TISAX® - Informationssäkerhet inom fordonssektorn
Skydda konfidentiell information, skydda varumärkets rykte och bygg upp kundlojalitet.
I en extremt innovativ miljö som är beroende av flera aktörer för att lyckas, är säkert informationsutbyte avgörande. Fordonsindustrin kräver en "ekosystemisk" strategi för informationssäkerhet inom sina långa och komplexa leveranskedjor.
I vår digitala tidsålder sträcker sig behoven av informationssäkerhet längre än till fordonsleverantörer, marknadsföringsföretag och andra berörda parter. Det primära behovet är att skydda:
- projekt eller designinformation, prototyper eller hemliga investeringsplaner,
- big data och processdata, kopplade till de nya digitaliseringsbegreppen och utvecklingen av självkörande bilar,
- sammankopplingar inom försörjningskedjans nätverk,
- och kundernas personuppgifter
Vad är TISAX?
TISAX (Trusted Information Security Assessment eXchange) är en global informationssäkerhetsstandard för fordonsindustrin. Det är en mognadsbaserad metod för bedömning av informationssäkerhet som är inriktad på fordonsindustrins behov. Den är i första hand tillämplig på leverantörer på första och andra nivån, men kan utvidgas till mer komplexa leveranskedjor och är ett krav från vissa OEM-tillverkare.
Målet med systemet är att:
- upprätta en gemensam säkerhetsnivå för fordonsindustrin
- säkerställa ett gemensamt erkännande av bedömningar för att minska kostnader, ansträngningar och komplexitet för tillverkare och leverantörer
- säkerställa bedömningarnas jämförbarhet och kvalitet
- utbyta bästa praxis och lärdomar
- låta varje deltagare bestämma till vem resultaten ska avslöjas och hur detaljerade de ska vara
TISAX kombinerar de tidigare Information Security Rules (ISA) från tyska Verband der Automobilindustrie (VDA) med tillägg A (tekniska kontroller) med ISO/IEC 27001:s bilaga A (tekniska kontroller) samt vissa krav på integritetsskydd.
TISAX® vs ISO/IEC 27001
TISAX bygger på viktiga delar i standarden ISO/IEC 27001 för ledningssystem för informationssäkerhet och fokuserar på delar som är särskilt relevanta för fordonsindustrin.
De viktigaste skillnaderna är följande:
| ISO/IEC 27001 | TISAX |
| Standard för ledningssystem | Täcker informationssäkerhetsprocesser och delar som är relevanta för partners inom fordonsindustrin |
| In/ut-metod | Tillvägagångssätt för mognadsnivå |
| Omfattning definierad före certifiering | Omfattningen är fast |
| Certifieringsorgan utfärdar certifikat | ENX utfärdar etikett och utbytesregistrering |
| Periodisk revision och omcertifiering efter 3 år | 3 års giltighet, inga regelbundna revisioner |
Fördelar med utvärderingar
TISAX-bedömningar är inte bara ett krav från vissa tillverkare, utan bidrar också till att skapa förtroende i leveranskedjan. Deltagande leverantörer kan dra nytta av detta:
- Erkänd av fordonstillverkare;
- Förhindra brott mot informationssäkerheten och cyberattacker;
- Att vinna kundernas förtroende;
- Identifiering och hantering av risker;
- Få erkännande för goda informationssäkerhetsprocesser;
- Delning av bedömningsresultat genom ENX-utbytet.
Komma igång
Företag som deltar i programmet måste registrera sig som deltagare hos ENX.
Processen är uppbyggd i steg:
- Uppmärksamhet
känna TISAX-kraven.
- Förberedelser
Registrera er på TISAX-portalen, välj ert ackrediterade revisionsorgan och förbered er för revisionen. Detta inkluderar en självutvärdering för att mäta din efterlevnad och beredskap.
- Bedömning
Hur revisionen genomförs beror på om ni kvalificerar er för en distansrevision (nivå 2) eller en fysisk revision (nivå 3). Själva revisionen består av intervjuer, dokumentgranskning, klargörande av eventuella iakttagelser och nästa steg.
- Plan för korrigerande åtgärder och uppföljning
Förbered en plan för korrigerande åtgärder (CAP) för att åtgärda eventuella brister (gaps) som lämnas till revisionsleverantören. Planen bedöms genom en uppföljning (eller fler om det behövs) och kompletterar TISAX-rapporten.
- Utbyte av resultat
Revisionsleverantören laddar upp TISAX-rapporten till plattformen. Det granskade företaget beslutar med vem resultaten ska delas. ENX utfärdar TISAX-etiketterna till det granskade företaget.
DNV är en försäkringsgivare som godkänts av ENX Association. Genom vårt nätverk av lokala kontor och revisorer kan vi tillhandahålla TISAX-bedömningar globalt.
