TISAX® - Autoteollisuuden tietoturva

TISAX®-sertifioinnin avulla suojaat luottamuksellisia tietoja, tuotemerkin mainetta ja luot asiakasuskollisuutta.

Erittäin innovatiivisessa ympäristössä, jossa menestyminen riippuu useista toimijoista, turvallinen tietojen vaihto on välttämätöntä. Autoteollisuus vaatii "ekosysteemistä" tietoturvanäkökulmaa pitkissä ja monimutkaisissa toimitusketjuissaan. 

Digitaalisella aikakaudellamme tietoturvatarpeet ulottuvat autojen toimittajien lisäksi markkinointiyrityksiin ja muihin osapuoliin. Toimialla on ensisijainen tarve suojata: 

  • hankkeita tai suunnittelutietoja, prototyyppejä tai salaisia investointisuunnitelmia
  • isoa dataa ja prosessidataa, joka liittyy digitalisaation uusiin käsitteisiin ja autonomisten autojen kehittämiseen
  • toimitusketjun verkoston keskinäisiä yhteyksiä 
  • asiakkaiden henkilötietoja.

TISAX 

TISAX (Trusted Information Security Assessment eXchange) on autoteollisuuden maailmanlaajuinen tietoturvastandardi. Se on toiminnan kypsyyteen perustuva tietoturvan arviointimenetelmä, joka on suunnattu autoteollisuuden tarpeisiin. Arviointia sovelletaan ensisijaisesti 1. ja 2. tason toimittajiin, mutta se on laajennettavissa monimutkaisempiin toimitusketjuihin ja monet alkuperäisosien valmistajat vaativat sitä.  Järjestelmän tavoitteena on: 

  • luoda autoteollisuudelle yhteinen tietoturvallisuustaso 
  • varmistaa arviointien yhteinen tunnustaminen, jotta voidaan vähentää valmistajien ja toimittajien kustannuksia, työtä ja monimutkaisuutta
  • varmistaa arviointien vertailukelpoisuus ja laatu 
  • parhaiden käytäntöjen ja saatujen kokemusten vaihto 
  • kukin osallistuja saa päättää, kenelle tulokset paljastetaan ja kuinka yksityiskohtaisia ne ovat. 

TISAXissa yhdistyvät Saksan autoteollisuuden liiton (VDA) entiset tietoturvasäännöt (ISA) ja ISO/IEC 27001:n liite A (tekninen valvonta) sekä tietyt yksityisyyden suojaa koskevat vaatimukset. 

TISAX® vs. ISO/IEC 27001 

TISAX perustuu tietoturvan hallintajärjestelmästandardin ISO/IEC 27001 keskeisiin elementteihin ja keskittyy erityisesti autoteollisuuden kannalta olennaisiin vaatimuksiin. 

Tärkeimmät erot ovat: 

ISO/IEC 27001 TISAX
Johtamisjärjestelmän standardi Kattaa tietoturvaprosessit ja -osat, jotka ovat merkityksellisiä yhteistyökumppaneiden kannalta
On/off-lähestymistapa Kypsyystasoon perustuva lähestymistapa
Soveltamisala määritellään ennen sertifiointia Soveltamisala on ennalta määritelty
Sertifiointilaitos myöntää todistuksen ENX julkaisee tunnisteen ja rekisteröi toimijan tietokantaan
Määräaikainen auditointi ja uudelleensertifiointi 3 vuoden kuluttua sertifioinnista 3 vuoden voimassaolo, ei määräaikaistarkastuksia

 

Arviointien hyödyt

Sen lisäksi, että TISAX-arvioinnit ovat monien valmistajien vaatimus, ne edistävät toimitusketjun luottamusta. Järjestelmään osallistuvat tavarantoimittajat voivat hyötyä seuraavista seikoista:

  • Autovalmistajien tunnustama
  • Tietoturvaloukkausten ja verkkohyökkäysten estäminen 
  • Asiakkaiden luottamuksen saavuttaminen
  • Riskien tunnistaminen ja niihin puuttuminen
  • Tunnustuksen saaminen asianmukaisista tietoturvaprosesseista
  • Arviointitulosten jakaminen ENX-pörssin kautta. 

Aloittaminen 

Ohjelmaan osallistuvien yritysten on rekisteröidyttävä ENX:ään osallistujaksi. Prosessi on vaiheittainen: 

  • Huomiointi
    Tutustu TISAX-vaatimuksiin. 
  • Valmistelu
    Rekisteröidy TISAX-portaaliin, valitse akkreditoitu auditointielin ja valmistaudu auditointiin. Tähän sisältyy myös itsearviointi, jolla mitataan vaatimustenmukaisuutta ja auditointivalmiutta. 
  • Arviointi
    Tarkastuksen suorittamistapa riippuu siitä, onko kyseessä etätarkastus (taso 2) vai fyysinen tarkastus (taso 3). Itse auditointi koostuu haastatteluista, asiakirjojen tarkastelusta, mahdollisten havaintojen selvittämisestä ja seuraavista vaiheista. 
  • Korjaavien toimenpiteiden suunnitelma ja seuranta
    Laaditaan suunnitelma havaintojen (puutteiden) korjaamiseksi, joka toimitetaan tarkastuksen suorittajalle. Korjaavia toimenpiteitä arvioidaan seurantakäynnillä (tai tarvittaessa useammalla) ja täytetään TISAX-raportti. 
  • Tulosten vaihto
    Tarkastuksen suorittaja lataa TISAX-raportin tietokantaan. Auditoitu yritys päättää, kenelle tulokset jaetaan. ENX julkaisee TISAX-tunnisteet auditoidulle yritykselle. 

DNV on ENX Associationin hyväksymä TISAX-arviointien tarjoaja. Paikallisten toimipisteidemme ja auditoijiemme verkoston kautta voimme tarjota arviointeja maailmanlaajuisesti. 

Koulutus

Merkitykselliset oivallukset aktiivisessa oppimisympäristössä.