TISAX® - Informationssikkerhed i bilsektoren

I et ekstremt innovativt miljø, der er afhængigt af flere aktører for at lykkes, er sikker informationsudveksling afgørende. Bilindustrien kræver en "økosystemisk" informationssikkerhedstilgang inden for dens lange og komplekse forsyningskæder.

I vores digitale tidsalder strækker informationssikkerhedsbehovene sig ud over leverandører til bilindustrien til marketingvirksomheder og andre involverede parter. Det primære behov er at beskytte:

• projekter eller designoplysninger, prototyper eller hemmelige investeringsplaner,
• big data og procesdata, knyttet til de nye koncepter for digitalisering, udviklingen af autonome biler,
• sammenkoblinger i forsyningskædenetværket,
• og kundernes personoplysninger

Hvad er TISAX?

TISAX (Trusted Information Security Assessment eXchange) er en global standard for informationssikkerhed i bilindustrien. Den er en modenhedsbaseret metode til vurdering af informationssikkerhed og er målrettet bilindustriens behov. Vurderingen gælder primært for leverandører på første og andet niveau, men kan udvides til mere komplekse forsyningskæder og er et krav fra visse OEM'er.

Målet med ordningen er at:

• at etablere et fælles sikkerhedsniveau for bilindustrien
• at sikre fælles anerkendelse af vurderinger for at reducere omkostninger, indsats og kompleksitet for producenter og leverandører
• at sikre sammenligneligheden og kvaliteten af vurderingerne
• udveksle bedste praksis og erfaringer
• lade hver enkelt deltager bestemme, hvem resultaterne skal afsløres for og hvor detaljerede de skal være

TISAX kombinerer de tidligere Informationssikkerhedsregler (ISA) fra den tyske Verband der Automobilindustrie (VDA) med ISO/IEC 27001's tillæg A (tekniske kontroller) samt nogle krav til beskyttelse af privatlivets fred.

TISAX® vs ISO/IEC 27001

TISAX bygger på nøgleelementer i standarden for informationssikkerhedsledelsessystemer ISO/IEC 27001 og fokuserer på elementer, der er særligt relevante for bilindustrien.

De vigtigste forskelle er:

Fordele ved vurderinger

Ud over at være et krav fra visse producenter om en billet til handel bidrager TISAX-vurderinger til at skabe tillid i forsyningskæden. Deltagende leverandører kan drage fordel af følgende:

• Bliver anerkendt af bilproducenter;
• Forebyggelse af brud på informationssikkerheden og cyberangreb;
• Opnå kundernes tillid;
• Identificering og håndtering af risici;
• Få anerkendelse for behørige informationssikkerhedsprocesser;
• Deling af vurderingsresultater via ENX-udvekslingen.

Kom godt i gang

Virksomheder, der deltager i programmet, skal registrere sig hos ENX som deltager.

Processen er opbygget i etaper:

• Opmærksomhed
  Få kendskab til TISAX-kravene.
• Forberedelse
  Registrer dig på TISAX-portalen, vælg dit akkrediterede revisionsorgan, og forbered dig på auditten. Dette omfatter en selvevaluering for at måle din overholdelse og parathed.
• Vurdering
  Hvordan revisionen udføres, afhænger af, om du opfylder betingelserne for en fjernrevision (niveau 2) eller en fysisk revision (niveau 3). Selve revisionen består af interviews, gennemgang af dokumenter, afklaring af eventuelle fund og næste skridt.
• Plan for afhjælpende foranstaltninger og opfølgning
  Udarbejdelse af en plan for korrigerende foranstaltninger (CAP) for at lukke eventuelle fund (mangler), som forelægges for auditøren. Den fælles handlingsplan vurderes ved hjælp af en opfølgning (eller flere, hvis det er nødvendigt) og afslutter TISAX-rapporten.
• Udveksling af resultater
  Auditudbyderen uploader TISAX-rapporten til platformen. Den reviderede virksomhed beslutter, hvem resultaterne skal deles med. ENX udsteder TISAX-mærkerne til den reviderede virksomhed.

DNV er en godkendt TISAX-udbyder af ENX Association. Gennem vores netværk af lokale kontorer og auditorer kan vi levere vurderinger til TISAX globalt.

ENX vedligeholder kriterierne for auditudbydere og vurderingskravene (TISAX ACAR). Det godkender auditudbydere og overvåger kvaliteten af gennemførelsen samt vurderingsresultaterne. ENX støttes af TISAX-udvalget, der består af repræsentanter for producenter, leverandører og sammenslutninger.