TISAX® - Информационная безопасность в автомобильном секторе
Защита конфиденциальной информации, например, прототипов, защита репутации бренда и повышение лояльности клиентов.
В чрезвычайно инновационной среде, успех которой зависит от множества игроков, безопасный обмен информацией имеет важное значение. Автомобильная промышленность требует "экосистемного" подхода к информационной безопасности в рамках своих длинных и сложных цепочек поставок.
В наш цифровой век потребности в информационной безопасности распространяются не только на поставщиков автомобилей, но и на маркетинговые компании и другие заинтересованные стороны. Основная потребность заключается в защите:
- проекты или информация о дизайне, прототипы или секретные планы инвестиций,
- большие данные и технологические данные, связанные с новыми концепциями цифровизации, развитием автономных автомобилей,
- взаимосвязи в сети цепочки поставок,
- и персональные данные клиентов
Что такое ТИСАКС
TISAX (Trusted Information Security Assessment eXchange) - это глобальный стандарт информационной безопасности для автомобильной промышленности. Подход к оценке информационной безопасности, основанный на зрелости, ориентирован на потребности автомобильной промышленности. В первую очередь он применим к поставщикам первого и второго уровня, но может быть распространен и на более сложные цепочки поставок, оценка является требованием некоторых OEM-производителей.
Цель схемы заключается в следующем:
- установить общий уровень безопасности для автомобильной промышленности
- обеспечить общее признание оценок для снижения затрат, усилий и сложности для производителей и поставщиков
- обеспечить сопоставимость и качество оценок
- обмениваться передовым опытом и извлеченными уроками
- позволить каждому участнику решать, кому будут раскрыты результаты и степень их детализации
TISAX объединяет бывшие Правила информационной безопасности (ISA) Немецкого союза автомобильной промышленности (VDA) с Приложением A (Технические средства контроля) стандарта ISO/IEC 27001, а также некоторые требования конфиденциальности.
TISAX® в сравнении с ISO/IEC 27001
TISAX опирается на ключевые элементы стандарта системы управления информационной безопасностью ISO/IEC 27001, уделяя особое внимание элементам, имеющим непосредственное отношение к контексту автомобильной промышленности.
Основными отличиями являются:
ISO/IEC 27001 | TISAX |
Стандарт системы управления | Охватывает процессы и части информационной безопасности, относящиеся к партнерам в автомобильная промышленность |
Включение/выключение | Подход, основанный на уровне зрелости |
Область применения определена до сертификации | Область применения фиксирована |
Анализ рисков на уровне компании | Риск на основе рабочей группы VDA-ISA анализ |
Орган по сертификации выдает сертификат | TISAX выпускает этикетку и обмен регистрация |
Периодический аудит и ресертификация после 3 года | Срок действия 3 года, без периодических аудитов |
Преимущества оценок
Помимо того, что оценки TISAX являются требованием к определенным производителям, они способствуют укреплению доверия в цепочке поставок. Участвующие поставщики могут получить следующие преимущества:
- Признание со стороны производителей автомобилей;
- Предотвращение нарушений информационной безопасности и кибератак;
- Завоевание доверия клиентов;
- Выявление и устранение рисков;
- Получение признания за надлежащие процессы информационной безопасности;
- Обмен результатами оценки через биржу ENX.
Начало работы
Компании, участвующие в программе, должны зарегистрироваться в ENX в качестве участника. Процесс проходит поэтапно:
- Внимание
Ознакомьтесь с требованиями TISAX. - Подготовка
Зарегистрируйтесь на портале TISAX, выберите аккредитованный аудиторский орган и подготовьтесь к аудиту. Это включает в себя самооценку для оценки вашего соответствия и готовности. - Оценка
Порядок проведения аудита зависит от того, подходите ли вы для удаленного (уровень 2) или физического (уровень 3) аудита. Сам аудит состоит из интервью, обзора документов, разъяснения возможных выводов и последующих шагов. - План корректирующих действий и последующие меры
Подготовьте план корректирующих действий (ПДП) для устранения обнаруженных недостатков, который представляется поставщику услуг аудита. ВПД оценивается в ходе последующей проверки (или нескольких, если необходимо) и заполняет отчет TISAX. - Обмен результатами
Провайдер аудита загружает отчет TISAX на платформу. Аудируемая компания решает, с кем следует поделиться результатами. ENX выдает маркировку TISAX аудируемой компании.
DNV является поставщиком услуг, одобренных Ассоциацией ENX. Через нашу сеть местных офисов и аудиторов мы можем проводить оценку TISAX по всему миру.
ENX поддерживает критерии и требования к оценке поставщиков аудита (TISAX ACAR). Она утверждает поставщиков аудита и контролирует качество внедрения, а также результаты оценки. ENX поддерживается Комитетом TISAX, состоящим из представителей производителей, поставщиков и ассоциаций.