Aby zapewnić bezpieczne przetwarzanie i wymianę informacji między podmiotami branży automotive, Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego (VDA) opracowało w 2017 r. standard TISAX®, czyli Trusted Information Security Assessment Exchange. Jest to standard certyfikacji, który służy do oceny spełnienia standardów bezpieczeństwa informacji przez dany podmiot. Na podstawie wymagań standardu TISAX® Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego (VDA) stworzyło dokument w postaci checklisty, który jest specjalnie dostosowany do wymagań przemysłu motoryzacyjnego – VDA Information Security Assessment (VDA ISA). To katalog wymagań, oparty na kluczowych aspektach międzynarodowej normy ISO/IEC 27001. Jest używany przez firmy zarówno do celów wewnętrznych, jak i oceny przez dostawców i usługodawców przetwarzających informacje podlegające ochronie.
W zależności od rodzaju przetwarzanych informacji klient powinien zdefiniować swoje potrzeby w zakresie ich ochrony, które następnie dostawca ma obowiązek spełnić – to od nich zależy, z jakim poziomem oceny będziemy mieli do czynienia:
| Zakres oceny | Opis | Poziom oceny |
| 01 | Informacje o wysokich wymaganiach ochrony | AL2 |
| 02 | Informacje o bardzo wysokich wymaganiach ochrony | AL3 |
| 03 | Ochrona prototypów, części i komponentów | AL3 |
| 04 | Ochrona pojazdów prototypowych | AL3 |
| 05 | Obsługa pojazdów testowych | AL3 |
| 06 | Ochrona prototypów podczas wydarzeń oraz sesji zdjęciowych i nagrań video | AL3 |
| 07 | Ochrona danych (art. 28 RODO) | AL2 |
| 08 | Ochrona danych wrażliwych (art. 28 i art. 9 RODO) | AL3 |
TISAX® rozróżnia trzy „poziomy oceny” (AL). Poziom oceny określa, jaką metodę oceny musi zastosować podmiot przeprowadzający audyt. Im wyższy poziom oceny, tym większy jest wysiłek niezbędny do wykonania poprawnej, dokładnej analizy.
W zależności od poziomu dojrzałości organizacji w zakresie zarządzania bezpieczeństwem informacji sposób przeprowadzania oceny przez audytorów jest inny:
| Sposób oceny | Poziom oceny AL1 | Poziom oceny AL2 | Poziom oceny AL3 |
| Self-assessment | X | X | X |
| Dowody | – | Możliwe | X |
| Wywiady | – | Zdalnie (np. telekonferencja) | X |
| Audyt na miejscu (on-site) | – | Na żądanie Klienta | X |
Ocena na poziomie AL1 służy głównie celom wewnętrznym organizacji. Przeprowadza się tzw. samoocenę (self-assessement) – wymagane jest wypełnienie arkusza ISA VDA w zakresie opisu poszczególnych procesów dokumentacji oraz wskazanie nazw dokumentów, w których treści uregulowano realizację poszczególnych wymagań.
Ocena poziomu AL2 to przeprowadzona przez audytorów weryfikacja informacji przekazanych w ramach procesu samooceny. W celu potwierdzenia wiarygodności przekazanych informacji audytor sprawdza dowody i przeprowadza wywiad z osobą odpowiedzialną za bezpieczeństwo informacji (w formie telekonferencji). W przypadku dowodów, których nie chcemy udostępniać zdalnie, można wnioskować o kontrolę na miejscu, w siedzibie firmy.
