- {- item.details.type -}
- {- item.details.date -}
- {- item.details.sector -}
I en extremt innovativ miljö som är beroende av flera aktörer för att lyckas är ett säkert informationsutbyte viktigt. Fordonsindustrin kräver en ekosystembaserad informationssäkerhetsstrategi i sina långa och komplexa leveranskedjor.
I vår digitala tidsålder sträcker sig behoven av informationssäkerhet bortom fordonsleverantörer till marknadsföringsföretag och andra berörda parter. Det primära behovet är att skydda:
- projekt eller designinformation, prototyper eller hemliga investeringsplaner,
- Big Data och processdata, kopplat till nya koncept för digitalisering, utvecklingen av autonoma bilar,
- kopplingar inom försörjningskedjans nätverk,
- och kundernas personuppgifter
Vad är TISAX?
TISAX (Trusted Information Security Assessment eXchange) är en global informationssäkerhetsstandard för bilindustrin. Det är en mognadsbaserad metod för bedömning av informationssäkerhet som är inriktad på fordonsindustrins behov. Bedömningen är i första hand tillämplig på leverantörer i första och andra ledet, men kan utvidgas till mer komplexa leveranskedjor och är ett krav från vissa OEM-företag.
Syftet med systemet är att:
- fastställa en gemensam säkerhetsnivå för fordonsindustrin
- säkerställa ett gemensamt erkännande av bedömningar för att minska kostnader, ansträngningar och komplexitet för tillverkare och leverantörer.
- säkerställa jämförbarheten och kvaliteten på bedömningarna
- utbyta bästa praxis och lärdomar
- låta varje deltagare bestämma vem som ska få ta del av resultaten och hur detaljerade de ska vara
TISAX kombinerar de tidigare informationssäkerhetsreglerna (ISA) från det tyska förbundet för bilindustrin (VDA) med tillägg A (tekniska kontroller) till ISO/IEC 27001 samt vissa krav på skydd av privatlivet.
TISAX® vs ISO/IEC 27001
TISAX bygger på de viktigaste delarna i standarden för ledningssystem för informationssäkerhet ISO/IEC 27001, med fokus på delar som är särskilt relevanta för fordonsindustrin.
De viktigaste skillnaderna är:
ISO/IEC 27001 | TISAX |
Standard för förvaltningssystem | Omfattar processer och delar av informationssäkerheten som är relevanta för partner inom fordonsindustrin |
In/ut-läge | Metod för mognadsnivå |
Omfattning definieras före certifiering | Tillämpningsområdet är fastställt |
Företagsspecifik riskanalys | VDA-ISA-arbetsgruppsbaserad risk analys |
Certifieringsorganet utfärdar certifikatet | TISAX utfärdar etikett och utbyte Registrering |
Periodisk revision och omcertifiering efter 3 år | 3 års giltighet, inga regelbundna revisioner |
Fördelar med utvärderingar
TISAX-bedömningar är inte bara ett krav från vissa tillverkare på att de ska vara en biljett till handel, utan bidrar också till att bygga upp förtroendet för leveranskedjan. Deltagande leverantörer kan dra nytta av följande:
- Att bli erkänd av fordonstillverkare;
- Förebyggande av brott mot informationssäkerheten och cyberattacker;
- Vinna kundernas förtroende;
- Identifiera och hantera risker;
- Att få erkännande för goda informationssäkerhetsprocesser;
- Delning av bedömningsresultat genom ENX-utbytet.
Komma igång
Företag som deltar i programmet måste registrera sig hos ENX som deltagare. Processen är upplagd i etapper:
- Uppmärksamhet
Bekanta dig med TISAX-kraven.
- Förberedelse
Registrera dig på TISAX-portalen, välj ditt ackrediterade revisionsorgan och förbered dig för revisionen. Detta inkluderar en självbedömning för att mäta din överensstämmelse och beredskap.
- Bedömning
Hur granskningen utförs beror på om du uppfyller kraven för en fjärrgranskning (nivå 2) eller en fysisk granskning (nivå 3). Själva revisionen består av intervjuer, en dokumentgranskning, klargörande av eventuella upptäckter och nästa steg.
- Plan för korrigerande åtgärder och uppföljning
Utarbeta en plan för korrigerande åtgärder (CAP) för att åtgärda eventuella upptäckter (luckor) som lämnas till revisionsleverantören. Den gemensamma åtgärdsplanen bedöms genom en uppföljning (eller fler om det behövs) och kompletterar TISAX-rapporten.
- Utbyte av resultat
Revisionsleverantören laddar upp TISAX-rapporten till plattformen. Det granskade företaget bestämmer vem resultaten ska delas med. ENX utfärdar TISAX-etiketter till det granskade företaget.
DNV är en officiell TISAX-leverantör av ENX Association. Genom vårt nätverk av lokala kontor och revisorer kan vi tillhandahålla bedömningar för TISAX globalt.
ENX upprätthåller kriterierna för revisionsleverantörer och bedömningskraven (TISAX ACAR). Den godkänner revisionsleverantörer och övervakar kvaliteten på genomförandet samt bedömningsresultaten. ENX stöds av TISAX-kommittén, som består av företrädare för tillverkare, leverantörer och sammanslutningar.