Mnoho odberateľov v automobilovom priemysle kontroluje svojich dodávateľov, ako majú vo firme nastavenú informačnú bezpečnosť. Takto prichádza k opakovanej kontrole toho istého systému niekoľkými odberateľmi a často aj v krátkom časovom úseku, čo je dosť časovo, finančne a psychicky náročné. V praxi sa na to využíva štandard TISAX.

Od roku 2018 je TISAX vyžadovaný od všetkých partnerov a dodávateľov, ktorí spolupracujú s nemeckým automobilovým priemyslom.

Je však vhodné povedať, že obavy o informačné zabezpečenie a požiadavky na kontrolu sú pochopiteľné. Medzi firmami v automobilovom priemysle dochádza aj k výmene množstva údajov o vývoji, nových technológiách, skúškach a ich výsledkoch, o výrobe a kontrole. Vzhľadom na nerovnakú úroveň zabezpečenia informačných technológií sa neustále objavujú potenciálne hrozby, ktorým je potrebné čeliť.

Na pomoc prichádza štandard TISAX

Nemecká asociácia automobilového priemyslu (VDA) pre zjednodušenie situácie vytvorila štandard, ktorý zjednocuje požiadavky na posudzovanie úrovne informačnej bezpečnosti v podniku. Podporu získal štandard u všetkých zainteresovaných strán.

Vznikol tak štandard známy pod skratkou TISAX (Trusted Information Security Assessment Exchange). TISAX umožňuje posúdiť informačnú bezpečnosť v akejkoľvek spoločnosti v automobilovom priemysle a poskytuje spoločný štandard pre audit a zdieľanie hodnotenia.

Štandard TISAX vychádza z dotazníkového katalógu ISA, ktorý bol vyvinutý spoločnosťou VDA. Katalóg VDA ISA sa rovnako ako medzinárodná norma ISO 27001 týka informačnej bezpečnosti, avšak je špeciálne upravený pre oblasť automobilového priemyslu. Obsahuje napríklad aj požiadavky na ochranu prototypov či postupy pri spolupráci s tretími stranami.

Od roku 2018 je TISAX vyžadovaný od všetkých partnerov a dodávateľov, ktorí spolupracujú s nemeckým automobilovým priemyslom.

Základné rozdiely medzi TISAX a ISO 27001

Hlavným rozdielom je implementácia cieľových požiadaviek. Zatiaľ čo ISO 27001 v tomto smere ponecháva spoločnosti slobodu pri implementácii, pri štandarde TISAX sú cieľové požiadavky konkrétne špecifikované v katalógu VDA ISA podľa úrovne hodnotenia procesu. Mnohé opatrenia sú povinné.  Toto mierne obmedzuje rozsah možností spoločnosti, ale poskytuje odberateľovi istotu v oblasti implementácie požadovaných opatrení.

Pri štandarde TISAX sa zisťuje úroveň dosiahnutia jednotlivých opatrení:

• úroveň 0 – implementácia požiadaviek je neúplná (proces neexistuje alebo existujúci proces nedosahuje požadované výsledky);
• úroveň 1 – požiadavky na príslušné potreby ochrany informácií; proces je zavedený a vykazuje svoju činnosť, ale nie je kompletne zdokumentovaný; nie je možné zabezpečiť fungovanie po celý čas;
• úroveň 2 – proces na dosiahnutie cieľa je riadený; je zdokumentovaný s dostupným dôkazom;
• úroveň 3 – proces na dosiahnutie cieľa je zavedený, procesy sú prepojené s cieľom; zobrazujú sa existujúce závislosti; dokumentácia je aktuálna a riadená;
• úroveň 4 – požiadavky z úrovne 3 + KPI (meranie výsledkov na účel predvídania procesov);
• úroveň 5 – požiadavky úrovne 4 + implementácia optimalizačných prostriedkov; proces sa neustále zlepšuje.

Štandard TISAX, na rozdiel od normy ISO 27001, špecifikuje minimálnu úroveň procesu pre jednotlivé požiadavky. Minimálna úroveň sa pohybuje v rozmedzí od 2 do 4 pri každej požiadavke.

V štandarde TISAX neexistuje ustanovenie na kompenzáciu úrovne procesu medzi jednotlivými požiadavkami, čo je rozdiel oproti norme ISO 27001. Tá spočiatku vyžaduje nižšiu úroveň procesu (1-zavedené) pre splnenie certifikácie. Očakáva sa však, že následná certifikácia zlepší úroveň.

Tým, že pri štandarde TISAX je minimálna úroveň procesu stanovená, certifikovaná spoločnosť tak môže jasne deklarovať svoje informačné zabezpečenie a vo vzťahu k odberateľom vystupovať ako dôveryhodný partner.

Ako zaviesť TISAX?

Tento proces pozostáva z troch základných krokov:

1.   Príprava na hodnotenie informačnej bezpečnosti v podniku

• príprava na hodnotenie – potrebná je on-line registrácia spoločnosti na príslušnom portáli všetkých uchádzačov, resp. už certifikovaných spoločností, ktoré spĺňajú požiadavky štandardu TISAX. Na portáli bude spoločnosť po úspešnej certifikácii dokladovať svoje informačné zabezpečenie. Následne je potrebné zanalyzovať aktuálny stav, v prípade potreby vytvoriť a zaviesť opatrenia a procesy na zvýšenie úrovne informačnej bezpečnosti a vypracovať hodnotenie, ktoré bude špecifikovať aktualizovanú úroveň procesov a stav ISMS (systém riadenia informačnej bezpečnosti). Príprava musí byť vypracovaná podľa požiadaviek katalógu VDA ISA. Na spoluprácu je vhodné si vybrať niektorú z konzultačných spoločností, ktorá má skúsenosti s implementáciou informačnej bezpečnosti a pozná špecifiká automobilového priemyslu.
• Výber audítora – TISAX po odbornej implementácii konzultantom certifikuje audítor. Spoločnosť si môže vybrať audítora, resp. ľubovoľný certifikačný orgán, ktorý má takéto služby v portfóliu.

2.   Hodnotenie informačnej bezpečnosti v podniku

• Hodnotenie informačnej bezpečnosti (certifikácia) – audítor vykoná hodnotenie v potrebnom rozsahu. Je potrebné dbať na vhodnú pripravenosť. V prípade svojpomocnej prípravy na hodnotenie by mohli byť pri certifikácii odhalené potenciálne nedostatky, je preto vhodné zvážiť si svoje možnosti.
• Certifikát ako výsledok hodnotenia – ak spoločnosť prejde hodnotením (certifikáciou), audítor jej vystaví oficiálnu správu a udelí certifikát TISAX.

3.   Zdieľanie

Posledným krokom je zdieľanie výsledku hodnotenia spoločnosti s jej partnermi. Obsah správy TISAX má štruktúrovanú podobu. Spoločnosť si zverejní informácie o získanom certifikáte a úrovni informačného zabezpečenia na spomínanom on-line portáli. Je na samotnej spoločnosti, komu a do akej miery udelí prístup k výsledkom hodnotenia.

 

Certifikácia, podobne ako pri iných normách a štandardoch, je platná 3 roky. Po uplynutí tejto doby je potrebné opätovne prejsť danými krokmi. Celého procesu sa netreba obávať, v prípade záujmu vieme spoločnosť na certifikáciu odborne pripraviť.

 

Avris Consulting, s.r.o.