Az autóipar új, egységes nemzetközi információbiztonsági követelményrendszerének, a TISAX-nak a bemutatása.

1. A TISAX® információbiztonsági
követelményrendszer
Dr. Horváth Zsolt
INFOBIZ Kft.

2. Információ = (számomra értelmes) tartalommal bíró adat
Információhordozó – ezen keresztül létezik az információ, és ezen
keresztül sérülhet a biztonsága is!
Információ biztonsága =
az információ bizalmassága
az információ sértetlensége
az információ rendelkezésre állása
Az információ biztonsága
2

3.  Információbiztonsági követelmények egyre erősödnek az IATF-ben
is! (Főképp cél a termelés biztonsága, megbízhatósága.)
 Autóipari beszállítói láncon belül (OEM-től kiindulva)
(Főképp hangsúly a bizalmasságon és a security-n!)
› saját információbiztonsági követelményrendszerek, csekklisták
(OEM-enként külön-külön)
› szigorú elvárásokkal az információbiztonság működésére,
› kiemelt szempont a saját (megrendelői és adatok) védelme,
bizalmassága
 Ezt váltotta ki egységesen a TISAX®!
Információbiztonság az autóiparban
3

4. TISAX® – információbiztonsági
követelmények az autóiparban
4
TISAX® =
Trusted Information
Security Assessment
Exchange,
azaz
a „megbízható
információbiztonsági
értékelések megosztása”

5. • az ENX (European Network Exchange) Association terméke és
bejegyzett védjegye, és az ENX maga menedzseli;
• egy egységes információbiztonsági értékelési (auditálási) rendszer az
európai autóipar számára (2017 óta);
• cél az autóiparon belüli egységes elfogadottság;
• sikeres értékelés (audit) esetén az értékelés érvénye 3 év;
• csak dedikált, ENX által akkreditált tanúsító szervezetek auditálhatnak;
• az ISO/IEC 27001 szabványra épül;
Mi is az a TISAX®?
5

6. A TISAX® értékelés előnyei, haszna
Jelentős idő és költség megtakarítások az
értékelési információk közös elfogadása által
Nagyobb
bizalom
Nincs duplikált
beszállítói
biztonsági
audit
6

7. Az autóipari gyártó / megrendelő adatainak biztonsága – kiemelten a
bizalmassága
 Mik ezek az adatok?  szerződéses-rendeléses adatok, műszaki
specifikációk, tervrajzok, azokhoz kapcsolódó mérési eredmények,
termelési – technológiai adatok, prototípus adatok ill. alkatrészek,
személyes adatok, …
 HOL?  Mindenütt ahol ezek az adatok előfordul(hat)nak! (pl. gazdasági,
menedzsment területeken, irodákban, tárgyalókban, értékesítésnél,
fejlesztésnél, tervezőknél, termelésben, logisztikánál, IT-nál, stb.)
Mi a TISAX© szisztéma célja?
7

8. Kik a TISAX® folyamat szereplői?
8
 ENX Egyesület – az egész
TISAX® folyamatot irányítja,
összefogja
 Audit szolgáltatók – az ENX által
akkreditált tanúsító szervezetek, akik
szolgáltatásként a TISAX ®
értékeléseket (auditokat) elvégzik
 Résztvevők
› Akik értékelve lesznek, és az
értékeléseik eredményeit megosztják
› Akik az értékelések eredményeit
igénylik

9. A TISAX® „résztvevők”
9
 Aktív résztvevő – aki az értékelés tárgyát
képezi, és ő kapja meg az értékelése eredményét, ő
osztja meg az ENX felületen a TISAX ® értékelését
(a megrendelői fele);
 Passzív résztvevő – aki az értékelés
eredményét lekéri és használja (a szállítóitól);
 Minden résztvevőnek regisztrálnia kell az ENX-hez
 Egy résztvevő a beszállítói láncban lehet egyszerre
aktív (a megrendelője fele) és passzív (a szállítója
fele) résztvevő is

10. Egy TISAX® projekt lefutása
10
1. Követelmény / Döntés
2. Audit előkészítés
3. ISMS implementálása
5. Nem-megfelelőségek javítása
(CAPA és Follow-up auditok, max 9 hónap)
7. TISAX® jel érvényességi ideje
(3 év)
4. (Initial) Audit
6. TISAX® jel megszerzése
8. Re-audit

