bezpieczeństwa informacji. Prawda jest taka, że nawet jeśli firma zdecyduje się na wdrożenie i certyfikację ISO /IEC 27001, a w ramach swojej działalności ma do czynienia z prototypami to wskazane jest zastosowanie wymagań TISAX w tym obszarze – nawet jeśli nie znajdują się one w ISO /IEC 27001. Na uwadze zawsze należy mieć podstawowy cel tych zabezpieczeń: zapewnienie odpowiedniego poziomu bezpieczeństwa informacji, w szczególności danych powierzanych organizacji przez jej Klientów.


Rafał Malon




Zapraszamy do zapoznania z informacjami dotyczącymi przebiegu projektu wdrażania systemu bezpieczeństwa informacji zgodnego z wymaganiami VDA ISA (link do opisu projektu wdrożeniowego) oraz naszej oferty związanej z tym tematem.

Zapraszamy do zapoznania z naszymi pozostałymi usługami dotyczącymi systemów bezpieczeństwa informacji zgodnego z VDA ISA:


Back to Top