Usługi
Usługiarrow Bezpieczeństwo organizacyjne
Bezpieczeństwo organizacyjne

Zapewnij bezpieczeństwo organizacji. Zapewnij bezpieczeństwo informacji i ciągłość działania w perspektywie fizycznej, osobowej i teleinformatycznej. Zapewnij zgodność z wymaganiami prawnymi. Skorzystaj z audytu, usług wdrożenia, zarzadzania ryzykiem i testów oraz podnoszenia świadmości.

TISAX – Zaufanie branży automotive do poddostawców

TISAX (Trusted Information Security Assessment Exchange) standard przeznaczony jest dla producentów części i komponentów dla branży automotive oraz firm świadczących usługi związane z wytwarzaniem oprogramowania dla przemysłu motoryzacyjnego. Zapewnia możliwość oceny przez producenta swoich dostawców pod kątem bezpieczeństwa przetwarzanych informacji zgodnie z wytycznymi VDA ISA.

Postęp w obszarze rozwiązań technologicznych, aplikowanych w pojazdach samochodowych, wymusił na producentach samochodów stworzenie wytycznych dla głównych poddostawców części na tzw. pierwszy montaż w zakresie zarządzania bezpieczeństwem informacji. Szereg istotnych wymagań dotyczących bezpieczeństwa informacji zostało przekazane w formie zapisów umownych, gdzie dostawca zobowiązuje się do ich spełnienia oraz raportowania wszelakich odstępstw. Wymagania wzrastają wobec tych firm, które dodatkowo uczestniczą w procesie projektowania nowych rozwiązań dla branży motoryzacyjnej, w tym oprogramowania.

Dostawcy, którzy swój biznes opierają o produkcję podzespołów, części dla więcej niż jednego producenta samochodów muszą spełniać restrykcyjne wymagania w zakresie zabezpieczenia komunikacji w procesie ofertowania, projektowania, wykonywania brył części nowych konstrukcji, czy też nowego oprogramowania sterującego pracą podzespołów, multimediów.

Wykazywanie przed różnymi producentami zgodności z VDA-ISA lub ISO/IEC27001 stało się nieekonomiczne. Każdy z producentów może wysyłać swoje zespoły audytorskie, które mają za zadanie oceniać bezpieczeństwo informacji związane z realizowanymi projektami.

Ten problem niweluje TISAX, który jest międzynarodowym standardem dedykowanym dla przemysłu motoryzacyjnego, odnoszącym się do oceny stopnia spełnienia wytycznych VDA ISA w zakresie bezpiecznego przetwarzania informacji przez branże automotiv.

TISAX
Systemy zarządzania bezpieczeństwem informacji

W obszarze zarządzania bezpieczeństwem informacji, nie tylko na rynku polskim, ale również i międzynarodowym mocną pozycję osiągnął standard ISO/IEC 27001 (Technika informatyczna, Techniki Bezpieczeństwa, Systemy Zarządzania bezpieczeństwem informacji Wymagania). Czy posiadanie certyfikowanego systemu zarządzania bezpieczeństwem informacji wystarczy aby pokryć wymagania producentów samochodów ? Skąd potrzeba dodatkowego standardu dla branży motoryzacyjnej ?

TISAX vs ISO/IEC27001

Wiele podmiotów z branży automotive eksploatuje system zarządzania bezpieczeństwem informacji zgodnie z wymaganiami ISO/IEC27001. Posiadają akredytowany certyfikat wydany przez jednostkę certyfikującą.

Czy to wystarczy aby zaistnieć na Portalu z potwierdzeniem zgodności z TISAX ? Odpowiedź brzmi nie. Ma na to wpływ grupa zabezpieczeń dedykowanych projektom w branży automotive oraz sam sposób oceny zgodności.

TISAX

TISAX bazuje na wymaganiach opisanych w załączniku A normy ISO/IEC27001 i dobrych praktykach prezentowanych w ISO/IEC27002, rozszerzając je o dodatkowe, istotne kwestie dla branży automotive. Lista wymagań pozwalająca wykonać samoocenę stosowanych zabezpieczeń organizacyjnych oraz technicznych została przygotowana przez stowarzyszenie przemysłu motoryzacyjnego VDA (VDA ISA, Information Security Assessment) ijest publikowana nieodpłatnie dla zainteresowanych stron.

Audyt TISAX

W ISO/IEC27001 audytorzy oceniają zero-jedynkową zgodność z wymaganiami standardu ISO. W TISAX pojawia się ocena dojrzałości zabezpieczeń (ang. maturitylevels). Wprowadzenie 6 stopniowej skali oceny ma zapewnić należytą ochronę informacji w zależności od klasyfikacji ochrony. Audytorzy w trakcie przeglądu zgodności z VDA-ISA wykonują, oprócz pozyskiwania dowodów, analizę dokumentów oraz pomiar dojrzałości danego zabezpieczenia.

Audyt TISAX koncentruje się na ochronie informacji klienta. Audyt ISO przeprowadzany jest co roku, a ocena TISAX raz na 3 lata.