11. Egy TISAX® projekt lefutása
11
1. Követelmény / Döntés
- Megrendelőtől igény, majd döntés a TISAX bevezetésre
2. Audit előkészítés
- TISAX céljának, érvényességi területének meghatározása
- Egyeztetés a megrendelő igényéről
- ENX Regisztráció
3. ISMS implementálása
- TISAX-nak megfelelő ISMS bevezetése
- VSA ISA önértékelés alkalmazása, mint fejlesztési módszer is
- Legtöbb (belső és tanácsadói) ráfordítás
4. Audit
- ENX regisztrált auditszolgáltató kiválasztása, szerződéskötés
- Kezdeti (initial) audit végrehajtása
- VDA ISA önértékelési csekklista alapján

12. Egy TISAX® projekt lefutása
12
5. Nem-megfelelőségek javítása
- Nem-megfelelésekre helyesbítő intézkedési terv auditja (CAPA)
- Végrehajtott javítások követő auditja (Follow-up)
- Ezeket mindig a vállalat rendeli meg, addig amíg van nem-
megfelelés, max. 9 hónap megengedett időintervallumban
6. TISAX jel megszerzése
- TISAX auditszolgáltató leadja az eredményes auditról a jelentést
- ENX kiadja a tanúsítványt (ez a TISAX-jel!)
- Vállalat az ENX honlapon közzéteheti / megoszthatja az eredményeit
7. TISAX érvényesség ideje – max. 3 év a kezdeti audit lezárásától
8. Re-audit
- TISAX eljárás megismétlése az újabb 3 éves érvényességért
- A vállalat kezdeményezi, érdemes 6 – 9 hónappal előre elkezdeni

13.  A követelmények letölthetők publikusan az ENX honlapjáról
 VDA ISA (Information Security Assessment) csekklista (Excel formátumban)
https://www.vda.de/en/services/Publications/information-security-assessment.html
 Tartalmaz:
• Információbiztonsági követelményeket (ISO 27001 alapon, de testre
szabva, kiegészítve, szigorítva)
követelmények struktúrája az információbiztonsági szakma területei szerint
• 5-szintű érettségi modellt
 ez az alapja az önértékelésnek is, és az értékelésnek is!
A TISAX® követelmények
13

14. A TISAX® szkóp (hatókör)
14
Három TISAX® értékelési szint lehetséges:
1. Értékelési szint (AL1 – Assessment Level 1)
csak a vállalat saját önértékelése, az auditor csak a témák meglétének teljességét
vizsgálja, tartalmát nem (egyszerűbb esetekben elégséges lehet, ENX TISAX címke
nincs)
2. Értékelés szint (AL2 – Assessment Level 2)
az értékelés során az önértékelés eredményeinek „hihetőségi vizsgálata” a benyújtott
dokumentációk és bizonylatok alapján (dokumentáció értékelés és távaudit, helyszíni
vizsgálat csak szükség esetén)
3. Értékelési szint (AL3 – Assessment Level 3)
teljes és részletes helyszíni értékelési folyamat, a bizonyítékok ellenőrzésével és
interjúkkal lefolytatva

15.  Kezdeti gyors állapotfelmérés (a TISAX® követelményeinek figyelembe
vételével)
› Kiindulási állapot gyors felmérése, cél a rendszerépítési munka becslése
› VDA ISA kérdéslista alapján – de nem teljes önértékelés részletességű
› Kb. 2-3 munkanap (alapvetően egy scope-ra)
 Autóipari információbiztonsági irányítási rendszer kiépítése, auditra
felkészítése (a TISAX® követelményeinek figyelembe vételével)
› Teljes IBIR tanácsadási projekt, cél a TISAX ® követelményeinek való megfelelés
› VDA ISA kérdéslista alapján teljes önértékelések és fejlesztések,
szükséges mértékben ISO 27001/2 tapasztalatok és módszerek,
› Integrálás a meglévő ISO rendszerekhez (IATF, ISO 9001, ISO 14001, …)
› Kb. (minimum) féléves átfutási projektidő
Az INFOBIZ Kft. szolgáltatásai
15

16. INFOBIZ Informatikai,
Információbiztonsági és Vezetési
Tanácsadó Kft.
: https://infobiz.hu/
Dr. Horváth Zsolt
: +36 70 4198599
: horvathzs@infobiz.hu
Kérdések és válaszok
16