TISAX® certifikace
Zjistěte vše, co potřebujete vědět o TISAX® certifikaci v automobilovém průmyslu a důležitosti její metodiky pro zabezpečení informací.
POZOR! TISAX® přichází od 1.4.2024 s novou verzí sebehodnocení VDA ISA 6:
Novinkou VDA ISA 6 je zaměření se nejen na důvěrnost, ale také dostupnost IT u příslušných dodavatelů. Vzhledem k trvale vysokému počtu případů ransomwarových útoků se do centra pozornosti dostala dostupnost informací a informačních technologií – včetně OT. Toto je životně důležité pro úzce integrovanou výrobu a procesy just-in-time. Chcete se dozvědět více nejen o TISAX®, ale i NIS2 či CSMS a SUMS? Poslechněte si náš podcast s Martinem Drastichem!
Co je TISAX®?
TISAX® (Trusted Information Security Assessment Exchange) je hodnotící a výměnný program pro posuzování informační bezpečnosti společností v automobilovém průmyslu. Byl vyvinut sdružením ENX za podpory VDA (Verband der Automobilindustrie), německé asociace automobilového průmyslu, v roce 2017.
Cílem TISAX® je zajištění a optimalizace výměny informací týkajících se informační bezpečnosti mezi výrobci a jejich dodavateli v automobilovém průmyslu
TISAX® je založen na ISO/IEC 27001, mezinárodně uznávaném standardu pro systémy managementu informační bezpečnosti (ISMS). TISAX® však přidává specifické požadavky a posuzovací mechanismy adaptované pro potřeby automobilového průmyslu. Klade důraz na bezpečné zpracování informací od obchodních partnerů, ochrany prototypů a ochrany dat v souladu s obecným nařízením o ochraně osobních údajů (GDPR) pro potenciální obchodní transakce mezi výrobci automobilů a jejich poskytovateli služeb nebo dodavateli.
TISAX® uznávají všichni členové VDA a výrobci vozidel jako Audi, BMW, Mercedes Benz či Volkswagen, což usnadňuje účast v budoucích výběrových řízeních.
Účastníci – aktivní i pasivní – si v programu TISAX® vyměňují informace o stavu informační bezpečnosti prostřednictvím online portálu. Podmínkou je tedy registrace na portálu TISAX®.
Pasivními účastníky jsou například výrobci vozidel. Ti požadují od jiné společnosti (např. dodavatele), aby prokázala, že je držitelem značky TISAX®, a aby provedla odpovídající posouzení. Požadují také přístup k výsledkům hodnocení.
Aktivními účastníky nebo auditovanými mohou být dodavatelé. Společnost je buď požádána jinou společností (např. OEM nebo výrobcem vozidel), aby provedla posouzení na základě katalogu kritérií, nebo provede posouzení z vlastní iniciativy. Po hodnocení se aktivní účastník rozhodne, kdo v rámci sítě TISAX® může mít přístup k jeho výsledkům hodnocení.
Význam certifikace TISAX®
- Hodnotící kritéria byla vytvořena přímo pro automobilový průmysl
- Postupy hodnocení jsou standardizované a lehce srovnatelné
- Firmám poskytuje konkurenční výhodu a potvrzuje, že jejich systém řízení informační bezpečnosti je v souladu s nejvyššími standardy
- Je vyloučeno vícenásobné hodnocení
- Certifikace je platná mezinárodně. Ačkoli byla vyvinuta pro německý, potažmo evropský trh, mnoho výrobců a dodavatelů z celého světa, působících v automobilovém průmyslu vyžadovuje nebo hledá partnery, kteří jsou certifikováni TISAX®
Proces certifikace TISAX®
TÜV NORD provádí audity po celém světě. Je poskytovatelem schváleným ENX; kvalita prováděných hodnocení je pravidelně prověřována. V České republice disponuje uznávanými českými auditory.
Co se stane při hodnocení TISAX®?
Sdružení ENX jako provozovatel programu TISAX® jasně definovalo úrovně a rozsah hodnocení. TISAX® rozlišuje tři různé třídy ochrany dat a úrovně hodnocení. Ty závisí na úrovni ochrany požadované pro daná data.
Je určeno pro běžné bezpečnostní požadavky. Auditovaný může dosáhnout úrovně 1 prostřednictvím sebehodnocení.
