W dzisiejszym świecie pełnym cyberprzestępczości bardzo ważne jest bezpieczeństwo informacji. Niestety wraz z postępem technologicznym pojawia się coraz więcej zagrożeń, które mogą zagrozić poufności, integralności oraz dostępności danych. Przedsiębiorstwa, aby chronić aktywa informacyjne coraz częściej stosują standard branży motoryzacyjnej TISAX. Proszą o to również swoich dostawców. Zapraszam na wpis.
Jeśli chcesz zagłębić wiedzę z zakresu bezpieczeństwa informacji oraz uzyskać odpowiedzi na poniższe pytania to koniecznie przeczytaj dzisiejszy wpis.
TISAX® (Trusted Information Security Assessment Exchange) to międzynarodowy standard branży motoryzacyjnej, który pozwala na ocenę bezpieczeństwa informacji we wszystkich przedsiębiorstwach w sektorze. Został stworzony przez Niemieckie Stowarzyszenie Przemysłu Motoryzacyjnego (VDA). Proces TISAX® składa się z trzech głównych etapów, jest to:
Narzędziem wspierającym proces jest platforma ENX.
Proces rejestracji: odbywa się najczęściej online. Jego głównym zadaniem jest:
Proces oceny: składa się z czterech etapów, które wymienione zostały poniżej.
Proces wymiany: w tym etapie przedsiębiorstwo dzieli się wynikiem oceny ze swoimi partnerami biznesowymi.
W dużym uproszczeniu „Etykieta TISAX” to wynik oceny, którą otrzymuje przedsiębiorstwo po zakończeniu procesu TISAX. Jeśli przedsiębiorstwo nie spełni wszystkich wymagań określonych w kwestionariuszu VDA ISA to niestety etykiety nie otrzyma. Oznacza to również, że poziom bezpieczeństwa informacji w tym przedsiębiorstwie jest niewystarczający. Etykieta TISAX (wynik oceny) udostępniany jest na platformie ENX, dzięki czemu jest widoczny dla parterów biznesowych. W skrócie za pomocą ważnej etykiety na platformie ENX przedsiębiorstwo udowadnia, że spełnia wymagania standardu.
Katalog VDA ISA dostępny jest w Internecie. Na dzień dzisiejszy najnowsza wersja to 5.1.0. W katalogu znajduje się ponad 10 zakładek. Opisują one między innymi: wymagania oceny bezpieczeństwa informacji, przykładowe KPI dla Systemu Zarządzania Bezpieczeństwem Informacji, terminologię czy też rejestr zmian w katalogu. Poniżej kilka przykładowych kryteriów z VDA ISA:
Jeśli chcesz poznać wszystkie punkty z wymaganiami to serdecznie zapraszam do zapoznania się z katalogiem VDA ISA.
Podręcznik uczestnika TISAX® zawiera szczegółowy opis procesu oraz odpowiada praktycznie na każdą zagwozdkę, która może pojawić się podczas trwania procesu. Polecam każdej osobie, która zaczyna swoją przygodę z TISAX®, aby w pierwszej kolejności zapoznała się właśnie z tym podręcznikiem. Pozwala on zrozumieć wiele rzeczy, które być może na początku wydają się niejasne. Poniżej kilka przykładowych punktów, które wytłumaczone zostały w podręczniku:
Jak widać zakres punktów w podręczniku jest bardzo szeroki i odpowiada na wiele pytań, a to zaledwie garstka z nich. Więcej oczywiście w podręczniku.
ISO/ IEC 27001 to międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji. To na jej podstawie powstał proces TISAX. W normie znajdują się wymagania mające wpływ na bezpieczeństwo informacji w organizacji. Część punktów z normy ISO/ IEC 27001 jest taka sama jak w VDA ISA lub bardzo podobna. Oba dokumenty co do treści wymagań są dość podobne.
Proszę zwrócić uwagę, że TISAX® jest zarejestrowanym znakiem towarowym należącym do ENX Association. Wszystkie odniesienia do TISAX® na tej stronie są używane w sposób, który odzwierciedla własność tego znaku towarowego przez ENX Association.
Temat bezpieczeństwa informacji wraz z procesem TISAX jest bardzo szeroki. Chcąc wyczerpać temat potrzeba by setki takich artykułów. Niemniej jednak mam nadzieję, że choć w małym stopniu udało się przybliżyć to zagadnienie.
Jeśli chodzi o bezpieczeństwo informacji, to należy również pamiętać, że to człowiek jest najsłabszym ogniwem. Niestety nieświadomie może dać się oszukać. Pomimo najlepszych zabezpieczeń może udostępnić swoje hasło lub inne wrażliwe dane. Dlatego istotne jest zadbanie o bezpieczeństwo informacji zarówno od strony technologicznej jak i od strony szkoleń i podnoszenia świadomości pracowników.
Temat przygotowała i opracowała Adrianna Milewicz – specjalistka ds. szkoleń z ponad 8-letnim doświadczeniem w Automotive, Researcherka bloga inzynierjakosci.pl.
Wpis powstał pod redakcją Artura Mydlarza.
Przeczytaj inny artykuł Adrianny – np. o Audycie Wyszkolenia Pracownika