Cele ochrony

Przed podjęciem decyzji o przystąpieniu do platformy i ocenie na zgodność z TISAX organizacja powinna rozważyć swój cel kontroli. Ważne aby spoglądać perspektywicznie, z wyprzedzeniem określić zakres informacji jakie będą wymieniane z producentami. Obecnie dostępnych jest 7 celów oceny:

  1. Informacje o wysokim poziomie ochrony.
  2. Informacje o bardzo wysokim poziomie ochrony.
  3. Połączenie z osobami trzecimi o wysokim poziomie ochrony.
  4. Połączenie z osobami trzecimi o bardzo wysokim poziomie ochrony.
  5. Obsługa prototypów o wysokim poziomie ochrony.
  6. Obsługa prototypów o bardzo wysokim poziomie ochrony
  7. Ochrona danych zgodnie z niemieckim 11 BDSG („Auftragsdatenverarbeitung”)
  8. Ochrona danych za pomocą specjalnych kategorii danych osobowych zgodnie z GDPR.

Należy wybrać minimum jeden cel ochrony aby przeprowadzić ocenę zgodności z TISAX (VDA-ISA).

Klasyfikacjainformacji VDA ISA

VDA ISA opracowało przyjazną do wdrożenia klasyfikację informacji. Dla torganizacji, które stosują system zarządzania bezpieczeństwem informacji, może się to wiązać ze zmianą nazewnictwa lub zmapowaniu kategorii wskazanych w VDA –ISA z własnymi rozwiązaniami.

Czteropoziomowy podział grup informacji nie jest nadmiarowy i może wzmocnić skuteczność ochrony informacji w tych miejscach, gdzie wcześniej nie przyjęto takich rozwiązań.

Korzyści
  • Wdrożenie uznanego na całym świecie standardu zarządzania bezpieczeństwem powoduje wzrost zaufania klientów.
  • Zmniejszenie liczby audytów ze strony producentów zarejestrowanych na platformie TISAX, zmniejszenie kosztów.
  • Opracowanie skutecznych i adekwatnych metod ochrony własności klienta.
  • Przygotowanie na cyberataki, w tym związane z utratą dostępności systemów informacyjnych.
  • Przeniesienie wymagań producentów na własnych dostawców celem zachowania bezpieczeństwa informacji w całym łańcuchu dostaw.
  • Udokumentowana ocena zabezpieczeń technicznych i organizacyjnych może stanowić atut w procesie pozyskiwania nowych rynków i kontraktów.
Potrzebujesz wsparcia, bądź informacji?
Skontaktuj się z nami arrow
Proces wdrożenia usługi
1
Zgłoszenie TISAX do Blue Energy - Producent kontaktuje się zdostawcą żądając odpowiedniej oceny TISAX lub etykiety TISAX. Żąda pozytywnych wyników w zależności od rodzaju przetwarzanych informacji.
2
Przygotowanie - Organizacja konsultuje zakres z Blue Energy i rejestruje się w sieci TISAX jako uczestnik oraz zamawia ocenę z jej wstępnie określonym zakresem i celem.
3
Audyt zero - Blue Energy przeprowadza audyt zerowy bazując na formularzu SelfAssessment opracowanym przez VDA-ISA. Raportuje status stosowanych zabezpieczeń i wszystkie braki.
4
Plan projektu - Na bazie wyników audytu zerowego, Blue Energy dostarcza plan projektu z listą zadań do zrealizowania. Klient w sposób świadomy zamawia i rozlicza z pracy konsultantów wdrażających TISAX.
5
Ustalenie daty oceny wyników - Klient zgłasza do uprawnionej jednostki gotowość do oceny wyceny. Negocjuje i podpisuje umowę z jednostką. Jednostka organizuje spotkanie Kick-Off. Klient dostarcza dokumentację (włącznie z samooceną VDA ISA). Blue Energy wspiera powyższy proces.
6
Ocena TISAX - Jednostka certyfikująca posiadająca akredytację w zakresie TISAX przeprowadza audyt. W zależności od poziomu TISAX, on-site lub ocenia dostarczone dowody na bazie formularza VDA-ISA. Blue Energy wspiera proces prezentacji dowodów, przygotowania formularza dla jednostki.
7
Działania po audycie(follow-up) - Na bazie przekazanego raportu z oceny TISAX, Blue Energy wspiera klienta w realizacji zaleceń ze strony audytorów. Wsparcie kończy się z chwilą pozytywnej oceny i rekomendacji do rejestracji na portalu.
Masz pytania dotyczące tej usługi?
Napisz do nas arrow

Powiązane artykuły na blogu

03 maj
#Bezpieczeństwo
#IT
#Testy
Należyta staranność – KSC

Krajowy System Cyberbezpieczeństwa to wymagania dla operatorów usług kluczowych oraz usług cyfrowych. Czym są te wymagania opisane w dość oszczędny sposób w Ustawie? Co mówi sama ustawa o tym jak zapewnić bezpieczeństwo i ciągłość realizacji usług kluczowych?

Czytaj dalej arrow
05 maj
#Bezpieczeństwo
#IT
#Testy
Jak wnioski o realizację praw podmiotów danych „znikają w organizacji”?

Częstym problemem organizacji jest zapewnienie efektywnego i gwarantującego właściwą rozliczalność kanału komunikacji wewnętrznej, np. związanej z realizacją praw podmiotów danych, czy zgłaszaniem i obsługą naruszeń ochrony danych osobowych

Czytaj dalej arrow
04 maj
#Bezpieczeństwo
#IT
#Testy
Realizacja praw podmiotu danych – ile to trwa ?

Ile faktycznie zajmuje identyfikacja i realizacja praw podmiotu danych? Czy nasz rejestr czynności wspiera realizację praw? Czy potrafimy automatyzować procesy realizacji praw podmiotu danych?

Czytaj dalej arrow
Zobacz więcej artykułów arrow
Materiały dodatkowe
Plik