🚨 NIS2 już obowiązuje. Edukacja w zakresie bezpieczeństwa jest teraz wymagana przez prawo w UE.

Sprawdź zgodność
Rozpocznij bezpłatny okres próbny
Powrót do Centrum zasobów

Certyfikacja TISAX: co to jest, jakie są wymagania i czym różni się od normy ISO 27001

Jeśli dostarczasz produkty do branży motoryzacyjnej, prędzej czy później klient zapyta cię o TISAX. Producenci tacy jak Volkswagen, BMW i Mercedes-Benz udostępniają poufne informacje – od danych dotyczących prototypów po dane klientów – wyłącznie dostawcom i usługodawcom, którzy udowodnili, że zapewniają bezpieczeństwo informacji. TISAX, skrót od Trusted Information Security Assessment Exchange, to standard, którego używają do potwierdzenia tego.

W tym artykule omówimy, co właściwie oznacza certyfikat TISAX, jakie wymagania są sprawdzane w ramach 10 obszarów tematycznych, dlaczego zakres tej normy wykracza daleko poza bezpośrednich dostawców oraz jak TISAX wypada w porównaniu z normą ISO 27001.

Czym jest certyfikacja TISAX?

Ściśle rzecz biorąc, TISAX nie jest certyfikatem. Nie otrzymujesz certyfikatu, tylko etykietę TISAX, ważną przez trzy lata, którą udostępniasz klientom za pośrednictwem portalu Stowarzyszenia ENX – organizacji zarządzającej programem TISAX w imieniu niemieckiego stowarzyszenia motoryzacyjnego VDA. Etykieta ta potwierdza, że akredytowana firma audytowa sprawdziła, czy twoje zabezpieczenia informacji spełniają wymagania katalogu VDA ISA na poziomie oceny, którego oczekuje twój klient.

Ten poziom oceny zależy od tego, jak wrażliwe są informacje, z którymi pracujesz. Na poziomie AL1 audytor sprawdza jedynie, czy istnieje wypełniona samoocena, dlatego prawie żaden producent tego nie akceptuje. Poziom AL2 obejmuje dodatkowo sprawdzenie wiarygodności twojej samooceny poprzez wyrywkowe badanie dowodów, zazwyczaj zdalne. Poziom AL3, wymagany w przypadku prototypów i innych ściśle poufnych informacji, oznacza pełny audyt na miejscu, obejmujący rozmowy i obserwacje.

Przed rozpoczęciem oceny, zanim zatrudnisz firmę audytorską, musisz przeprowadzić samoocenę w oparciu o katalog VDA ISA. To też dobry moment, żeby wdrożyć szkolenie z zakresu świadomości bezpieczeństwa, na przykład za pomocą narzędzia Guardey. Katalog wymaga, żeby pracownicy mieli udokumentowane przeszkolenie, a ponieważ audytor ocenia poziom dojrzałości, a nie tylko chwilowy stan rzeczy, program szkoleniowy trwający od miesięcy jest o wiele bardziej wartościowy niż ten, który ruszył w zeszłym tygodniu.

Chcesz zdobyć certyfikat TISAX?

Szkolenie Guardey z zakresu świadomości bezpieczeństwa oparte na mechanizmach gier zapewnia dokumentację szkoleń, której wymagają audytorzy, już od pierwszego dnia. (Konfiguracja zajmuje kilka minut, nie trzeba podawać danych płatniczych.)

Wypróbuj Guardey za darmo przez 14 dni

Wymagania TISAX: katalog VDA ISA w 10 tematach

Wymagania TISAX pochodzą z katalogu VDA ISA (wersja 6) – kwestionariusza zawierającego ponad 300 pytań podzielonych na trzy moduły: bezpieczeństwo informacji, ochrona prototypów i ochrona danych. W przypadku każdego elementu kontroli audytor ocenia wasz poziom dojrzałości w skali od 0 do 5, a celem jest poziom dojrzałości 3: proces nie tylko istnieje, ale jest udokumentowany i w sposób widoczny wdrażany. Oto, co obejmuje ocena, podsumowana w 10 tematach:

  1. Polityka i organizacja. Polityka bezpieczeństwa informacji, przydzielone obowiązki i zarządzanie ryzykiem to podstawa twojego systemu zarządzania bezpieczeństwem informacji (ISMS).
  2. Ludzie i świadomość. Sprawdzani pracownicy, umowy o poufności oraz udokumentowane szkolenia z zakresu bezpieczeństwa dla wszystkich, wraz z rejestrami pokazującymi, kto i kiedy przeszedł szkolenie.
  3. Bezpieczeństwo fizyczne. Podział na strefy, kontrola dostępu do budynków i bezpieczna obsługa gości.
  4. Zarządzanie tożsamością i dostępem. Zasada minimalnych uprawnień, silne uwierzytelnianie i terminowe cofanie uprawnień.
  5. IT i cyberbezpieczeństwo. Zabezpieczanie systemów, ochrona przed złośliwym oprogramowaniem, zarządzanie aktualizacjami, bezpieczeństwo sieci i rejestrowanie zdarzeń.
  6. Zarządzanie incydentami i ciągłość działania. Rozpoznawanie, zgłaszanie i reagowanie na incydenty, a także tworzenie kopii zapasowych i zapewnienie dostępności.
  7. Relacje z dostawcami. Przekazywanie wymagań dotyczących bezpieczeństwa własnym podwykonawcom i usługodawcom.
  8. Zgodność z przepisami. Spełnianie wymogów prawnych i umownych oraz samodzielne sprawdzanie tego od czasu do czasu.
  9. Ochrona prototypów. Osobny moduł dla wszystkich, którzy zajmują się prototypami, pojazdami testowymi lub kamuflażem.
  10. Ochrona danych. Osobny moduł dotyczący RODO dla wszystkich, którzy przetwarzają dane osobowe w imieniu producenta.

