TISAX – proces uzyskania etykiety
Trusted Information Security Assessment Exchange (TISAX) jest administrowany przez stowarzyszenie ENX w imieniu Niemieckiego Stowarzyszenia Przemysłu Motoryzacyjnego (Verband der Automobilindustrie, VDA). VDA opracował ocenę bezpieczeństwa informacji (ISA) jako katalog kryteriów oceny bezpieczeństwa informacji. VDA ISA opiera się na normach ISO/IEC 27001 i ISO/IEC 27002 dostosowanych do potrzeb i realiów przemysłu motoryzacyjnego.
Aby pomóc usprawnić oceny bezpieczeństwa, VDA stworzyła standard TISAX, który jest stanowi zapewnienie wspólnego standardu oceny bezpieczeństwa informacji na potrzeby zarówno wewnętrzne organizacji, jak i oceny jej dostawców. Za administrację standardem TISAX odpowiada stowarzyszenie ENX – akredytuje ono audytorów oraz definiuje kryteria certyfikacji i wymagania oceny oraz monitoruje jakość wdrożeń i wyników oceny.
W branży automotive producenci oryginalnego wyposażenia (OEM) coraz częściej oczekują od swoich dostawców zgodności z TISAX jako środka bezpieczeństwa zapewniającego wystarczającą ochronę udostępnianych przez nich poufnych danych, zapewniając w ten sposób odpowiedni poziom bezpieczeństwa informacji w całym łańcuchu dostaw. Obecnie ponad 3000 organizacji w prawie 6000 lokalizacjach na całym świecie posiada etykiety TISAX – obejmuje to różnych dostawców współpracujących z producentami OEM – od producentów części samochodowych po dostawców usług technologicznych i nie tylko.
Poziomu oceny TISAX
Istnieją 3 poziomy oceny TISAX, w zależności o wymagań, które powinna spełnić organizacja:
AL 1: Samoocena dokonana przez audytowanego. Ocena istniejącego oświadczenia własnego audytowanego. Podstawowy poziom bezpieczeństwa. Organizacja jest zobowiązana jedynie do wypełnienia kwestionariusza samooceny. Ten poziom jest przeważnie nieistotny podczas prowadzenia działalności i często jest używany tylko wewnętrznie.
AL 2: Kontrola wiarygodności samooceny ograniczona do oceny dowodów i wywiadu z pracownikami. Wysoki poziom bezpieczeństwa. Zatwierdzony dostawca usług audytowych będzie monitorował samoocenę, przeprowadzając zdalną kontrolę wiarygodności. Oznacza to przegląd przedłożonej dokumentacji oraz dostarczonych dowodów.
AL 3: Pełna ocena obejmująca ocenę dowodów, kontrolę na miejscu i wywiady z pracownikami. Bardzo wysoki poziom bezpieczeństwa. Inspekcja, wywiady i ocena ISMS (systemu zarządzania bezpieczeństwem informacji) są przeprowadzane przez zatwierdzonego dostawcę audytu, który fizycznie odwiedza organizację. Jeżeli organizacja posiada więcej niż jedną lokalizację, audytor powinien odwiedzić każdą ze wskazanych w formularzu zgłoszeniowym ENX.
Certyfikacja, a raczej uzyskanie etykiety
Aby uzyskać etykietę zgodności z wymaganiami TISAX, organizacja musi spełnić wymagania określone w katalogu ocen VDA ISA, w zależności o zakresu podanego podczas rejestracji na stronie ENX. Sformułowano wymagania w ramach trzech modułów:
- bezpieczeństwo informacji;
- ochrona prototypów;
- ochrona danych osobowych.
Moduł 1 – bezpieczeństwo informacji to główny moduł, który będzie oceniany w każdym przypadku.
Moduł 2 – dodatkowy, jeśli klient wymaga ochrony prototypów. Zawsze łączy się z Modułem 1 na poziomie AL3.
Moduł 3 – dodatkowy, jeśli klient wymaga ochrony danych osobowych. Łączy się z Modułem 1 na poziomie AL2 lub AL3, jeśli przetwarzane są wrażliwe dane osobowe zgodnie z art. 9 RODO.
Audyt certyfikujący dla poziomów AL2 i AL3 rozpoczyna się podobnie – od kick-off meetingu ( w formie telekonferencji) i przekazania audytorom wypełnionej checklisty VDA w postaci self-assessmentu, którzy następnie będą weryfikować wiarygodność przekazanej samooceny. Następnie, przeprowadzany jest właściwy audyt. I tak dla poziomu AL2 całość zadań audytowych realizowana jest przy użyciu narzędzi komunikacji zdalnej (np. Google Meet, MS Teams), a w przypadku AL3 audyt prowadzony jest on-site w każdej z lokalizacji wskazanej w zgłoszeniu na stronie ENX. Ostatnim etapem audytu certyfikującego jest spotkanie zamykające, na którym audytorzy przekazują informację o wynikach audytu i jeśli pojawiły się niezgodności (o których poniżej), to należy ustalić termin, w którym wdrożone i udokumentowane zostaną rozwiązania korygujące i naprawcze (tzw. action plan).
Audytorzy podczas przeprowadzania audytu mogą wydać 5 typów ocen spełnienia przez organizację wymagań standardu TISAX:
- Duża niezgodność – brak spełnienia wymagania stwarza znaczące bezpośrednie zagrożenie dla bezpieczeństwa informacji i/lub dany proces zapewnienia bezpieczeństwa informacji nie działa.
- Mała niezgodność – niezgodność, która nie stwarza znaczącego bezpośredniego zagrożenia dla bezpieczeństwa informacji i/lub jest ona odstępstwem od prawidłowo działającego procesu zapewnienia bezpieczeństwa informacji.
- Obserwacja – odstępstwo od własnych wymagań, które nie stwarza bezpośredniego zagrożenia dla bezpieczeństwa informacji, ale może takim okazać się w przyszłości.
- Potencjał doskonalenia – odchylenie od normy, które nie należy do wyżej wymienionych typów i nie stwarza zagrożenia dla bezpieczeństwa informacji, ale jest możliwe do poprawy.
- Zgodność – wszystkie wymagania zostały spełnione.
Końcowym wynikiem audytu mogą być 3 rodzaje oceny:
- Zgodność
Ogólny wynik oceny to „zgodny”. Wszystkie wymagania są spełnione.
- Mała niezgodność
Ogólnym wynikiem oceny jest „mała niezgodność”, jeśli wskazano na co najmniej jedną „niewielką niezgodność” dla jednego z wymagań.
- Duża niezgodność
Ogólnym wynikiem oceny jest „duża niezgodność”, jeśli wskazano na co najmniej jedną „dużą niezgodność” dla jednego z wymagań.
I tak, jeśli wynikiem oceny jest:
- Mała niezgodność – możliwe jest otrzymanie tymczasowej etykiety TISAX do czasu realizacji action planu, tj. usunięcia zidentyfikowanych niezgodności.
- Duża niezgodność – należy najpierw rozwiązać zidentyfikowany problem, zanim możliwe będzie przyznanie etykiety tymczasowej. Dzięki odpowiednim środkom i działaniom korygującym zatwierdzonym przez audytora możliwa jest zmiana ogólnego wyniku oceny z „poważnej niezgodności” na „niewielką niezgodność” i tym samym otrzymanie tymczasowych etykiet TISAX.
Wdrażanie wymagań oraz leżące u ich podstaw procesy są oceniane zgodnie z modelem poziomu dojrzałości, gdzie 3 to docelowy poziom dojrzałości. Co istotne, ponadprzeciętny poziom dojrzałości w jednym obszarze nie rekompensuje wyniku poniżej średniej w innym obszarze.
Więcej szczegółów dot. procesu uzyskania etykiety zgodności z wymaganiami TISAX znaleźć można w podręczniku.
Autor: Tomasz Cieślik