Aby chronić tajemnice handlowe, dane dotyczące prototypów, informacje o klientach i inne poufne dane w branży motoryzacyjnej, większość producentów pojazdów (OEM) wymaga certyfikatu TISAX od swoich partnerów i dostawców. Dzięki temu dane pozostają bezpieczne na etapie zarówno projektowania, produkcji, dystrybucji, jak i opieki posprzedażowej samochodów. Co więcej, organizacja, która może pochwalić się posiadaniem etykiety potwierdzającej zgodność ze standardem TISAX ma przewagę konkurencyjną nad innymi, które jej nie posiadają, co czyni ją godną zaufania w oczach potencjalnych klientów.
W październiku ubiegłego roku na stronie ENX opublikowano informację o nowej wersji checklisty ISA, zawierającej wymagania standardu TISAX:
https://portal.enx.com/en-US/news/ISA-Version-6-Now-Available/
Zmiana wersji dokumentu niesie ze sobą również dość istotne zmiany w jego treści. VDA ISA 6.0 zawiera szeroki zestaw ulepszeń, skupiających się szczególnie na wymaganiach wobec dostawców z obszarów IT i OT. Najwięcej i również najważniejszych nowości znalazło się w wymaganiach obszarów IS Policies and Organization (obszar 1) oraz IT Security / Cyber Security (obszar 5). Ponadto, bardzo ważną zmianą jest odniesienie się przy wymaganiach do nowej, aktualnie obowiązującej wersji normy ISO/IEC 27001:2022 oraz amerykańskich standardów NIST serii 800. Warto pamiętać, że wdrożenie w organizacji Systemu Zarządzania Bezpieczeństwem Informacji, o którym traktuje norma ISO/IEC 27001 jest przecież podstawowym wymaganiem standardu TISAX – bez SZBI nie ma mowy o uzyskaniu etykiety.
Organizacje, które obecnie posiadają przyznaną etykietę „Info High” lub „Info Very High”, automatycznie otrzymają etykietę Confidential oraz Strictly Confidential jako dodatkowe etykiety. Oryginalne etykiety „Info High” i „Info Very High” pozostaną ważne. Żadne dodatkowe działania nie są konieczne. Jednocześnie, każde nowe postępowanie w sprawie oceny TISAX zlecone po 1 kwietnia 2024 r. nie będzie mogło być prowadzone zgodnie z dotychczasową wersją checklisty VDA ISA ver. 5.1, a jedynie 6.0.
NOWE WYMAGANIA
IS Policies and Organization (obszar 1)
- Asset Management (1.3.4) – Do przetwarzania zasobów informacyjnych organizacji należy wykorzystywać wyłącznie sprawdzone i zatwierdzone oprogramowanie. Należy określić np. w postaci listy jakie systemy, aplikacje i narzędzia są dopuszczone w organizacji do wykorzystania oraz kto jest odpowiedzialny za bieżący nadzór, instalację i zmiany w oprogramowaniu.
- Incident and Crisis Management (1.6.1) – raportowanie zdarzeń i incydentów mogących mieć wpływ na bezpieczeństwo informacji. Zdarzenia mogące być potencjalnie incydentami naruszenia bezpieczeństwa informacji mogą zostać wykryte przez kogokolwiek (np. pracownika, dostawcę, klienta, osobę trzecią). Należy zapewnić, aby każdy wiedział kiedy i jak zgłosić zdarzenie, podając najważniejsze informacje niezbędne do prawidłowego uruchomienia procesu zarządzania incydentami.
- Incident and Crisis Management (1.6.2) – odpowiednie zarządzanie incydentami naruszenia bezpieczeństwa informacji. Po zgłoszeniu zdarzenia potencjalnie mogącego być incydentem naruszenia bezpieczeństwa informacji istotne są kolejne kroki, które należy podjąć w ramach procesu zarządzania incydentami. Głównymi jego elementami są: poinformowanie osób odpowiedzialnych, identyfikacja zdarzenia, określenie jego zakresu i miejsca wystąpienia, ocena skutków, raportowanie oraz działania naprawcze i korygujące.
- Incident and Crisis Management (1.6.3) – przygotowanie organizacji do postępowania w przypadku sytuacji kryzysowych. Sytuacja kryzysowa ma miejsce, gdy wystąpi zdarzenie wyjątkowe (np. powódź, pożar, włamianie, pandemia, cyberatak powodujący poważną awarię infrastruktury), które znacznie zakłóca realizację głównych operacji biznesowych. W takich przypadkach priorytetem organizacji jest ograniczenie skutków zdarzenia i jak najszybszy powrót do pełnej sprawności w realizacji procesów. Aby osiągnąć ten cel, rozwiązaniem jest przejście na tryb zarządzania kryzysowego, w ramach którego realizowane są wcześniej zaplanowane procedury o określonym podziale obowiązków, które umożliwiają organizacji poradzenie sobie z taką sytuacją.
IT Security / Cyber Security (obszar 5)
- Operations Security (5.2.8) – planowanie ciągłości działania usług IT. Planowanie ciągłości usług IT jest nieodzownym elementem zapewnienia ciągłości działania procesów krytycznych każdej organizacji, w ramach których należy określić: zasoby niezbędne do działania podstawowych funkcji systemów, strukturę odpowiedzialną za poszczególne działania czy procedury odtworzeniowe.
- Operations Security (5.2.9) – tworzenie kopii zapasowych i odzyskiwanie danych oraz usług IT. Dane i usługi IT mogą stać się niedostępne w wyniku zdarzeń takich jak awarie sprzętu, wady oprogramowania, błędy użytkownika lub ataki cybernetyczne. Tworzenie kopii zapasowych i odzyskiwanie z nich danych umożliwia organizacjom sprawny i szybki powrót do poprawnego funkcjonowania procesów biznesowych po niepożądanych zdarzeniach oraz ograniczanie potencjalnych szkód.
Kolejną zapowiedzianą zmianą jest ta dotycząca zastąpienia dotychczas obowiązującej nomenklatury. W przyszłości etykieta „Information security high” zostanie zastąpiona dwiema etykietami „Confidential” i „High availability”. To samo dotyczy etykiety „Information security very high”, które w przyszłości zostanie zastąpione etykietami „Strictly confidential” i „Very high availability”. Dzieje się to automatycznie w przypadku wszystkich klientów, którzy posiadają już etykietę „Information Security” na platformie ENX. Więcej szczegółów:
https://portal.enx.com/en-US/news/new-tisax-labels-for-availability/
W szybko rozwijającym się cyfrowym świecie bezpieczeństwo informacji i cyberbezpieczeństwo stają się coraz poważniejszym wyzwaniem dla każdej organizacji, niezależnie od profilu jej działalności. Wraz z wydaniem nowej wersji checklisty ISA branża automotive w dalszym ciągu kładzie duży nacisk na te aspekty, mają na uwadze rosnące obawy producentów pojazdów dotyczące ochrony cennych dla nich informacji. Teraz przed organizacjami czas na wdrożenie nowych wymagań i tym samym przejścia z dotychczasowych etykiet na nowe.
Więcej szczegółów dot. zmian w wymaganiach nowej wersji checklisty ISA ver. 6.0 dostępna jest na stronie ENX:
https://portal.enx.com/en-US/news/Changes-to-TISAX-Labels-ISA-six-Release/
Autor: Tomasz Cieślik