TISAX® - informasjonssikkerhet for bilsektoren
Sikre konfidensiell informasjon, slik som prototyper, beskytt merkets rykte og opprett kundelojalitet.
I et ekstremt innovativt miljø som er avhengig av flere spillere for å lykkes, er sikker utveksling av informasjon helt avgjørende. Bilindustrien krever en "økosystematisk" informasjonssikkerhetsmetode innenfor dens lange og komplekse forsyningskjeder.
I vår digitale alder går behovene for informasjonssikkerhet utover billeverandører til markedsføringsselskaper og andre involverte parter. Det primære behovet er å beskytte:
- prosjekter eller designinformasjon, prototyper eller hemmelige investeringsplaner,
- store data og prosessdata, tilknyttet de nye konseptene i digitalisering, utvikling av autonome biler,
- mellomkoblinger innenfor forsyningskjedenettverket,
- og de personlige dataene til kunder
Hva er TISAX?
TISAX (Trusted Information Security Assessment eXchange) er en a global informasjonssikkerhetsstandard for bilindustrien. En modenhetsbasert informasjonssikkerhetsvurderingsmetode rettet mot bilndustriens behov. Gjelder primært leverandører på 1. og 2. nivå, men kan utvides til mer komplekse forsyningskjeder, vurdering er et krav fra visse OEM-er.
Målet med programmet er å:
- opprette et felles sikkerhetsnivå for bilindustrien
- sikre felles anerkjennelse av vurderinger for å redusere kostnader, innsats og kompleksitet for produsenter og leverandører
- sikre sammenlignbarheten og kvaliteten på vurderingene
- utveksle beste praksiser og erfaringer
- la hver deltaker bestemme hvem resultatene skal avsløres til og i hvilken detaljgrad.
TISAX kombinerer de tidligere informasjonssikkerhetsreglene (ISA) fra tyske Verband der Automobilindustrie (VDA) med ISO/IEC 27001s vedlegg A (tekniske kontroller) samt noen personvernkrav.
TISAX® kontra ISO/IEC 27001
TISAX bygger på viktige elementer i standarden ISO/IEC 27001 for informasjonssikkerhetsadministrasjonssystemer, med fokus på elementer som er spesifikt relevante i sammenheng med bilindustrien.
Hovedforskjellene er:
| ISO/IEC 27001 | TISAX |
| Administrasjonssystemstandard | Dekker informasjonssikkerhetsprosesser og deler som er relevante for partene i bilindustrien |
| På/av-metode | Modenhetsnivå-metode |
| Omfang definert før sertifisering | Omfang er fast |
| Selskapsbasert risikoanalyse | VDA-ISA-arbeidsgruppebasert risiko- analyse |
| Sertifiseringsorgan utsteder sertifikat | TISAX utsteder merke- og utvekslings- registrering |
| Periodisk revisjon og resertifisering etter 3 år | 3 års gyldighet, ingen periodiske revisjoner |
Fordeler med vurderinger?
Utover det å være et krav for handel fra visse produsenter bidrar TISAX-vurderinger til å skape tillit i forsyningskjeden. Deltakende leverandører kan ha følgende fordeler:
- Anerkjennes av bilprodusenter.
- Forhindre informasjonssikkerhetsovertredelser og cyberangrep.
- Vinne kundenes tillit.
- Identifisere og håndtere risiko.
- Få anerkjennelse for riktige informasjonssikkerhetsprosesser.
- Dele vurderingsresultater gjennom ENX-utveksling
Komme i gang
Selskaper som blir med i programmet, må registrere seg med ENX som deltaker. Prosessen er satt opp i trinn:- OBS
Bli kjent med TISAX-kravene. - Forberedelse
Registrer deg på TISAX-portalen, velg akkreditert revisjonsorgan og forbered deg på revisjonen. Dette inkluderer en selvvurdering for å måle ditt samsvar og beredskap. - Vurdering
Hvordan revisjonen utføres, avhenger av om du kvalifiserer for en fjern (nivå 2) eller fysisk (nivå 3) revisjon. Selve revisjonen består av intervjuer, en dokumentgjennomgang, oppklaring av mulige funn og neste trinn. - Korrigerende handlingsplan og oppfølging
Forbered en korrigerende handlingsplan (CAP) for å utbedre eventuelle funn (mangler), som innleveres til revisjonsleverandøren. CAP vurderes med en oppfølging (eller mer ved behov) og fullfører TISAX-rapporten. - Utveksling av resultater
Revisjonsleverandøren laster opp TISAX-rapporten til plattformen. Det reviderte selskapet bestemmer hvem resultatene skal deles med. ENX utsteder TISAX-merker til det reviderte selskapet.