Úroveň hodnocení 2 je určena dodavatelům a poskytovatelům služeb s vysokými nároky na ochranu dat. Předpokladem je, že již bylo provedeno kompletní sebehodnocení. Hodnocení úrovně 2 musí provést hodnotící organizace (TISAX® AP) a kroky jsou pak následující:
- Zahajovací schůzka
- Kontrola úplnosti a věrohodnosti sebehodnocení a vhodných důkazů
- Rozhovor (v aplikaci Teams) se zaměstnanci odpovědnými za Systém řízení bezpečnosti informací (ISMS) na základě kontroly věrohodnosti nebo kontroly na místě v případě zapojení třetích stran a/nebo ochrany prototypu.
Hodnocení na úrovni 3 stanoví velmi přísné požadavky na ochranu údajů. Také zde musí být zapojen poskytovatel hodnocení (TISAX® AP) a musí mu předcházet úplné sebehodnocení. Kroky hodnocení jsou podobné jako v úrovni 2, ale s dodatkem, že v rámci auditu na místě jsou posuzovány významné aspekty systému řízení.
- Zahajovací schůzka
- Kontrola úplnosti a věrohodnosti sebehodnocení a vhodných důkazů
- Posouzení účinnosti a úrovně vyspělosti ISMS prostřednictvím auditu na místě se zúčastněnými (pohovory s odborníky na místě, kontrola příslušných oblastí organizace)
Po posouzení jsou výsledky a veškerá nezbytná nápravná opatření shrnuty v předběžné zprávě. Aby bylo možné získat značku TISAX®, je třeba provést další dva kroky:
- Vypracování plánu nápravných opatření auditovaným subjektem a posouzení akreditovanou hodnotící organizací - TISAX® Assessment Provider (TISAX® AP).
- Implementace nápravných opatření auditovaným subjektem a hodnocení jejich účinnosti ze strany TISAX® AP.
Nejčastější dotazy
TISAX® je zkratka pro Trusted Information Security Assessment Exchange a popisuje postup hodnocení a výměny informací o bezpečnosti v automobilovém průmyslu.
Systém TISAX® byl vyvinut německým svazem automobilového průmyslu (Verband der Automobilindustrie e.V. (VDA)) a je spravován sdružením ENX, které dohlíží na kvalitu a výsledky hodnocení.
O účast v systému TISAX® by měli mít zájem všichni dodavatelé a poskytovatelé služeb, kteří pracují s citlivými informacemi od výrobců vozidel. Jednak jim tento systém umožňuje plnit požadavky jejich zákazníků, jednak jsou ušetřeni opakovaných hodnocení ze strany různých zákazníků, pokud jde o totožný obsah zabezpečení informací.
Společnosti získají přístup k portálu pro výměnu hodnocení TISAX® tím, že se zaregistrují jako účastníci systému. To je nezbytné k tomu, aby si mohly objednat posouzení u hodnotící organizace (TISAX® AP), jako je TÜV NORD.
Hodnocení TISAX® mohou provádět pouze poskytovatelé hodnocení (TISAX® AP) schválení společností ENX. TÜV NORD CERT je schváleným smluvním partnerem ENX.
Rozsah a doba trvání posouzení TISAX® závisí především na dohodnutých cílech, vyspělosti a složitosti systému ISMS a počtu posuzovaných pracovišť.
Od závěrečné schůzky (tj. poslední schůzky úvodního posouzení) do ukončení celého postupu posuzování (včetně přezkumu úspěšné implementace případných nápravných opatření) je stanovena doba devíti měsíců. Pokud není možné tuto lhůtu dodržet, musí proces začít znovu od začátku. Značka TISAX® je platná po dobu tří let, poté je nutné provést nové posouzení.
Chcete-li obdržet nabídku na posouzení TISAX®, musíte se nejprve zaregistrovat na portálu ENX a zadat požadované informace. Neváhejte nás kontaktovat, pokud byste potřebovali v procesu pomoci.
Sdružení ENX připravilo podrobné informace v příručce pro účastníky na svém webu.
Hodnocení TISAX® s TÜV NORD
TÜV NORD je již mnoho let akreditován pro audit a certifikaci ISMS u oficiálního německého akreditačního orgánu (DAkkS). Speciálně pro automobilový průmysl je TÜV NORD schválen asociací ENX jako poskytovatel hodnocení TISAX® (TISAX® AP) s oprávněním provádět hodnocení po celém světě. K dnešnímu dni TÜV NORD celosvětově vydal více než 1000 certifikátů TISAX® (04/2024).
*Upozornění: TÜV NORD CERT GmbH je autorizována asociací ENX k poskytování služeb posuzování TISAX®. Duševní vlastnictví spojené s programem TISAX® a související ochranné známky vlastní společnost ENX.