W przypadku oceny na poziomie AL3, audytor przeprowadza kompleksową weryfikację zgodności organizacji z wymaganiami standardu TISAX®. Podobnie jak w przypadku oceny na poziomie AL1 i AL2, należy przeprowadzić samoocenę. Następnie audytor weryfikuje przekazany wypełniony formularz ISA VDA i przedłożoną dokumentację celem przygotowania się do audytu on-site, który składa się z następujących elementów:
- Zbadanie i zebranie dowody
- Przeprowadzenie zaplanowanych wywiadów z właścicielami procesów
- Obserwacja otoczenia
- Obserwacja przebiegu procesów
- Przeprowadzenie nieplanowanych rozmów z pracownikami
Podstawowy zestaw wymagań dla każdego z zakresów i poziomów oceny to pierwszy arkusz VDA ISA o nazwie „Bezpieczeństwo informacji”. Składa się on z 7 głównych obszarów, w których sprecyzowano poszczególne wymagania zmapowane na punkty normy ISO/IEC 27001:
- Polityki Bezpieczeństwa Informacji i organizacja
- Zasoby ludzkie
- Bezpieczeństwo fizyczne i ciągłość działania
- Zarządzanie tożsamością i kontrola dostępu
- Bezpieczeństwo IT / Cyberbezpieczeństwo
- Relacje z dostawcami
- Zgodność
Jeśli wszystkie wymagane w ramach danego poziomu oceny wymagania są spełnione, co potwierdzają audytorzy, organizacja otrzymuje etykiety TISAX®. Jednakże, w trakcie audytu mogą pojawić się mniejsze lub większe odchylenia i braki od zakładanego poziomu bezpieczeństwa:
| Nazwa | Opis |
| Duża niezgodność | Stwarza znaczące bezpośrednie zagrożenie dla bezpieczeństwa informacji lub budzi wątpliwości co do ogólnej skuteczności systemu zarządzania bezpieczeństwem informacji
Kryteria: · Wysokie ryzyko naruszenia poufności informacji · Powtarzająca się niezgodność · Nieprawidłowe działanie jednego z procesów zarządzania bezpieczeństwem informacji |
| Mała niezgodność | Nie stwarza istotnego bezpośredniego zagrożenia dla bezpieczeństwa informacji i nie budzi wątpliwości co do ogólnej skuteczności systemu zarządzania bezpieczeństwem informacji
Kryteria: · Niskie ryzyko naruszenia bezpieczeństwa informacji · Jednorazowa, nie powtarzająca się niezgodność z wymaganiami · Ogólnie proces zarządzania bezpieczeństwem informacji działa prawidłowo
|
| Obserwacja | Obserwacja to niezgodność z wymaganiami wdrożonych zasad, która nie stwarza bezpośredniego zagrożenia dla bezpieczeństwa informacji, ale może prowadzić do niego w przyszłości. |
| Potencjał doskonalenia | Odchylenie, które nie należy do wyżej wymienionych typów i nie stwarza zagrożenia dla bezpieczeństwa informacji, ale stanowi możliwość do doskonalenia. |
Sposób postępowania po przeprowadzonym audycie zależy od jego wyników:
- Duża niezgodność – w pierwszej kolejności organizacja musi rozwiązać dany problem, zanim otrzyma jakiekolwiek etykiety TISAX®. Po opracowaniu i zrealizowaniu działań naprawczych działaniom zatwierdzonych przez audytorów możliwa jest zmiana ogólnego wyniku oceny z „dużej niezgodności” na „małą niezgodność”, a tym samym otrzymanie tymczasowych etykiet TISAX®.
- Mała niezgodność – organizacja otrzymuje tymczasowe etykiety TISAX® do czasu usunięcia zidentyfikowanych niezgodności.
Po wykonaniu wszystkich działań naprawczych należy zawnioskować do audytorów o tzw. ocenę uzupełniającą (follow-up assessment). Jej celem jest weryfikacja czy zidentyfikowane niezgodności zostały usunięte. Jeśli audytorzy potwierdzą ten fakt, etykiety tymczasowe zamieniają się w standardowe.
Co do zasady, etykiety TISAX® są ważne przez trzy lata. Okres ważności rozpoczyna się na końcu procesu oceny (nawet przed wydaniem sprawozdania z oceny TISAX®). Okres ich ważności może być krótszy w przypadku wystąpienia istotnych zmian wpływających na wykonaną ocenę zgodności z wymaganiami standardu TISAX®.
Więcej informacji dot. procesu certyfikacji TISAX® znajduje się w podręczniku opublikowanym na stronie internetowej stowarzyszenia ENX (European Network Exchange):
Autor: Tomasz Cieslik