TISAX (Trusted Information Security Assessment Exchange) – созданная в 2017 году строгая программа оценки, которая основывается на безопасности IT-инфраструктуры, процессов и систем организаций в сфере автомобильной промышленности. В первую очередь, программа применима для поставщиков 1-го и 2-го уровня, но может быть распространена на более сложные цепочки поставок.
Цель TISAX:
- защита данных
- предоставить общее понимание оценок, чтобы снизить затраты, усилия и сложности для производителей и поставщиков;
- обмен опытом;
- позволить компаниям решать, кому будут известны результаты и степень их детализации.
TISAX объединяет в себе Правила информационной безопасности (ISA) Немецкого союза автомобильной промышленности (VDA) и Приложение А стандарта ISO 27001 (Технические средства контроля).
Почему TISAX важен?
TISAX позволяет компаниям не только обеспечивать безопасность, но и делиться результатами оценки с партнерами и поставщиками через онлайн-платформу (TISAX Exchange, или ENX). Она помогает организациям экономить время и деньги, поскольку не нужно проводить оценку для каждой новой компании, с которыми предстоит работать.
TISAX – программа, которая была специально разработана для удовлетворения требований автомобильной промышленности к кибербезопасности. Она отличается от стандартов кибербезопасности, так как, основываясь на оценке рисков, охватывает всю систему автомобиля. Это включает в себя также аппаратное и программное обеспечение, протоколы связи.
Помимо этого, TISAX требует соблюдения стандарта VDA (набор требований к безопасности автомобильных компонентов и систем). Также эта программа требует демонстрации соответствия общеотраслевым стандартам и правилам. Всё вместе гарантирует общую безопасность системы.
Кому подходит получение TISAX?
Если вы ведете бизнес с компаниями автомобильной промышленности, то TISAX будет необходим. Также он нужен, для компаний и поставщиков услуг, которые работают с конфиденциальными данными. Несмотря на то, что TISAX не является обязательным требованием, без него будет трудно работать с производителями оригинального оборудования (OEM).
Какие требования у TISAX?
Основные требования, которые требует TISAX заключаются в следующем:
- Внедрение системы управления информацией, оценка рисков и меры по их снижению;
- Демонстрация безопасных процессов разработки программного обеспечения;
- Разработка планов действий при инцидентах;
- Внедрение соответствующих процессов и средств контроля безопасности;
- Регулярные оценки и мониторинг безопасности.
Как получить подтверждение соответствия TISAX?
Чтобы получить подтверждение соответствия TISAX, организация должна заполнить заявку в ENX, где потребуется указать подробную информацию о компании. После подачи заявки следует несколько этапов:
Подготовка. Потребуется ознакомиться с требованиями получения оценки, зарегистрироваться на портале TISAX и выбрать аккредитованный аудиторский орган, подготовиться к аудиту.
Оценка. Аудит состоит из интервью, обзора документов, уточнения возможных выводов. Затем следует подготовить план корректирующих действий (CAP), если потребуется закрыть какие-либо пробелы. Этот план оценивается последующим наблюдением и вносится в отчет.
Обмен результатами. Аудитор загружает отчет на платформу. После проверяемая компания решает с кем поделиться результатами. А ENX выдаёт маркировку TISAX прошедшей аудит компании.
Какие преимущества у TISAX?
TISAX предоставляет такие преимущества, как
- Повышение доверия клиентов,
- Повышение прозрачности компании,
- Предотвращение нарушений информационной безопасности и кибератак,
- Признание в качестве надежного поставщика,
- Конкурентное преимущество на рынке.
В чём разница между TISAX и ISO 27001?
TISAX основывается на ключевых элементах стандарта системы управления информационной безопасности ISO 27001. Однако они полностью независимы друг от друга в отношении аудита и подтверждения соответствия. ISO 27001 предоставляет общие требования для компаний, TISAX в свою очередь разработан именно для поставщиков в автомобильной промышленности.
Основные отличия:
ISO 27001:
- Стандарт системы менеджмента;
- Область применения определена до сертификации;
- Срок действия 3 года, проходят периодические аудиты.
TISAX:
- Охватывает процессы информационной безопасности в автомобильной промышленности;
- Область применения либо фиксирована, либо компания может её прописать сама;
- Срок действия 3 года, периодические аудиты не проходят.
Обращайтесь в Изи Штандарт!
Мы поможем получить подтверждение соответствия TISAX. Мы разработаем систему, которая будет соответствовать требованиям стандарта и процессам вашей компании. Также благодаря большому опыту мы смогли оптимизировать процессы, что увеличило скорость получения оценки TISAX. Чтобы начать работу по проекту, Вам не нужно сразу оплачивать всю сумму, а только 25% от стоимости услуг. Уже после получения оценки Вы вносите оставшуюся стоимость.