TISAX – proces uzyskania etykiety

wrz 11, 2023 | Aktualności

TISAX – proces uzyskania etykiety

Trusted Information Security Assessment Exchange (TISAX) jest administrowany przez stowarzyszenie ENX w imieniu Niemieckiego Stowarzyszenia Przemysłu Motoryzacyjnego (Verband der Automobilindustrie, VDA). VDA opracował ocenę bezpieczeństwa informacji (ISA) jako katalog kryteriów oceny bezpieczeństwa informacji. VDA ISA opiera się na normach ISO/IEC 27001 i ISO/IEC 27002 dostosowanych do potrzeb i realiów przemysłu motoryzacyjnego.

Aby pomóc usprawnić oceny bezpieczeństwa, VDA stworzyła standard TISAX, który jest stanowi zapewnienie wspólnego standardu oceny bezpieczeństwa informacji na potrzeby zarówno wewnętrzne organizacji, jak i oceny jej dostawców. Za administrację standardem  TISAX odpowiada stowarzyszenie ENX – akredytuje ono audytorów oraz definiuje kryteria certyfikacji i wymagania oceny oraz monitoruje jakość wdrożeń i wyników oceny.

W branży automotive producenci oryginalnego wyposażenia (OEM) coraz częściej oczekują od swoich dostawców zgodności z TISAX jako środka bezpieczeństwa zapewniającego wystarczającą ochronę udostępnianych przez nich poufnych danych, zapewniając w ten sposób odpowiedni poziom bezpieczeństwa informacji w całym łańcuchu dostaw. Obecnie ponad 3000 organizacji w prawie 6000 lokalizacjach na całym świecie posiada etykiety TISAX – obejmuje to różnych dostawców współpracujących z producentami OEM – od producentów części samochodowych po dostawców usług technologicznych i nie tylko.

Poziomu oceny TISAX

Istnieją 3 poziomy oceny TISAX, w zależności o wymagań, które powinna spełnić organizacja:

AL 1: Samoocena dokonana przez audytowanego. Ocena istniejącego oświadczenia własnego audytowanego. Podstawowy poziom bezpieczeństwa. Organizacja jest zobowiązana jedynie do wypełnienia kwestionariusza samooceny. Ten poziom jest przeważnie nieistotny podczas prowadzenia działalności i często jest używany tylko wewnętrznie.

AL 2: Kontrola wiarygodności samooceny ograniczona do oceny dowodów i wywiadu z pracownikami. Wysoki poziom bezpieczeństwa. Zatwierdzony dostawca usług audytowych będzie monitorował samoocenę, przeprowadzając zdalną kontrolę wiarygodności. Oznacza to przegląd przedłożonej dokumentacji oraz dostarczonych dowodów.

AL 3: Pełna ocena obejmująca ocenę dowodów, kontrolę na miejscu i wywiady z pracownikami. Bardzo wysoki poziom bezpieczeństwa. Inspekcja, wywiady i ocena ISMS (systemu zarządzania bezpieczeństwem informacji) są przeprowadzane przez zatwierdzonego dostawcę audytu, który fizycznie odwiedza organizację. Jeżeli organizacja posiada więcej niż jedną lokalizację, audytor powinien odwiedzić każdą ze wskazanych w formularzu zgłoszeniowym ENX.

Certyfikacja, a raczej uzyskanie etykiety

Aby uzyskać etykietę zgodności z wymaganiami TISAX, organizacja musi spełnić wymagania określone w katalogu ocen VDA ISA, w zależności o zakresu podanego podczas rejestracji na stronie ENX. Sformułowano wymagania w ramach trzech modułów:

  1. bezpieczeństwo informacji;
  2. ochrona prototypów;
  3. ochrona danych osobowych.

Moduł 1 – bezpieczeństwo informacji to główny moduł, który będzie oceniany w każdym przypadku.

Moduł 2 – dodatkowy, jeśli klient wymaga ochrony prototypów. Zawsze łączy się z Modułem 1 na poziomie AL3.

