Wdrożenie TISAX

Proces wdrożenia TISAX

1. Audyt Wstępny: Przeprowadzamy szczegółowy audyt wstępny, aby ocenić obecny stan bezpieczeństwa informacji w Twojej firmie i zidentyfikować obszary wymagające poprawy.

2. Planowanie i Strategia: Tworzymy plan wdrożenia, uwzględniający specyficzne potrzeby i cele Twojej organizacji.

3. Wdrożenie: Nasz zespół przeprowadza kompleksowe wdrożenie, obejmujące techniczne i organizacyjne środki bezpieczeństwa oraz aktualizację dokumentacji.

Korzyści z Wdrożenia TISAX

Zwiększenie Zaufania Klientów: Certyfikat TISAX świadczy o wysokim poziomie bezpieczeństwa informacji, co zwiększa zaufanie klientów i partnerów biznesowych.

Zgodność z Międzynarodowymi Standardami: Umożliwia współpracę z globalnymi liderami branży motoryzacyjnej, wymagającymi najwyższych standardów bezpieczeństwa.

Ochrona Danych: Zabezpiecza wrażliwe dane przed cyberzagrożeniami, minimalizując ryzyko naruszeń bezpieczeństwa.

Dla kogo jest wdrożenie TISAX?

Standard TISAX został zaprojektowany z myślą o dostawcach branży motoryzacyjnej — od producentów komponentów, przez biura konstrukcyjne i centra inżynieryjne, po firmy świadczące usługi IT, logistykę i obróbkę danych testowych. Stowarzyszenie ENX wymaga etykiety TISAX coraz częściej także od software house’ów dostarczających oprogramowanie dla pojazdów (V2X, telematyka, ADAS) oraz od podwykonawców przetwarzających dokumentację prototypów.

Najczęściej wdrożenie TISAX rozważają firmy, które otrzymały od OEM (Audi, BMW, Daimler, Porsche, Volkswagen) lub Tier 1 wymaganie posiadania ważnej etykiety w portalu ENX. Drugą grupę stanowią organizacje, które chcą poszerzyć portfolio klientów o producentów samochodów i planują wejście na ten rynek w perspektywie najbliższych 12 miesięcy.

Poziomy oceny TISAX — AL1, AL2, AL3

Ocena TISAX dzieli się na trzy poziomy bezpieczeństwa (Assessment Level), różniące się rygorystycznością i metodą weryfikacji. Wybór poziomu wynika z klasyfikacji informacji przetwarzanych w organizacji — od danych podstawowych po dane wysoce wrażliwe i prototypowe.

AL1 — samoocena. Najlżejszy wariant, oparty na deklaracji własnej. W praktyce rzadko wymagany przez OEM, ponieważ nie daje gwarancji wiarygodności wyniku. Często stosowany jako pierwszy krok przed właściwą oceną.

AL2 — audyt zdalny. Audytor z listy ENX prowadzi rozmowy z personelem, weryfikuje dokumentację oraz wybrane dowody techniczne. Najczęściej spotykany poziom dla dostawców przetwarzających informacje poufne (ale nie ściśle tajne ani dane prototypów).

AL3 — audyt on-site. Pełna kontrola w siedzibie, w tym oględziny fizyczne pomieszczeń, kontrola dostępu do laboratoriów, weryfikacja zabezpieczeń sieciowych i sprzętowych. Wymagany dla firm pracujących z prototypami, danymi pojazdów testowych i kompletną dokumentacją projektową.

Zakres wdrożenia TISAX w Virtline

Wdrożenie obejmuje katalog VDA ISA — zbiór wymagań bezpieczeństwa zgrupowanych w obszarach: zarządzanie bezpieczeństwem informacji, kontrola dostępu, kryptografia, bezpieczeństwo fizyczne, ochrona danych prototypów, ciągłość działania oraz ochrona danych osobowych. Każdy obszar ma kilkadziesiąt szczegółowych kontrol.

Nasi inżynierowie pracują równolegle na trzech ścieżkach. Pierwsza to opracowanie i aktualizacja dokumentacji ISMS — polityk, procedur, instrukcji operacyjnych oraz rejestru ryzyk. Druga to konfiguracja technicznych zabezpieczeń: segmentacji sieci, kontroli dostępu uprzywilejowanego, szyfrowania danych wrażliwych i monitorowania anomalii. Trzecia ścieżka to szkolenia personelu, w szczególności osób pracujących z informacjami prototypów i danymi klientów OEM.

Po zakończeniu wdrożenia organizacja jest gotowa do oceny przez audytora ENX. Wspieramy klienta w trakcie samej oceny — od przygotowania dowodów, przez obsługę pytań audytora, po działania remediacyjne, jeśli zostaną wykryte niezgodności wymagające korekty przed wystawieniem etykiety.

TISAX a ISO/IEC 27001 — różnice i synergia

TISAX bazuje na normie ISO/IEC 27001, ale wykracza poza nią w trzech obszarach kluczowych dla automotive: ochronie danych prototypów, bezpieczeństwie fizycznym pomieszczeń przetwarzających informacje wysokiej klauzuli oraz w specyficznych wymaganiach dotyczących łańcucha dostaw. Firmy posiadające certyfikat ISO 27001 mają solidny fundament — w praktyce wdrożenie TISAX zajmuje wówczas o 30–40% mniej czasu.

Wbrew pozorom posiadanie ISO 27001 nie zwalnia z oceny TISAX. Etykieta TISAX jest osobnym wymogiem branżowym i nie ma między nimi automatycznego mapowania. Audytor TISAX weryfikuje wymagania VDA ISA w pełnym zakresie, niezależnie od posiadanych certyfikatów innych standardów. Warto natomiast wykorzystać istniejący ISMS jako punkt startowy i ograniczyć duplikację dokumentacji.

Harmonogram wdrożenia TISAX

Pełne wdrożenie standardu TISAX zwykle trwa od trzech do dziewięciu miesięcy, w zależności od dojrzałości systemu zarządzania bezpieczeństwem informacji oraz wielkości i złożoności organizacji. Firmy posiadające już ISO 27001 mogą zamknąć projekt w trzech–czterech miesiącach, natomiast organizacje rozpoczynające od zera potrzebują standardowo sześciu–dziewięciu miesięcy.

Etapy harmonogramu układają się następująco. Miesiąc 1–2: audyt wstępny, analiza luk, plan wdrożenia. Miesiące 2–5: opracowanie dokumentacji, wdrożenie środków technicznych, szkolenia. Miesiące 5–7: audyt wewnętrzny, działania korygujące. Miesiąc 7–9: właściwa ocena TISAX przez akredytowanego audytora z listy ENX i wystawienie etykiety w portalu ENX Exchange. Etykieta jest ważna trzy lata; po tym okresie wymagana jest re-asesacja.