W temacie 7 wyjaśniono, dlaczego TISAX wciąż rozprzestrzenia się w łańcuchu dostaw. Producenci wymagają certyfikatu od swoich bezpośrednich dostawców, którzy z kolei muszą narzucić te wymagania swoim podwykonawcom. A zakres jest szerszy niż tylko części: firmy inżynieryjne, dostawcy usług logistycznych, firmy IT, a nawet agencje marketingowe wchodzą w ten zakres, gdy tylko mają do czynienia z informacjami chronionymi od klienta z branży motoryzacyjnej. Certyfikat jest udostępniany za pośrednictwem platformy ENX, więc oceniany jesteś tylko raz, a nie osobno przez każdego klienta.

ISO 27001 a TISAX: różnice

TISAX opiera się na normach ISO 27001 i ISO 27002, więc te standardy w dużym stopniu się pokrywają. Każdy, kto wdrożył system zarządzania bezpieczeństwem informacji (ISMS) zgodnie z normą ISO 27001, wykonał już większość pracy przygotowawczej do TISAX. Mimo to istnieją cztery różnice, które mają znaczenie w praktyce:

  • Zakres. Norma ISO 27001 ma charakter ogólny i dotyczy każdej branży. TISAX jest przeznaczona specjalnie dla branży motoryzacyjnej i wprowadza dodatkowe wymagania, których nie obejmuje norma ISO, takie jak ochrona prototypów.
  • Wynik. Certyfikat ISO 27001 to publiczny certyfikat. TISAX to oznaczenie widoczne tylko dla partnerów, którym udostępnisz je za pośrednictwem portalu ENX.
  • Metoda oceny. Audytor ISO sprawdza, czy twój system zarządzania działa. Audytor TISAX ocenia stopień dojrzałości dla każdego elementu kontroli, dzięki czemu wynik jest bardziej szczegółowy i trudniej go obejść.
  • Uznanie. Norma ISO 27001 otwiera drzwi w każdej branży, ale w branży motoryzacyjnej to zazwyczaj za mało. Producenci wyraźnie wymagają certyfikatu TISAX, a certyfikat ISO go nie zastępuje.

Dobra wiadomość: jeśli chodzi o czynnik ludzki, te dwa systemy całkowicie się pokrywają. Norma ISO 27001 wymaga podnoszenia świadomości zgodnie z punktem 7.3 i środkiem kontroli 6.3, a TISAX – poprzez swoje środki kontroli dotyczące personelu i świadomości. Dobrze udokumentowany program podnoszenia świadomości w zakresie bezpieczeństwa dostarcza więc dowodów potrzebnych do obu ocen jednocześnie.

Często zadawane pytania

Jak długo jest ważny certyfikat TISAX?

Trzy lata. Potem czeka cię pełna ponowna ocena. W przeciwieństwie do normy ISO 27001 nie ma w międzyczasie corocznych audytów nadzorczych, ale oczekuje się, że utrzymasz oceniony poziom, a następny audyt pokaże, czy ci się to udało.

Czy TISAX jest obowiązkowy?

Nie wynika to z prawa. To wymóg umowny: producenci i duzi dostawcy pierwszego rzędu wymagają tego oznaczenia, zanim udostępnią poufne informacje. W praktyce sprawia to, że wymóg ten jest równie wiążący, bo bez tego oznaczenia zamówienia trafiają gdzie indziej.

Czy posiadanie certyfikatu ISO 27001 automatycznie oznacza, że spełniam wymagania TISAX?

Nie. Zakresy tych norm w dużej mierze się pokrywają, ale TISAX wprowadza dodatkowe wymagania specyficzne dla branży motoryzacyjnej i stosuje własną skalę oceny dojrzałości. Certyfikat ISO 27001 znacznie przyspiesza przygotowania, ale i tak będziesz musiał przejść samą ocenę TISAX.

Niezależnie od tego, czy TISAX jest w twoim planie na ten rok, czy też klient po prostu wspomniał o tym podczas rozmowy, pierwszy krok jest taki sam: przeprowadź samoocenę i sprawdź, na jakim etapie jesteś. Kwestia zasobów ludzkich i świadomości to jeden z niewielu obszarów, nad którym możesz zacząć pracować jeszcze tego samego dnia, a ponadto ma to znaczenie również w kontekście innych ram zgodności.

Przygotowujesz się do audytu TISAX?

Podczas 45-minutowej prezentacji pokażemy ci, jak Guardey łączy szkolenia z zakresu świadomości cyberbezpieczeństwa z symulacjami ataków phishingowych oraz w jaki sposób raporty dostarczają twojemu audytorowi dokładnie te dowody, o które prosi.

Umów się na indywidualną prezentację
Dinela Lokvancic
Dinela Lokvancic Specjalista ds. marketingu Dinela dba o aktualność informacji dotyczących firmy Guardey w Internecie. Tworzy treści, które sprawiają, że złożone tematy związane z cyberbezpieczeństwem stają się przystępne, oraz pomaga organizacjom zrozumieć, dlaczego szkolenia z zakresu świadomości bezpieczeństwa są ważne dla waszych zespołów.
Gotowy, żeby zacząć?

Dołącz do ponad 500 firm, które już chronią swoje zespoły dzięki Guardey

Rozpocznij bezpłatny 14-dniowy okres próbny
14 dni za darmo · Bez karty kredytowej · Pełny dostęp · Konfiguracja w 5 minut
Albo umów się na spersonalizowaną prezentację