2. Információ = (számomra értelmes) tartalommal bíró adat
Információhordozó – ezen keresztül létezik az információ, és ezen
keresztül sérülhet a biztonsága is!
Információ biztonsága =
az információ bizalmassága
az információ sértetlensége
az információ rendelkezésre állása
Az információ biztonsága
2
3. Információbiztonsági követelmények egyre erősödnek az IATF-ben
is! (Főképp cél a termelés biztonsága, megbízhatósága.)
Autóipari beszállítói láncon belül (OEM-től kiindulva)
(Főképp hangsúly a bizalmasságon és a security-n!)
› saját információbiztonsági követelményrendszerek, csekklisták
(OEM-enként külön-külön)
› szigorú elvárásokkal az információbiztonság működésére,
› kiemelt szempont a saját (megrendelői és adatok) védelme,
bizalmassága
Ezt váltotta ki egységesen a TISAX®!
Információbiztonság az autóiparban
3
4. TISAX® – információbiztonsági
követelmények az autóiparban
4
TISAX® =
Trusted Information
Security Assessment
Exchange,
azaz
a „megbízható
információbiztonsági
értékelések megosztása”
5. • az ENX (European Network Exchange) Association terméke és
bejegyzett védjegye, és az ENX maga menedzseli;
• egy egységes információbiztonsági értékelési (auditálási) rendszer az
európai autóipar számára (2017 óta);
• cél az autóiparon belüli egységes elfogadottság;
• sikeres értékelés (audit) esetén az értékelés érvénye 3 év;
• csak dedikált, ENX által akkreditált tanúsító szervezetek auditálhatnak;
• az ISO/IEC 27001 szabványra épül;
Mi is az a TISAX®?
5
6. A TISAX® értékelés előnyei, haszna
Jelentős idő és költség megtakarítások az
értékelési információk közös elfogadása által
Nagyobb
bizalom
Nincs duplikált
beszállítói
biztonsági
audit
6
8. Kik a TISAX® folyamat szereplői?
8
ENX Egyesület – az egész
TISAX® folyamatot irányítja,
összefogja
Audit szolgáltatók – az ENX által
akkreditált tanúsító szervezetek, akik
szolgáltatásként a TISAX ®
értékeléseket (auditokat) elvégzik
Résztvevők
› Akik értékelve lesznek, és az
értékeléseik eredményeit megosztják
› Akik az értékelések eredményeit
igénylik
9. A TISAX® „résztvevők”
9
Aktív résztvevő – aki az értékelés tárgyát
képezi, és ő kapja meg az értékelése eredményét, ő
osztja meg az ENX felületen a TISAX ® értékelését
(a megrendelői fele);
Passzív résztvevő – aki az értékelés
eredményét lekéri és használja (a szállítóitól);
Minden résztvevőnek regisztrálnia kell az ENX-hez
Egy résztvevő a beszállítói láncban lehet egyszerre
aktív (a megrendelője fele) és passzív (a szállítója
fele) résztvevő is
10. Egy TISAX® projekt lefutása
10
1. Követelmény / Döntés
2. Audit előkészítés
3. ISMS implementálása
5. Nem-megfelelőségek javítása
(CAPA és Follow-up auditok, max 9 hónap)
7. TISAX® jel érvényességi ideje
(3 év)
4. (Initial) Audit
6. TISAX® jel megszerzése
8. Re-audit
11. Egy TISAX® projekt lefutása
11
1. Követelmény / Döntés
- Megrendelőtől igény, majd döntés a TISAX bevezetésre
2. Audit előkészítés
- TISAX céljának, érvényességi területének meghatározása
- Egyeztetés a megrendelő igényéről
- ENX Regisztráció
3. ISMS implementálása
- TISAX-nak megfelelő ISMS bevezetése
- VSA ISA önértékelés alkalmazása, mint fejlesztési módszer is
- Legtöbb (belső és tanácsadói) ráfordítás
4. Audit
- ENX regisztrált auditszolgáltató kiválasztása, szerződéskötés
- Kezdeti (initial) audit végrehajtása
- VDA ISA önértékelési csekklista alapján
12. Egy TISAX® projekt lefutása
12
5. Nem-megfelelőségek javítása
- Nem-megfelelésekre helyesbítő intézkedési terv auditja (CAPA)
- Végrehajtott javítások követő auditja (Follow-up)
- Ezeket mindig a vállalat rendeli meg, addig amíg van nem-
megfelelés, max. 9 hónap megengedett időintervallumban
6. TISAX jel megszerzése
- TISAX auditszolgáltató leadja az eredményes auditról a jelentést
- ENX kiadja a tanúsítványt (ez a TISAX-jel!)
- Vállalat az ENX honlapon közzéteheti / megoszthatja az eredményeit
7. TISAX érvényesség ideje – max. 3 év a kezdeti audit lezárásától
8. Re-audit
- TISAX eljárás megismétlése az újabb 3 éves érvényességért
- A vállalat kezdeményezi, érdemes 6 – 9 hónappal előre elkezdeni
13. A követelmények letölthetők publikusan az ENX honlapjáról
VDA ISA (Information Security Assessment) csekklista (Excel formátumban)
https://www.vda.de/en/services/Publications/information-security-assessment.html
Tartalmaz:
• Információbiztonsági követelményeket (ISO 27001 alapon, de testre
szabva, kiegészítve, szigorítva)
követelmények struktúrája az információbiztonsági szakma területei szerint
• 5-szintű érettségi modellt
ez az alapja az önértékelésnek is, és az értékelésnek is!
A TISAX® követelmények
13
14. A TISAX® szkóp (hatókör)
14
Három TISAX® értékelési szint lehetséges:
1. Értékelési szint (AL1 – Assessment Level 1)
csak a vállalat saját önértékelése, az auditor csak a témák meglétének teljességét
vizsgálja, tartalmát nem (egyszerűbb esetekben elégséges lehet, ENX TISAX címke
nincs)
2. Értékelés szint (AL2 – Assessment Level 2)
az értékelés során az önértékelés eredményeinek „hihetőségi vizsgálata” a benyújtott
dokumentációk és bizonylatok alapján (dokumentáció értékelés és távaudit, helyszíni
vizsgálat csak szükség esetén)
3. Értékelési szint (AL3 – Assessment Level 3)
teljes és részletes helyszíni értékelési folyamat, a bizonyítékok ellenőrzésével és
interjúkkal lefolytatva
15. Kezdeti gyors állapotfelmérés (a TISAX® követelményeinek figyelembe
vételével)
› Kiindulási állapot gyors felmérése, cél a rendszerépítési munka becslése
› VDA ISA kérdéslista alapján – de nem teljes önértékelés részletességű
› Kb. 2-3 munkanap (alapvetően egy scope-ra)
Autóipari információbiztonsági irányítási rendszer kiépítése, auditra
felkészítése (a TISAX® követelményeinek figyelembe vételével)
› Teljes IBIR tanácsadási projekt, cél a TISAX ® követelményeinek való megfelelés
› VDA ISA kérdéslista alapján teljes önértékelések és fejlesztések,
szükséges mértékben ISO 27001/2 tapasztalatok és módszerek,
› Integrálás a meglévő ISO rendszerekhez (IATF, ISO 9001, ISO 14001, …)
› Kb. (minimum) féléves átfutási projektidő
Az INFOBIZ Kft. szolgáltatásai
15