Moduł 3 – dodatkowy, jeśli klient wymaga ochrony danych osobowych. Łączy się z Modułem 1 na poziomie AL2 lub AL3, jeśli przetwarzane są wrażliwe dane osobowe zgodnie z art. 9 RODO.

Audyt certyfikujący dla poziomów AL2 i AL3 rozpoczyna się podobnie – od kick-off meetingu ( w formie telekonferencji) i przekazania audytorom wypełnionej checklisty VDA w postaci self-assessmentu, którzy następnie będą weryfikować wiarygodność przekazanej samooceny. Następnie, przeprowadzany jest właściwy audyt. I tak dla poziomu AL2 całość zadań audytowych realizowana jest przy użyciu narzędzi komunikacji zdalnej (np. Google Meet, MS Teams), a w przypadku AL3 audyt prowadzony jest on-site w każdej z lokalizacji wskazanej w zgłoszeniu na stronie ENX. Ostatnim etapem audytu certyfikującego jest spotkanie zamykające, na którym audytorzy przekazują informację o wynikach audytu i jeśli pojawiły się niezgodności (o których poniżej), to należy ustalić termin, w którym wdrożone i udokumentowane zostaną rozwiązania korygujące i naprawcze (tzw. action plan).

Audytorzy podczas przeprowadzania audytu mogą wydać 5 typów ocen spełnienia przez organizację wymagań standardu TISAX:

  1. Duża niezgodność – brak spełnienia wymagania stwarza znaczące bezpośrednie zagrożenie dla bezpieczeństwa informacji i/lub dany proces zapewnienia bezpieczeństwa informacji nie działa.
  2. Mała niezgodność – niezgodność, która nie stwarza znaczącego bezpośredniego zagrożenia dla bezpieczeństwa informacji i/lub jest ona odstępstwem od prawidłowo działającego procesu zapewnienia bezpieczeństwa informacji.
  3. Obserwacja – odstępstwo od własnych wymagań, które nie stwarza bezpośredniego zagrożenia dla bezpieczeństwa informacji, ale może takim okazać się w przyszłości.
  4. Potencjał doskonalenia – odchylenie od normy, które nie należy do wyżej wymienionych typów i nie stwarza zagrożenia dla bezpieczeństwa informacji, ale jest możliwe do poprawy.
  5. Zgodność – wszystkie wymagania zostały spełnione.

Końcowym wynikiem audytu mogą być 3 rodzaje oceny:

  1. Zgodność

Ogólny wynik oceny to „zgodny”. Wszystkie wymagania są spełnione.

  1. Mała niezgodność

Ogólnym wynikiem oceny jest „mała niezgodność”, jeśli wskazano na co najmniej jedną „niewielką niezgodność” dla jednego z wymagań.

  1. Duża niezgodność

Ogólnym wynikiem oceny jest „duża niezgodność”, jeśli wskazano na co najmniej jedną „dużą niezgodność” dla jednego z wymagań.

I tak, jeśli wynikiem oceny jest:

  • Mała niezgodność – możliwe jest otrzymanie tymczasowej etykiety TISAX do czasu realizacji action planu, tj. usunięcia zidentyfikowanych niezgodności.
  • Duża niezgodność – należy najpierw rozwiązać zidentyfikowany problem, zanim możliwe będzie przyznanie etykiety tymczasowej. Dzięki odpowiednim środkom i działaniom korygującym zatwierdzonym przez audytora możliwa jest zmiana ogólnego wyniku oceny z „poważnej niezgodności” na „niewielką niezgodność” i tym samym otrzymanie tymczasowych etykiet TISAX.

Wdrażanie wymagań oraz leżące u ich podstaw procesy są oceniane zgodnie z modelem poziomu dojrzałości, gdzie 3 to docelowy poziom dojrzałości. Co istotne, ponadprzeciętny poziom dojrzałości w jednym obszarze nie rekompensuje wyniku poniżej średniej w innym obszarze.

Więcej szczegółów dot. procesu uzyskania etykiety zgodności z wymaganiami TISAX znaleźć można w podręczniku.

Autor: Tomasz Cieślik