TISAX (Trusted Information Security Assessment Exchange) to standard bezpieczeństwa zawierający wymagania normy ISO 27001 „Bezpieczeństwo Informacji dostosowane do wymogów świata motoryzacji”, które powinny być spełnione przez firmy z sektora motoryzacyjnego.

Jest on odnawiany co trzy lata i weryfikuje, czy spełnione są kryteria bezpieczeństwa wymagane przez przemysł motoryzacyjny. TISAX został opracowany przez firmy członkowskie VDA, czyli Niemieckiego Stowarzyszenia Przemysłu Motoryzacyjnego w celu stworzenia uniwersalnych standardów dla branży motoryzacyjnej.

Wymagania TISAX, chronią zarówno systemy IT, jak i wszelkie inne informacje, które mają wartość dla firmy, niezależnie od tego, czy są to urządzenia, kontrole bezpieczeństwa, pliki, ochrona danych, połączenia czy inne typy danych.

Zakres zastosowania TISAX

Certyfikat TISAX może być stosowany we wszystkich rodzajach działalności przemysłowej i jest najszerzej uznawanym certyfikatem w zakresie bezpiecznego przetwarzania informacji poufnych. Jest on przyznawany przez największych producentów samochodów.

Dostawcy usług dla przemysłu motoryzacyjnego powinni zagwarantować swoim klientom poufność ich danych, a żeby to zrobić, powinni uczestniczyć w TISAX Exchange.

Jak działa TISAX?

Zaakceptowani użytkownicy TISAX mogą dzielić się informacjami za pośrednictwem wspólnej platformy internetowej na temat stanu bezpieczeństwa informacji innego użytkownika wraz z wynikami przeprowadzonych analiz oraz ocen.

Zastosowanie z innymi systemami zarządzania ISO

TISAX jest oparty na systemie zarządzania bezpieczeństwem informacji ISO 27001 i może być dostosowany do innych systemów zarządzania ISO, takich jak system zarządzania jakością (ISO 9001), zarządzanie usługami (ISO 20000-1) i ciągłością działania (ISO 22301).

System zarządzania opublikowany przez niemieckie stowarzyszenie VDS ma mniej wymagań niż norma ISO 27001 Bezpieczeństwo Informacji, więc jeśli dana firma posiada już ten międzynarodowy standard, z łatwością zakwalifikuje się do certyfikacji TISAX. Kwestionariusz zgodności zweryfikuje konkretne wymagania TISAX, które będą musiały zostać zaimplementowane do systemu zarządzania.

Wymagania TISAX

Wymagania, które są brane pod uwagę  przy ocenie TISAX:

• Monitorowanie kontroli w zakresie bezpieczeństwa informacji.
• Kontrole w zakresie relacji z osobami trzecimi.
• Analiza i kontrola dla ochrony prototypów.
• Analiza pod kątem Ochrony Danych Osobowych RODO.

Zalety TISAX

Korzyści płynących z TISAX jest wiele. Należą do nich przede wszystkim:

• Łatwość odnowienia relacji z dotychczasowymi dostawcami.
• Umożliwienie nawiązania nowych relacji biznesowych dzięki bycia rozpoznawalnym w branży.
• Przejrzystość w ustalaniu ocen.
• Tworzenie konkurencji między podmiotami świadczącymi usługi audytorskie.
• Ustanowienie wspólnego, zunifikowanego poziomu bezpieczeństwa informacji dla całej branży.
• Wspólne uznawanie wyników ewaluacji.
• Oszczędność kosztów i wysiłków w kontaktach z producentami i dostawcami.

Wdrożenie TISAX krok po kroku

Projekt wdrożenia TISAX obejmuje następujące działania:

1. Zdefiniowanie zakresu. Zdefiniowane są procesy i działania chronione w zakresie bezpieczeństwa informacji. Ponadto opracowywana jest polityka, która go dotyczy.
2. Analiza ryzyka. Identyfikowane są aktywa, które wspierają procesy i działania wchodzące w ich skład (usługi, informacje, sprzęt, oprogramowanie, komunikacja, ludzie, miejsca, itp.), ich podatności oraz podstawowe ryzyka, na które są narażone.
3. Zarządzanie ryzykiem. Na podstawie wyników analizy (zatwierdzonych przez kierownictwo firmy) zarządza się ryzykiem:

• Ograniczenie zagrożeń poprzez zastosowanie środków bezpieczeństwa. Wykaz stosowanych środków (znany jako oświadczenie o stosowalności) musi zostać zatwierdzony przez kierownictwo.
• Wyeliminowanie zagrożeń (np. wyeliminowanie składnika aktywów).
• Przyjmowanie ryzyk przez kierownictwo w sposób świadomy i obiektywny.
• Przekazanie ryzyk stronie trzeciej.
• W celu zarządzania ryzykiem związanym z bezpieczeństwem informacji planowane są odpowiednie działania, zasoby, harmonogramy, obowiązki, priorytety i wskaźniki.
• Kluczowym aspektem jest tu świadomość i szkolenie pracowników.

1. Ćwiczenie, konserwacja i przegląd. Aby system zarządzania bezpieczeństwem informacji był ciągle przydatny dla firmy oraz wykorzystany w sposób optymalny, powinien być on poddawany przeglądowi w zaplanowanych i odgórnie ustalonych odstępach czasu:

• Należy przeprowadzać niezależne audyty wewnętrzne.
• Kierownictwo powinno przeprowadzać cykliczny przegląd systemu zarządzania bezpieczeństwem informacji.

TISAX dla Twojego biznesu

W wysoce innowacyjnym środowisku bezpieczna wymiana informacji jest niezbędna do zabezpieczenia informacji poufnych i zwiększania lojalności klientów. Już dziś skontaktuj się z profesjonalną firmą zajmującą się certyfikacją oraz normami i zacznij wdrażać TISAX w Twojej firmie motoryzacyjnej.