DNV.se

TISAX® - Informationssäkerhet inom fordonssektorn

TISAX_Info_Security_Automotive

Kontakta oss

Jesper Ghildiyal

Jesper Ghildiyal

Commercial Director

Redo för certifiering?

Offertförfrågan

Skydda konfidentiell information som prototyper, skydda varumärkets rykte och bygga upp kundlojalitet.

I en extremt innovativ miljö som är beroende av flera aktörer för att lyckas är ett säkert informationsutbyte viktigt. Fordonsindustrin kräver en ekosystembaserad informationssäkerhetsstrategi i sina långa och komplexa leveranskedjor.

I vår digitala tidsålder sträcker sig behoven av informationssäkerhet bortom fordonsleverantörer till marknadsföringsföretag och andra berörda parter. Det primära behovet är att skydda:

  • projekt eller designinformation, prototyper eller hemliga investeringsplaner,
  • Big Data och processdata, kopplat till nya koncept för digitalisering, utvecklingen av autonoma bilar,
  • kopplingar inom försörjningskedjans nätverk,
  • och kundernas personuppgifter

Vad är TISAX?

TISAX (Trusted Information Security Assessment eXchange) är en global informationssäkerhetsstandard för bilindustrin. Det är en mognadsbaserad metod för bedömning av informationssäkerhet som är inriktad på fordonsindustrins behov. Bedömningen är i första hand tillämplig på leverantörer i första och andra ledet, men kan utvidgas till mer komplexa leveranskedjor och är ett krav från vissa OEM-företag.

Syftet med systemet är att:

  • fastställa en gemensam säkerhetsnivå för fordonsindustrin
  • säkerställa ett gemensamt erkännande av bedömningar för att minska kostnader, ansträngningar och komplexitet för tillverkare och leverantörer.
  • säkerställa jämförbarheten och kvaliteten på bedömningarna
  • utbyta bästa praxis och lärdomar
  • låta varje deltagare bestämma vem som ska få ta del av resultaten och hur detaljerade de ska vara

TISAX kombinerar de tidigare informationssäkerhetsreglerna (ISA) från det tyska förbundet för bilindustrin (VDA) med tillägg A (tekniska kontroller) till ISO/IEC 27001 samt vissa krav på skydd av privatlivet.

TISAX® vs ISO/IEC 27001

TISAX bygger på de viktigaste delarna i standarden för ledningssystem för informationssäkerhet ISO/IEC 27001, med fokus på delar som är särskilt relevanta för fordonsindustrin.

De viktigaste skillnaderna är:

ISO/IEC 27001TISAX
Standard för förvaltningssystemOmfattar processer och delar av informationssäkerheten som är relevanta för partner inom fordonsindustrin
In/ut-lägeMetod för mognadsnivå
Omfattning definieras före certifieringTillämpningsområdet är fastställt
Företagsspecifik riskanalysVDA-ISA-arbetsgruppsbaserad risk analys
Certifieringsorganet utfärdar certifikatetTISAX utfärdar etikett och utbyte Registrering
Periodisk revision och omcertifiering efter 3 år3 års giltighet, inga regelbundna revisioner

Fördelar med utvärderingar

TISAX-bedömningar är inte bara ett krav från vissa tillverkare på att de ska vara en biljett till handel, utan bidrar också till att bygga upp förtroendet för leveranskedjan. Deltagande leverantörer kan dra nytta av följande:

  • Att bli erkänd av fordonstillverkare;
  • Förebyggande av brott mot informationssäkerheten och cyberattacker;
  • Vinna kundernas förtroende;
  • Identifiera och hantera risker;
  • Att få erkännande för goda informationssäkerhetsprocesser;
  • Delning av bedömningsresultat genom ENX-utbytet.

Komma igång

Företag som deltar i programmet måste registrera sig hos ENX som deltagare. Processen är upplagd i etapper:

  • Uppmärksamhet

Bekanta dig med TISAX-kraven.

  • Förberedelse

Registrera dig på TISAX-portalen, välj ditt ackrediterade revisionsorgan och förbered dig för revisionen. Detta inkluderar en självbedömning för att mäta din överensstämmelse och beredskap.

  • Bedömning

Hur granskningen utförs beror på om du uppfyller kraven för en fjärrgranskning (nivå 2) eller en fysisk granskning (nivå 3). Själva revisionen består av intervjuer, en dokumentgranskning, klargörande av eventuella upptäckter och nästa steg.

  • Plan för korrigerande åtgärder och uppföljning

Utarbeta en plan för korrigerande åtgärder (CAP) för att åtgärda eventuella upptäckter (luckor) som lämnas till revisionsleverantören. Den gemensamma åtgärdsplanen bedöms genom en uppföljning (eller fler om det behövs) och kompletterar TISAX-rapporten.

  • Utbyte av resultat

Revisionsleverantören laddar upp TISAX-rapporten till plattformen. Det granskade företaget bestämmer vem resultaten ska delas med. ENX utfärdar TISAX-etiketter till det granskade företaget.

DNV är en leverantör av garantier som godkänts av ENX Association. Genom vårt nätverk av lokala kontor och revisorer kan vi tillhandahålla bedömningar för TISAX globalt.

ENX upprätthåller kriterierna för revisionsleverantörer och bedömningskraven (TISAX ACAR). Den godkänner revisionsleverantörer och övervakar kvaliteten på genomförandet samt bedömningsresultaten. ENX stöds av TISAX-kommittén, som består av företrädare för tillverkare, leverantörer och sammanslutningar.

Kontakta oss

Jesper Ghildiyal

Jesper Ghildiyal

Commercial Director

Redo för certifiering?

Offertförfrågan

Fler tjänster: