TISAX® - Autoteollisuuden tietoturva
TISAX®-sertifioinnin avulla suojaat luottamuksellisia tietoja, tuotemerkin mainetta ja luot asiakasuskollisuutta.
Erittäin innovatiivisessa ympäristössä, jossa menestyminen riippuu useista toimijoista, turvallinen tietojen vaihto on välttämätöntä. Autoteollisuus vaatii "ekosysteemistä" tietoturvanäkökulmaa pitkissä ja monimutkaisissa toimitusketjuissaan.
Digitaalisella aikakaudellamme tietoturvatarpeet ulottuvat autojen toimittajien lisäksi markkinointiyrityksiin ja muihin osapuoliin. Toimialla on ensisijainen tarve suojata:
- hankkeita tai suunnittelutietoja, prototyyppejä tai salaisia investointisuunnitelmia
- isoa dataa ja prosessidataa, joka liittyy digitalisaation uusiin käsitteisiin ja autonomisten autojen kehittämiseen
- toimitusketjun verkoston keskinäisiä yhteyksiä
- asiakkaiden henkilötietoja.
TISAX
TISAX (Trusted Information Security Assessment eXchange) on autoteollisuuden maailmanlaajuinen tietoturvastandardi. Se on toiminnan kypsyyteen perustuva tietoturvan arviointimenetelmä, joka on suunnattu autoteollisuuden tarpeisiin. Arviointia sovelletaan ensisijaisesti 1. ja 2. tason toimittajiin, mutta se on laajennettavissa monimutkaisempiin toimitusketjuihin ja monet alkuperäisosien valmistajat vaativat sitä. Järjestelmän tavoitteena on:
- luoda autoteollisuudelle yhteinen tietoturvallisuustaso
- varmistaa arviointien yhteinen tunnustaminen, jotta voidaan vähentää valmistajien ja toimittajien kustannuksia, työtä ja monimutkaisuutta
- varmistaa arviointien vertailukelpoisuus ja laatu
- parhaiden käytäntöjen ja saatujen kokemusten vaihto
- kukin osallistuja saa päättää, kenelle tulokset paljastetaan ja kuinka yksityiskohtaisia ne ovat.
TISAXissa yhdistyvät Saksan autoteollisuuden liiton (VDA) entiset tietoturvasäännöt (ISA) ja ISO/IEC 27001:n liite A (tekninen valvonta) sekä tietyt yksityisyyden suojaa koskevat vaatimukset.
TISAX® vs. ISO/IEC 27001
TISAX perustuu tietoturvan hallintajärjestelmästandardin ISO/IEC 27001 keskeisiin elementteihin ja keskittyy erityisesti autoteollisuuden kannalta olennaisiin vaatimuksiin.
Tärkeimmät erot ovat:
| ISO/IEC 27001 | TISAX |
| Johtamisjärjestelmän standardi | Kattaa tietoturvaprosessit ja -osat, jotka ovat merkityksellisiä yhteistyökumppaneiden kannalta |
| On/off-lähestymistapa | Kypsyystasoon perustuva lähestymistapa |
| Soveltamisala määritellään ennen sertifiointia | Soveltamisala on ennalta määritelty |
| Sertifiointilaitos myöntää todistuksen | ENX julkaisee tunnisteen ja rekisteröi toimijan tietokantaan |
| Määräaikainen auditointi ja uudelleensertifiointi 3 vuoden kuluttua sertifioinnista | 3 vuoden voimassaolo, ei määräaikaistarkastuksia |
Arviointien hyödyt
Sen lisäksi, että TISAX-arvioinnit ovat monien valmistajien vaatimus, ne edistävät toimitusketjun luottamusta. Järjestelmään osallistuvat tavarantoimittajat voivat hyötyä seuraavista seikoista:
- Autovalmistajien tunnustama
- Tietoturvaloukkausten ja verkkohyökkäysten estäminen
- Asiakkaiden luottamuksen saavuttaminen
- Riskien tunnistaminen ja niihin puuttuminen
- Tunnustuksen saaminen asianmukaisista tietoturvaprosesseista
- Arviointitulosten jakaminen ENX-pörssin kautta.
Aloittaminen
Ohjelmaan osallistuvien yritysten on rekisteröidyttävä ENX:ään osallistujaksi. Prosessi on vaiheittainen:
- Huomiointi
Tutustu TISAX-vaatimuksiin. - Valmistelu
Rekisteröidy TISAX-portaaliin, valitse akkreditoitu auditointielin ja valmistaudu auditointiin. Tähän sisältyy myös itsearviointi, jolla mitataan vaatimustenmukaisuutta ja auditointivalmiutta. - Arviointi
Tarkastuksen suorittamistapa riippuu siitä, onko kyseessä etätarkastus (taso 2) vai fyysinen tarkastus (taso 3). Itse auditointi koostuu haastatteluista, asiakirjojen tarkastelusta, mahdollisten havaintojen selvittämisestä ja seuraavista vaiheista. - Korjaavien toimenpiteiden suunnitelma ja seuranta
Laaditaan suunnitelma havaintojen (puutteiden) korjaamiseksi, joka toimitetaan tarkastuksen suorittajalle. Korjaavia toimenpiteitä arvioidaan seurantakäynnillä (tai tarvittaessa useammalla) ja täytetään TISAX-raportti. - Tulosten vaihto
Tarkastuksen suorittaja lataa TISAX-raportin tietokantaan. Auditoitu yritys päättää, kenelle tulokset jaetaan. ENX julkaisee TISAX-tunnisteet auditoidulle yritykselle.
DNV on ENX Associationin hyväksymä TISAX-arviointien tarjoaja. Paikallisten toimipisteidemme ja auditoijiemme verkoston kautta voimme tarjota arviointeja maailmanlaajuisesti.