DNV.fi

TISAX® - Autoteollisuuden tietoturva

TISAX_Info_Security_Automotive

Ota yhteyttä

Kuinka voimme auttaa?

Kysy lisätietoja

Tiedätkö jo mitä etsit?

Pyydä tarjous

TISAX®-sertifioinnin avulla suojaat luottamuksellisia tietoja, kuten prototyyppejä, tuotemerkin mainetta ja luot asiakasuskollisuutta.

Erittäin innovatiivisessa ympäristössä, jossa menestyminen riippuu useista toimijoista, turvallinen tietojen vaihto on välttämätöntä. Autoteollisuus vaatii "ekosysteemistä" tietoturvanäkökulmaa pitkissä ja monimutkaisissa toimitusketjuissaan. 

Digitaalisella aikakaudellamme tietoturvatarpeet ulottuvat autojen toimittajien lisäksi markkinointiyrityksiin ja muihin osapuoliin. Toimialla on ensisijainen tarve suojata: 

  • hankkeita tai suunnittelutietoja, prototyyppejä tai salaisia investointisuunnitelmia
  • isoa dataa ja prosessidataa, joka liittyy digitalisaation uusiin käsitteisiin ja autonomisten autojen kehittämiseen
  • toimitusketjun verkoston keskinäisiä yhteyksiä 
  • asiakkaiden henkilötietoja.

TISAX 

TISAX (Trusted Information Security Assessment eXchange) on autoteollisuuden maailmanlaajuinen tietoturvastandardi. Se on toiminnan kypsyyteen perustuva tietoturvan arviointimenetelmä, joka on suunnattu autoteollisuuden tarpeisiin. Arviointia sovelletaan ensisijaisesti 1. ja 2. tason toimittajiin, mutta se on laajennettavissa monimutkaisempiin toimitusketjuihin ja monet alkuperäisosien valmistajat vaativat sitä.  Järjestelmän tavoitteena on: 
  • luoda autoteollisuudelle yhteinen tietoturvallisuustaso 
  • varmistaa arviointien yhteinen tunnustaminen, jotta voidaan vähentää valmistajien ja toimittajien kustannuksia, työtä ja monimutkaisuutta
  • varmistaa arviointien vertailukelpoisuus ja laatu 
  • parhaiden käytäntöjen ja saatujen kokemusten vaihto 
  • kukin osallistuja saa päättää, kenelle tulokset paljastetaan ja kuinka yksityiskohtaisia ne ovat. 
TISAXissa yhdistyvät Saksan autoteollisuuden liiton (VDA) entiset tietoturvasäännöt (ISA) ja ISO/IEC 27001:n liite A (tekninen valvonta) sekä tietyt yksityisyyden suojaa koskevat vaatimukset. 

TISAX® vs. ISO/IEC 27001 

TISAX perustuu tietoturvan hallintajärjestelmästandardin ISO/IEC 27001 keskeisiin elementteihin ja keskittyy erityisesti autoteollisuuden kannalta olennaisiin vaatimuksiin. 

Tärkeimmät erot ovat: 

ISO/IEC 27001TISAX
Johtamisjärjestelmän standardiKattaa tietoturvaprosessit ja -osat, jotka ovat merkityksellisiä yhteistyökumppaneiden kannalta
On/off-lähestymistapaKypsyystasoon perustuva lähestymistapa
Soveltamisala määritellään ennen sertifiointiaSoveltamisala on ennalta määritelty
Yrityskohtainen riskianalyysiVDA-ISA-työryhmän määrittelyihin perustuva riskianalyysi
Sertifiointilaitos myöntää todistuksenTISAX julkaisee tunnisteen ja rekisteröi toimijan tietokantaan
Määräaikainen auditointi ja uudelleensertifiointi 3 vuoden kuluttua sertifioinnista3 vuoden voimassaolo, ei määräaikaistarkastuksia

Arviointien hyödyt

Sen lisäksi, että TISAX-arvioinnit ovat monien valmistajien vaatimus, ne edistävät toimitusketjun luottamusta. Järjestelmään osallistuvat tavarantoimittajat voivat hyötyä seuraavista seikoista:

  • Autovalmistajien tunnustama
  • Tietoturvaloukkausten ja verkkohyökkäysten estäminen 
  • Asiakkaiden luottamuksen saavuttaminen
  • Riskien tunnistaminen ja niihin puuttuminen
  • Tunnustuksen saaminen asianmukaisista tietoturvaprosesseista
  • Arviointitulosten jakaminen ENX-pörssin kautta. 

Aloittaminen 

Ohjelmaan osallistuvien yritysten on rekisteröidyttävä ENX:ään osallistujaksi. Prosessi on vaiheittainen: 
  • Huomiointi
    Tutustu TISAX-vaatimuksiin. 
  • Valmistelu
    Rekisteröidy TISAX-portaaliin, valitse akkreditoitu auditointielin ja valmistaudu auditointiin. Tähän sisältyy myös itsearviointi, jolla mitataan vaatimustenmukaisuutta ja auditointivalmiutta. 
  • Arviointi
    Tarkastuksen suorittamistapa riippuu siitä, onko kyseessä etätarkastus (taso 2) vai fyysinen tarkastus (taso 3). Itse auditointi koostuu haastatteluista, asiakirjojen tarkastelusta, mahdollisten havaintojen selvittämisestä ja seuraavista vaiheista. 
  • Korjaavien toimenpiteiden suunnitelma ja seuranta
    Laaditaan suunnitelma havaintojen (puutteiden) korjaamiseksi, joka toimitetaan tarkastuksen suorittajalle. Korjaavia toimenpiteitä arvioidaan seurantakäynnillä (tai tarvittaessa useammalla) ja täytetään TISAX-raportti. 
  • Tulosten vaihto
    Tarkastuksen suorittaja lataa TISAX-raportin tietokantaan. Auditoitu yritys päättää, kenelle tulokset jaetaan. ENX julkaisee TISAX-tunnisteet auditoidulle yritykselle. 

DNV on ENX Associationin hyväksymä TISAX-arviointien tarjoaja. Paikallisten toimipisteidemme ja auditoijiemme verkoston kautta voimme tarjota arviointeja maailmanlaajuisesti. 

ENX ylläpitää auditointipalvelujen tarjoajan kriteerejä ja arviointivaatimuksia (TISAX ACAR). Se hyväksyy auditointipalvelujen tarjoajat ja valvoo toiminnan laatua sekä arviointituloksia. ENX:ää tukee TISAX-komitea, joka koostuu valmistajien, tavarantoimittajien ja järjestöjen edustajista. 

Ota yhteyttä

Kuinka voimme auttaa?

Kysy lisätietoja

Tiedätkö jo mitä etsit?

Pyydä tarjous

Saatat olla kiinnostunut myös näistä palveluista: