TISAX – standard dotyczący bezpieczeństwa informacji

Wzajemnie uznawany standard audytu bezpieczeństwa informacji w branży motoryzacyjnej TISAX

TISAX (Trusted Information Security Assessment Exchange)

Przemysł motoryzacyjny cechuję się specyficznymi dla siebie wymaganiami. Częstotliwość wymiany informacji i danych w całym obszarze funkcjonowania jest ogromna. Kluczową kwestią w ramach zewnętrznej wymiany informacji jest ochrona prototypów oraz zapewnienie bezpieczeństwa komunikacji z podwykonawcami i dostawcami.


W celu zapewnienia należytej ochrony przetwarzanych danych i informacji VDA (Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego) powołało już ponad 10 lat temu swoją pierwszą grupę roboczą ds. bezpieczeństwa informacji. Opracowano katalog pytań dotyczących bezpieczeństwa informacji (VDA ISA), który sukcesywnie doskonalono. Opiera się on na głównych wymaganiach i wytycznych międzynarodowych norm ISO/IEC 27001 oraz ISO/IEC 27002 dotyczących Systemu Zarządzania Bezpieczeństwem Informacji i jest dostępny na stronie: www.vda.de


VDA ISA na przestrzeni ostatnich lat stał się fundamentem w zakresie bezpieczeństwa informacji w branży automotive. Składa się z głównego, podstawowego komponentu plus dodatkowych modułów ochrony prototypów, połączeń z osobami trzecimi (np. biurami projektowymi) oraz ochrony danych (BDSG – federalnaustawa o ochronie danych osobowych), które mogą zostać wykorzystane podczas audytu. Inne moduły są opracowywane i dodawane do katalogu w zależności od potrzeb i wymagań.


VDA ISA jest wykorzystywany przez firmy członkowskie zarówno do własnych wewnętrznych celów, jak i do audytowania dostawców i usługodawców, którzy przetwarzają poufne informacje danej firmy. W przeszłości audyty dostawców zewnętrznych były przeprowadzane przez samą zainteresowaną firmę, czego konsekwencją było poddawanie jednego podmiotu dosyć częstym audytom. Generowało to, leżące po obu stronach, zarówno straty czasowe jak i finansowe.


Organy VDA wprowadziły merytoryczne i formalne warunki wstępne do ustanowienia wspólnego mechanizmu audytu i wymiany informacji (TISAX) w przemyśle motoryzacyjnym do celów oceny bezpieczeństwa informacji (ISA). Gwarantuję on ujednolicony poziom bezpieczeństwa wymiany informacji. Model TISAX został skonstruowany tak, aby był jak najbardziej uniwersalny, a zatem miał również zastosowanie w innych sektorach.


Od 2017 r. TISAX ustanowił wspólny mechanizm oceny i wymiany audytów bezpieczeństwa informacji zgodnie z VDA ISA, który jest już używany przez ponad 1000 firm w ponad 40 krajach. Każda firma, która pracuje dla klientów w niemieckiej branży motoryzacyjnej, potrzebuje certyfikatu TISAX od 2018 roku. VDA stworzyło jednocześnie platformę wymiany informacji ENX (European Network Exchange) do obsługi świadczonych usług, w tym TISAX.


Uczestnikami TISAX mogą być wszystkie firmy z branży motoryzacyjnej (np.: producenci samochodów, dostawcy części, dostawcy surowców, dostawcy usług dla branży motoryzacyjnej jak i jej klientów, instytuty badawcze, kontrahenci oraz podmioty współpracujące z branżą motoryzacyjną), które chcą albo zlecić audyt, albo udostępnić wyniki audytu za pośrednictwem TISAX. Uczestnicy mają do wyboru dwie opcje:

  • dostęp do informacji (żądanie wyniku audytu),

  • dostarczanie informacji (dostarczanie wyniku audytu).

