Czy kontrahenci mogą wymagać wdrożenia standardu TISAX?

Wielu dostawców produktów i usług w branży motoryzacyjnej przetwarza bardzo wrażliwe dane o swoich klientach. Dlatego też w branży tej regularnie testuje się zgodność z surowymi wymogami bezpieczeństwa informacji.

W większości przypadków testy te są przeprowadzane przy pomocy katalogów kryteriów oceny bezpieczeństwa informacji (ISA) opracowanych przez Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego (VDA), do których należą motoryzacyjni giganci tacy jak BMW, Mercedes-Benz i Volkswagen Group. Jako że do tej pory poszczególni producenci przeprowadzali niezależne oceny bezpieczeństwa dla swoich dostawców, wielu dostawców musiało kilkakrotnie poddawać się tej samej ocenie.

Czym jest  TISAX?

TISAX (Trusted Information Security Assessment Exchange) to nowy mechanizm oceny i wymiany.  Wyłonił się spod ręki VDA na początku 2017 roku, mając na celu ujednolicenie testów i wprowadzenie uniwersalnej metody ewaluacji.

Platforma internetowa TISAX została zaprojektowana w celu wspierania wzajemnego uznawania ocen bezpieczeństwa informacji w przemyśle motoryzacyjnym. Udostępniając swoje wyniki ISA online na stronie TISAX, firmy umożliwiają producentom samodzielne sprawdzenie, czy dostawca pomyślnie przeszedł ocenę. Ponadto, TISAX może być używany do angażowania dostawców usług audytorskich, zaś wyniki takich ocen są ważne przez trzy lata. W niektórych przypadkach TISAX dla dostawców jest już nie tylko możliwością, co obowiązkiem wymaganym przez większych partnerów biznesowych.

Korzyści płynące z TISAX

Po rejestracji, firmy i podmioty świadczące usługi audytorskie mogą uzyskać dostęp do platformy internetowej TISAX i wymieniać się informacjami.

TISAX to mnóstwo korzyści takich jak:

• bycie rozpoznawanym przez producentów samochodów;
• zapobieganie naruszeniom bezpieczeństwa informacji i atakom cybernetycznym;
• zdobycie zaufania klientów;
• identyfikacja i przeciwdziałanie ryzyku;
• zdobycie uznania dla procesów należytej staranności w zakresie bezpieczeństwa informacji;
• możliwość zaangażowania akredytowanych usługodawców do przeprowadzenia oceny;
• dzielenie się wynikami ewaluacji z innymi;
• prawo wglądu do wyników innych.

Istnieją trzy poziomy oceny:

Poziom 1: Standardowi usługodawcy muszą jedynie wypełnić kwestionariusz ISA i zamieścić samoocenę na stronie TISAX.

Poziom 2: W przypadku bardziej złożonych dostawców, po samoocenie następuje telefoniczna, losowa kontrola wiarygodności przeprowadzana przez zatwierdzonego dostawcę usług audytowych.

Poziom 3: Dostawcy przetwarzający wysoce wrażliwe dane zewnętrzne poddawani są kontroli na miejscu przez zatwierdzonego dostawcę usług audytowych w oparciu o ich subiektywną ocenę.

Ocena TISAX krok po kroku

Ewaluacja TISAX składa się z etapów takich jak:

KROK 1: KLASYFIKACJA

W kroku 1 dostawcy są klasyfikowani przez  klienta w oparciu o wrażliwość danych.

KROK 2: REJESTRACJA

W kolejnym kroku są oni rejestrowani w systemie ENX wraz z numerem zakresu.

KROK 3: OCENA

Przeprowadzana jest ocena zgodnie z wymaganym poziomem.

KROK 4: SPRAWOZDANIE

Oceniane przedsiębiorstwo otrzymuje raport od audytorów..

KROK 5: ELIMINACJA SŁABYCH PUNKTÓW

Firma poddawana ocenie eliminuje zidentyfikowane strefy ryzyka..

KROK 6: PRZESYŁANIE RAPORTU

Gotowy raport jest przesyłany na platformę wymiany. Wymiana tych zestawień jest możliwa tylko pomiędzy zarejestrowanymi uczestnikami i tylko wtedy, kiedy oceniane przedsiębiorstwo wyraźnie zaznaczy, że chce podzielić się wynikami z przedsiębiorstwem składającym wniosek.

Dlaczego TISAX jest taki ważny?

Platforma online firmy TISAX pozwala Państwa firmie ograniczyć niepotrzebne wysiłki i koszty. Możliwość oceny i wymiany informacji z klientami daje pewność, że spełniają oni wymogi bezpieczeństwa informacji. Ułatwia to znacznie wymianę informacji i kontrolę nad ich bezpieczeństwem oraz stwarza możliwości nawiązania nowych relacji biznesowych.