TISAX – FAQ
1. Mi az a TISAX?
A TISAX ® (Trusted Information Security Assessment Exchange) egy speciálisan autóipari platform, amellyel az iparági szereplők megoszthatják megrendelőikkel, partnereikkel az információbiztonsági értékelési eredményeiket. Ez az értékelés a VDA-ISA katalógusán alapul (jelenleg az 5.1-es verzió), amely az ISO/IEC 27001-es szabványon alapuló általános információbiztonsági intézkedéseket tartalmaz, kiegészítve a prototípusok és a személyes adatok védelmével kapcsolatos intézkedési célokkal.
2. Honnan tudhatom, hogy vonatkozik-e a vállalatomra?
Ha nem biztos benne, hogy az Ön vállalkozásának szüksége van a TISAX bevezetésére, akkor érdeklődjön a megrendelőjénél! Jellemző, hogy a nagy autógyártók megkeresik beszállítóikat és partnereiket, ha a követelményekben változás következik be. Amennyiben az Ön OEM megrendelője még nem határozta meg követelményként a TISAX címke meglétét, akkor is érdemes a témával foglalkoznia. A proaktivitás az információbiztonság területén mindig megtérül.
3. Milyen előnyökkel jár a TISAX?
- Az autóipari ügyfelek elvárásainak teljesítése
- Az értékelési eredmények egységes elismerése az autóipari piacon / az autóipari ellátási láncban
- A saját vállalati értékek, adatok védelmének erősödése
- A munkavállalók tudatosságának növelése
- Megerősített védelem a prototípusgyártás és a személyes adatok védelmének területén
- A kapott értékelési címkék megosztása kiválasztott üzleti partnerekkel
4. Ki végezhet értékelést (TISAX assessment)
Az ENX Association egy nagyon szigorú eljárás alapján adja ki a jogosultságot a TISAX értékelésére. Az ENX Association egy autógyártókból, beszállítókból és négy nemzeti autóipari szövetségből álló szervezet. A szervezet célja a biztonságos és megbízható együttműködés lehetővé tétele és egyszerűsítése a teljes autóipari beszállítói láncban. Anyavállalatunk, a CIS GmbH. rendelkezik az ENX jóváhagyásával. Magyarországon a CIS Hungária már magyar nyelven is végez TISAX értékelést.
5. Mi a TISAX értékelés folyamata?
- Belső önértékelés elvégzése a VDA-ISA értékelési katalógus alapján
- Regisztráció az ENX platformon (https://www.enx.com/en-US/tisax/)
- Az értékelési szolgáltató (CIS) kiválasztása
- Kick off meeting
- TISAX®-értékelés (a 2. szint online, a 3. szint helyszínen történik)
- Közös megállapodás az értékelés eredményéről
- A szabványosított jelentés elkészítése
- Szükség esetén a javító intézkedések meghatározása, megvalósítása
- Szükség esetén a javító intézkedések végrehajtásának ellenőrzése
- Az értékelési címke kiadása
A TISAX®-értékelés menete – a választott értékelési szinttől függően – részben hasonló az auditáláséhoz. Ennek időtartama azonban a vállalat felkészültségétől függően változhat, viszont nem lehet több, mint 9 hónap.
6. Mi az az „értékelési szint”?
A TISAX® három értékelési szintet határoz meg. Azt, hogy az Önök vállalatának milyen szintet kell teljesítenie, mindig a megrendelő határozza meg.
1. szint (AL1) – önértékeléssel történik külső fél bevonása nélkül, jellemzően inkább csak belső célra használják.
2. szint (AL2) – a második szint elérése érdekében is önértékelést végez a vállalat. Az értékelés eredményét és a kapcsolódó dokumentumokat a tanúsító szervezet (CIS Hungária) auditora plauzibilitási vizsgálatnak veti alá. Ez jellemzően nem a helyszínen történik.
3. szint (AL3) – az önértékelés hitelességének igazolása érdekében a tanúsító a helyszínen mélyreható vizsgálatot végez.
7. Mi az összefüggés az ISO/IEC 27001 és a TISAX között?
A TISAX önértékelés alapját a VDA ISA kérdéskatalógusa adja. Ez jelentős mértékben egyezik az ISO/IEC 27001 követelményrendszerével, azonban sokkal pontosabban határozza meg az elfogadási kritériumokat. Ha az Önök vállalatának van egy bevezetett és tanúsított információbiztonsági irányítási rendszere, az biztosan jó alapot képez a TISAX értékeléshez. Azonban nem törvényszerű, hogy a tanúsított IBIR-rel rendelkező vállalkozás automatikusan megfelel TISAX követelményeinek.
Ugyanakkor a TISAX címke megszerzésének nem előfeltétele az ISO/IEC 27001-es rendszer megléte vagy annak tanúsítása.
