Skip to main content

TISAX

Systém řízení informační bezpečnosti v automotive

Nabízíme implementaci systému řízení informací dle TISAX.

V posledních letech se setkáváme v automobilovém průmyslu se standardem TISAX. TISAX (Trusted Information Security Assessment Exchange) je standard pro posuzování informační a kybernetické bezpečnosti v automobilovém průmyslu, na jehož základě se hodnotí jednotliví dodavatelé v automobilovém průmyslu a výsledky hodnocení se ukládají do databáze dodavatelů. Jedná se tedy o systém posuzování a následné výměny hodnocení pro zabezpečení informací v automobilovém průmyslu.

TISAX vychází z normy ISO/IEC 27001 a hlavní rozdíly nalezneme v následující tabulce.

ISO/IEC 27001: management systému informační bezpečnosti organizace

TISAX: management systému informační bezpečnosti v automobilovém dodavatelském řetězci

Zaměřeno na vedení organizace a hlavní zainteresované strany, univerzální použití v různých sektorech a obchodních funkcích

Zaměřeno na podporu obchodních partnerů organizace se zaměřením na automobilový dodavatelský řetězec

Flexibilní rozsah: organizace určují rozsah na základě kontextu své organizace

Standardizovaný rozsah: umístění a cíle hodnocení musí obchodním partnerům poskytovat smysluplné výsledky

Hodnocení: potřebuje zajistit rizika informační bezpečnosti řešená vhodně z pohledu organizace

Hodnocení: potřebuje zajistit rizika informační bezpečnosti vhodně řešená z pohledu obchodních partnerů

Žádná centrální databáze certifikátů nebo standardizovaný mechanismus výměny výsledků auditu

Standardizovaný formát pro výsledky hodnocení pomocí štítků prostřednictvím centrální databáze a standardizovaného mechanismu výměny

Žádný konzistentní způsob integrace výsledků auditu do nástrojů pro řízení dodavatelů

Integrace: výsledky hodnocení z databáze je možné integrovat do nástrojů pro správu dodavatelů

Širší a rozmanitější zúčastněné strany zapojené do mechanismu mezinárodní normalizace s méně častými revizemi

Pracovní skupina TISAX s hlavními zainteresovanými stranami se může rychle přizpůsobit změnám v katalogu požadavků (roční revize)

Zdroj: BSI, ENX

Data, informace, dokumenty a záznamy jsou důležitým aktivem v každé organizaci. O to důležitější je jejich správná ochrana tak, aby se k dané informaci dostal oprávněný uživatel co nejdříve a v odpovídající struktuře.

Versa Systems jako konzultační firma a systémový integrátor v oblasti podnikového poradenství Vám nabízí odbornou pomoc při dosažení shody s TISAX.  

Co je TISAX a jak dosáhnout shody s TISAX?

Každá organizace k dosažení shody s TISAX, musí splnit následující kroky v systému TISAX:

  • Klasifikace a sebehodnocení – organizace spolu se zákazníkem stanoví rozsah a cíle pro posouzení TISAX v závislosti na citlivosti využívaných informací. Následuje provedení sebehodnocení (toto sebehodnocení doporučujeme svěřit odborné konzultační společnosti, např. Versa Systems). Výsledkem GAP analýzy je stav plnění/neplnění požadavků TISAX a hodnocení dle modelu vyzrálosti (CMM).
  • Sestavení plánu opatření - sestavení plánu vhodných bezpečnostních opatření pro splnění požadavků TISAX (zajistí Versa Systems)
  • Registrace – organizace se zaregistruje na stránkách www.enx.com s definovaným rozsahem, definovanou úrovní AL2 nebo AL3, stanovenými cíli posuzování, lokalitami a získají rozsah pro posuzování – Scope Excerpt.
  • Implementace - implementace systému řízení bezpečnosti informací dle TISAX, včetně implementace jednotlivých bezpečnostních opatření, dokumentování systému a procesů informační bezpečnosti (zajistí Versa Systems)
  • Výběr auditní organizace - Společnosti vybírají vhodného poskytovatele auditu.
  • Posuzování – vybraná nezávislá třetí strana (certifikační orgán) posoudí v rozsahu předmětu, hranic, cílů a v určené úrovni AL3 – AL2, zda organizace plní požadavky TISAX.
  • Sdílení  – po kladném posouzení a po uzavření případných neshod je organizaci přiznána známka TISAX na období 3 let. Sdílení těchto výsledků je možné pouze u registrovaných účastníků a teprve poté, kdy hodnocená organizace k tomu dá svolení.



Co nabízí TISAXPaket?

TISAXPaket představuje implementaci systému opatření v informační bezpečnosti pro splnění požadavků standardu TISAX dle metodiky Versa Systems.

TISAXPaket nabízí:

  • Implementaci systému řízení bezpečnosti informací založenou na mezinárodních standardech a technologiích dle TISAX
  • Odbornou pomoc při provedení vstupní (GAP) analýzy, včetně vypracování zprávy z auditu
  • Odbornou pomoc při tvorbě plánu pro implementaci bezpečnostních opatření
  • Odbornou pomoc při realizaci bezpečnostních opatření dle sestaveného plánu opatření
  • Návrh a implementace procesů v informační bezpečnosti, které jsou nezbytné pro splněné požadavků TISAX
  • Návrh a implementace systému řízení záznamů (Record management).
  • Návrh a implementace systémového řešení ochrany digitálního obsahu. Součástí řešení je návrh celkové procesní struktury systému ochrany digitálního obsahu, včetně návrhu vhodné technologické platformy a řešení řízení práv k informacím (IRM nebo DRM) nebo řešení zamezující úniku dat (DLP – Data Leakage Protection) z IS/IT systémů v organizaci.
  • Individuální přístup konzultantů, naši konzultanti mají více jak 20-leté zkušenosti s implementací systémů řízení informační bezpečnosti 

Časová náročnost a cena

  • Celková časová náročnost uvedených činností je závislá na podpoře a spolupráci ze strany zákazníka (zpřístupnění pracovišť, průběh činností dle schváleného rozsahu a harmonogramu, atd.)
  • Obvykle lze dosáhnout implementace TISAX za 2 – 12 měsíců s ohledem na rozsah a složitost procesů a velikosti organizace.
  • Konkrétní cenovou nabídku Vám rádi připravíme, kontaktujte nás !

Přínosy TISAX

  • TISAXPaket Vám zefektivní Vaše procesy řízení informací a digitálního obsahu

TISAX – pro koho je vhodný?

  • ICLMS se hodí pro všechny organizace, které chtějí dodávat do automobilového průmyslu 
  • .

Pro nás ve Versa Systems vždy platí, že:

  • implementovaný systém řízení bezpečnosti informací nesmí být překážkou a administrativní bariérou v podnikatelských činnostech organizace
  • minimum byrokracie a maximum užitku pro podnik i pro zákazníka
  • jasným a přesně definovaným zadáním splnit požadavky zákazníka v co nejkratším čase