TISAX® - Informationssikkerhed i bilindustrien
Beskyt fortrolige oplysninger, beskyt varemærkets omdømme og opbyg kundernes tilled.
I et ekstremt innovativt miljø, der er afhængigt af flere aktører for at lykkes, er sikker informationsudveksling afgørende. Bilindustrien kræver en "økosystemisk" informationssikkerhedstilgang inden for dens lange og komplekse forsyningskæder.
I vores digitale tidsalder strækker informationssikkerhedsbehovene sig ud over leverandører til bilindustrien til marketingvirksomheder og andre involverede parter. Det primære behov er at beskytte:
- projekter eller designoplysninger, prototyper eller hemmelige investeringsplaner,
- big data og procesdata, knyttet til de nye koncepter for digitalisering, udviklingen af autonome biler,
- sammenkoblinger i forsyningskædenetværket,
- og kundernes personoplysninger
Hvad er TISAX?
TISAX (Trusted Information Security Assessment eXchange) er en global standard for informationssikkerhed i bilindustrien. Den er en modenhedsbaseret metode til vurdering af informationssikkerhed og er målrettet bilindustriens behov. Vurderingen gælder primært for leverandører på første og andet niveau, men kan udvides til mere komplekse forsyningskæder og er et krav fra visse OEM'er.
Målet med ordningen er at:
- at etablere et fælles sikkerhedsniveau for bilindustrien
- at sikre fælles anerkendelse af vurderinger for at reducere omkostninger, indsats og kompleksitet for producenter og leverandører
- at sikre sammenligneligheden og kvaliteten af vurderingerne
- udveksle bedste praksis og erfaringer
- lade hver enkelt deltager bestemme, hvem resultaterne skal afsløres for og hvor detaljerede de skal være
TISAX kombinerer de tidligere Informationssikkerhedsregler (ISA) fra den tyske Verband der Automobilindustrie (VDA) med ISO/IEC 27001's tillæg A (tekniske kontroller) samt nogle krav til beskyttelse af privatlivets fred.
TISAX® vs ISO/IEC 27001
TISAX bygger på nøgleelementer i standarden for informationssikkerhedsledelsessystemer ISO/IEC 27001 og fokuserer på elementer, der er særligt relevante for bilindustrien.
De vigtigste forskelle er:
| ISO/IEC 27001 | TISAX |
| Standard for forvaltningssystem | Dækker informationssikkerhedsprocesser og -dele, der er relevante for partnere i bilindustrien |
| On/off-tilgang | Maturitetsniveau-tilgang |
| Anvendelsesområde defineret før certificering | Anvendelsesområdet er fast |
| Certificeringsorgan udsteder certifikat | ENX udsteder etiket og ombytning registrering |
| Periodisk audit og fornyet certificering efter 3 år | 3-årig gyldighed, ingen periodiske audit |
Fordele ved vurderinger
Ud over at være et krav fra visse producenter om en billet til handel bidrager TISAX-vurderinger til at skabe tillid i forsyningskæden. Deltagende leverandører kan drage fordel af følgende:
- Bliver anerkendt af bilproducenter;
- Forebyggelse af brud på informationssikkerheden og cyberangreb;
- Opnå kundernes tillid;
- Identificering og håndtering af risici;
- Få anerkendelse for behørige informationssikkerhedsprocesser;
- Deling af vurderingsresultater via ENX-udvekslingen.
Kom godt i gang
Virksomheder, der deltager i programmet, skal registrere sig hos ENX som deltager.
Processen er opbygget i etaper:
- Opmærksomhed
Få kendskab til TISAX-kravene. - Forberedelse
Registrer dig på TISAX-portalen, vælg dit akkrediterede revisionsorgan, og forbered dig på auditten. Dette omfatter en selvevaluering for at måle din overholdelse og parathed. - Vurdering
Hvordan auditen udføres, afhænger af, om du opfylder betingelserne for en fjernaudit (niveau 2) eller en fysisk audit (niveau 3). Selve auditen består af interviews, gennemgang af dokumenter, afklaring af eventuelle fund og næste skridt. - Plan for afhjælpende foranstaltninger og opfølgning
Udarbejdelse af en plan for korrigerende foranstaltninger (CAP) for at lukke eventuelle fund (mangler), som forelægges for auditøren. Den fælles handlingsplan vurderes ved hjælp af en opfølgning (eller flere, hvis det er nødvendigt) og afslutter TISAX-rapporten. - Udveksling af resultater
Auditudbyderen uploader TISAX-rapporten til platformen. Den reviderede virksomhed beslutter, hvem resultaterne skal deles med. ENX udsteder TISAX-mærkerne til den reviderede virksomhed.
DNV er en godkendt TISAX-udbyder af ENX Association. Gennem vores netværk af lokale kontorer og auditorer kan vi levere vurderinger til TISAX globalt.
