TISAX® - Informationssikkerhed i bilsektoren
Kontakt os for yderligere information
Behov for mere information?
Ja takKender du allerede dit behov?
Kontakt os for et tilbudBeskyt fortrolige oplysninger såsom prototyper, beskyt varemærkets omdømme og opbyg kundernes loyalitet.
I et ekstremt innovativt miljø, der er afhængigt af flere aktører for at lykkes, er sikker informationsudveksling afgørende. Bilindustrien kræver en "økosystemisk" informationssikkerhedstilgang inden for dens lange og komplekse forsyningskæder.
I vores digitale tidsalder strækker informationssikkerhedsbehovene sig ud over leverandører til bilindustrien til marketingvirksomheder og andre involverede parter. Det primære behov er at beskytte:
- projekter eller designoplysninger, prototyper eller hemmelige investeringsplaner,
- big data og procesdata, knyttet til de nye koncepter for digitalisering, udviklingen af autonome biler,
- sammenkoblinger i forsyningskædenetværket,
- og kundernes personoplysninger
Hvad er TISAX?
TISAX (Trusted Information Security Assessment eXchange) er en global standard for informationssikkerhed i bilindustrien. Den er en modenhedsbaseret metode til vurdering af informationssikkerhed og er målrettet bilindustriens behov. Vurderingen gælder primært for leverandører på første og andet niveau, men kan udvides til mere komplekse forsyningskæder og er et krav fra visse OEM'er.
Målet med ordningen er at:
- at etablere et fælles sikkerhedsniveau for bilindustrien
- at sikre fælles anerkendelse af vurderinger for at reducere omkostninger, indsats og kompleksitet for producenter og leverandører
- at sikre sammenligneligheden og kvaliteten af vurderingerne
- udveksle bedste praksis og erfaringer
- lade hver enkelt deltager bestemme, hvem resultaterne skal afsløres for og hvor detaljerede de skal være
TISAX kombinerer de tidligere Informationssikkerhedsregler (ISA) fra den tyske Verband der Automobilindustrie (VDA) med ISO/IEC 27001's tillæg A (tekniske kontroller) samt nogle krav til beskyttelse af privatlivets fred.
TISAX® vs ISO/IEC 27001
TISAX bygger på nøgleelementer i standarden for informationssikkerhedsledelsessystemer ISO/IEC 27001 og fokuserer på elementer, der er særligt relevante for bilindustrien.
De vigtigste forskelle er:
| ISO/IEC 27001 | TISAX |
| Standard for forvaltningssystem | Dækker informationssikkerhedsprocesser og -dele, der er relevante for partnere i bilindustrien |
| On/off-tilgang | Maturitetsniveau-tilgang |
| Anvendelsesområde defineret før certificering | Anvendelsesområdet er fast |
| Virksomhedsbaseret risikoanalyse | VDA-ISA-arbejdsgruppebaseret risiko analyse |
| Certificeringsorgan udsteder certifikat | TISAX udsteder etiket og ombytning registrering |
| Periodisk revision og fornyet certificering efter 3 år | 3-årig gyldighed, ingen periodiske revisioner |
Fordele ved vurderinger
Ud over at være et krav fra visse producenter om en billet til handel bidrager TISAX-vurderinger til at skabe tillid i forsyningskæden. Deltagende leverandører kan drage fordel af følgende:
- Bliver anerkendt af bilproducenter;
- Forebyggelse af brud på informationssikkerheden og cyberangreb;
- Opnå kundernes tillid;
- Identificering og håndtering af risici;
- Få anerkendelse for behørige informationssikkerhedsprocesser;
- Deling af vurderingsresultater via ENX-udvekslingen.
Kom godt i gang
Virksomheder, der deltager i programmet, skal registrere sig hos ENX som deltager.
Processen er opbygget i etaper:
- Opmærksomhed
Få kendskab til TISAX-kravene. - Forberedelse
Registrer dig på TISAX-portalen, vælg dit akkrediterede revisionsorgan, og forbered dig på auditten. Dette omfatter en selvevaluering for at måle din overholdelse og parathed. - Vurdering
Hvordan revisionen udføres, afhænger af, om du opfylder betingelserne for en fjernrevision (niveau 2) eller en fysisk revision (niveau 3). Selve revisionen består af interviews, gennemgang af dokumenter, afklaring af eventuelle fund og næste skridt. - Plan for afhjælpende foranstaltninger og opfølgning
Udarbejdelse af en plan for korrigerende foranstaltninger (CAP) for at lukke eventuelle fund (mangler), som forelægges for auditøren. Den fælles handlingsplan vurderes ved hjælp af en opfølgning (eller flere, hvis det er nødvendigt) og afslutter TISAX-rapporten. - Udveksling af resultater
Auditudbyderen uploader TISAX-rapporten til platformen. Den reviderede virksomhed beslutter, hvem resultaterne skal deles med. ENX udsteder TISAX-mærkerne til den reviderede virksomhed.
DNV er en godkendt TISAX-udbyder af ENX Association. Gennem vores netværk af lokale kontorer og auditorer kan vi levere vurderinger til TISAX globalt.
ENX vedligeholder kriterierne for auditudbydere og vurderingskravene (TISAX ACAR). Det godkender auditudbydere og overvåger kvaliteten af gennemførelsen samt vurderingsresultaterne. ENX støttes af TISAX-udvalget, der består af repræsentanter for producenter, leverandører og sammenslutninger.