Firma uczestnicząca może zostać poddana audytowi na wniosek innego uczestnika lub dokonać własnych ustaleń dotyczących oceny. Po przeprowadzeniu audytu przez akredytowaną jednostkę wyniki są udostępniane stronie żądającej. Ponadto audytowane przedsiębiorstwo może udostępnić swoje wyniki innym uczestnikom TISAX na różnym poziomie szczegółowości, co pozwoli uniknąć dodatkowych audytów dla innych zainteresowanych uczestników, przy zachowaniu tych samych wymogów bezpieczeństwa.


Zalety wdrożenia TISAX:

  • zbudowanie trwałych i pozytywnych relacji z dostawcami,

  • szansa pozyskania zupełnie nowych kontaktów biznesowych,

  • stworzenie przejrzystej oceny dostawcy i usługodawcy,

  • ustanowienie wspólnego poziomu bezpieczeństwa informacji w branży motoryzacyjnej,

  • usprawnienie komunikacji w łańcuchu dostaw.

Zakres standardu TISAX obejmuję w dużym skrócie:

  • dwuczynnikowe uwierzytelniania w zakresie przetwarzania wrażliwych danych,

  • monitorowanie wskaźników KPI (Key Performacne Indicators) w konkretnych procesach bezpieczeństwa przekazywania informacji,

  • szyfrowanie baz danych,

  • ograniczenia w stosowaniu rozwiązań chmurowych do przechowywania powierzanych danych (np.: dokumentacji technicznej),

  • procesy ochrony fizycznej prototypów (np.: maskowanie).

Przystąpienie do TISAX pod kątem proceduralnym:

Sam proces składa się z 3 fundamentalnych etapów i nie może trwać dłużej niż 9 miesięcy:

  1. Rejestracja

    Jest to etap odpłatny, który odbywa się całkowicie online, przy pomocy formularza internetowego. Celem rejestracji jest:

    • akceptacja ogólnych warunków uczestnictwa w TISAX (nie podlegające negocjacjom),

    • udostępnienie danych osobowych Pełnomocnika ds. ochrony i bezpieczeństwa informacji (osoba odpowiedzialna za współpracę i kontakt z TISAX),

    • zebranie informacji o działalności firmy i zdefiniowanie zakresu oceny,

    • wybór celu oceny.

  2.  

  3. Ocena

    Kolejny etap przystąpienia do TISAX opiera się na ankiecie VDA ISA i składa się z działań w zakresie:

    • przeprowadzenia samoceny na podstawie VDA ISA i jej interpretacji,

    • wprowadzenia ewentualnych działań korygujących,

    • przydzielenia audytora akredytowanego przez TISAX,

    • audytu na zgodność z wymaganiami TISAX,

    • otrzymania raportu TISAX z końcowym wynikiem oceny.

  4.  

  5. Wymiana

    Istotą ostatniego etapu jest wymiana informacji odnośnie oceny. Audytor w przeciągu 5 -10 dni publikuje wynik oceny na platformie wymiany (ENX), która oferuje użytkownikowi szereg możliwości:

    • udostępnienie wyniku partnerowi biznesowemu, który wcześniej wystąpił z takim zapytaniem,

    • udostępnienie wyniku wszystkim/wybranym użytkownikom TISAX,

    • udostępnienie wyniku w indywidualnie zdefiniowanych zakresie.


Etykiety TISAX (tzn. wyniki oceny) tracą ważność po 3 latach. Okres ten może ulec skróceniu w wyniku istotnych zmian w zakresie oceny (np.: zmiana lokalizacji, profilu działalności firmy). Proces odnawiania etykiety wymaga ponownego przejścia całego procesu oceny.




Zapraszamy do współpracy w zakresie wdrażania standardu TISAX



Centrum Doradczo Szkoleniowe MALON Sp. z o. o.

Wrocław, ul. Józefa Piłsudskiego 74, budynek NOT
biuro@malongroup.pl
tel. (71) 789 08 41 lub 604 20 90 431
faks (71) 791 39 09


Back to Top