V tomto článku Vám prezentujeme overený postup, ako sa dostať čo najefektívnejšie a čo možnom najkratšom čase k získaniu nálepky TISAX. Na nájdenie cieľa použite cestovnú mapu. Táto mapa je výsledkom desiatok úspešných implementácií vďaka kompetentnému personálu s dvadsať ročnými skúsenosťami v automobilovom segmente. Našu kompetenciu preukazujú dosiahnuté certifikácie ako ISO 27001, ISO 9001, ISO 20000:1, ISO 22301, GDPR, ITIL, Audítor kybernetickej bezpečnosti (NBU), Manažér kybernetickej bezpečnosti (NBU), Etický hacker (CEH08) a ďalšie.

Road mapa sa skladá zo siedmich základných krokov a na základe skúseností je vyšpecifikovaný priemerný čas implementácie jednotlivých krokov.

KROK 1: Zostavenie tímu a definovanie zodpovednosti RACI (1-2 týždne)

Pre úspešnú implementáciu TISAX® je nutné určiť osobu, ktorá bude zodpovedná za riadenie aktivít súvisiacich s dosiahnutia súladu so štandardom – Projektový manažér. Samozrejme nie je to „One man show“. Rozhodne v tíme musí byť zastúpený garant za IT, Development, HR a fyzickú ochranu. Jednotlivým členom tímu sa priradia oblasti riadenia TISAX®  aplikovaním RACI matice zodpovednosti.

KROK 2: Definovanie cieľov pre TISAX®  (1-2 týždne)

 Správne definovanie cieľov ovplyvní náročnosť na zdroje a čas Implementácie. Máme tri hodnotiace kritéria. Informačná  bezpečnosť, ochrana prototypov a ochrana osobných údajov. Informačná bezpečnosť môže dostať cieľ hodnotenia „Základná/ Vysoká/ Veľmi vysoká“. Ciele si treba ujasniť s Vašim kľúčovým odberateľom. Taktiež treba zvážiť biznisový apetít spoločnosti. Možno dnes nepracujete s prototypmi ale za rok máte takéto ambície.

KROK 3: Vytvorenie a politík pre TISAX (4-8 týždňov)

Dokumentované informácie pozostávajú z politík, smerníc,  postupov a záznamov. TISAX® vychádza z medzinárodného štandardu pre riadenie Informačnej bezpečnosti ISO 27001. Dokumentované informácie nesmú byť všeobecné, ale musia vyjadrovať skutočné prostredie Vašej spoločnosti. Okrem aktivít pokrývajúce riadenie informačnej bezpečnosti, fyzickú , personálnu ako aj technologickú bezpečnosť. V rámci fyzickej bezpečnosti sa vypracováva zónový koncept. Riadenie rizík, budovanie bezpečnostného povedomia zamestnancov, Incident manažment, biznis kontinuity, interný audit sú neoddeliteľnou súčasťou nastavenie systému. Oproti schváleným procesom musí byť preukázateľný výkon procesov potvrdený dôkazmi.

KROK 4: Zavedenie riadenia rizík (2-4 týždne)

Riadenie rizík je „Svätý Grál“ štandardu TISAX®. Je to schopnosť riadiť riziká, znamená to chrániť spracovávané zákaznícke údaje a eliminovať situácie, keď spoločnosť nebude schopná poskytovať svoje služby. Pokiaľ to nastane, tak je to schopnosť spoločnosti obnoviť služby v definovanom čase. Je potrebné navrhnúť metodiku na riadenie rizík, založenú na registri informačných aktív, registroch hrozieb a zraniteľností. Riziká, ktoré budú vyhodnotené ako kritické je nutné znižovať opatreniami až na akceptovateľnú úroveň.  

KROK 5: Implementácia procesov (4-8 týždňov)

Implementácia procesov je časovo najnáročnejšia časť dosiahnutia súladu s požiadavkami štandardu TISAX®. Jedná sa o nastavenie procesov informačnej bezpečnosti ako sú riadenie aktív, klasifikácia, riadenie prístupov, riadenie siete, riadenie ICT prevádzky, zónový koncept fyzickej bezpečnosti ale aj Incident manažment a kontinuity systém, vzdelávanie zamestnancov alebo interný audit. Novinkou sú aj oblasti Cloud Computingu.  Každý proces musí byť popísaný, musia byť definované KPI pre jeho riadenie a musí a personalizované.

KROK 6: Preškolenie personálu (1-2 týždne)

 Jedna z najdôležitejších oblastí je budovanie bezpečnostného povedomia zamestnancov a tretích strán. Preškolenie je nevyhnutné pre pochopenie  základných bezpečnostné procesy v spoločnosti. Tréning je špecifický pre rôzne cieľové skupiny ako sú manažment, IT, development, HR alebo výrobný zamestnanci.

KROK 7: Monitoring a kontrola (2-4 týždne) 

Monitorovanie a meranie zavedeného systému TISAX® znamená vyhodnotiť interné audity, vyhodnotiť plnenie KPI, analyzovať incidenty, navrhnúť nápravné a preventívne opatrenia, posúdiť analýzu rizík a najvyššie riziká ohrozujúce spoločnosť a vykonanie manažérskeho preskúmania.   Pre uistenie sa , či bol systém TISAX® zavedený efektívne a účinne je vykonanie samohodnotenia formou VDA checklistu, kde Vaša známka hodnotenia musí dosiahnuť minimálne hodnotu „3“. To znamená že môžete sa uchádzať o audit  TISAX®.

Záver:

Táto Road Mapa poskytuje potenciálnym zákazníkom predstavu o implementačnom procese  TISAX® v časovej ose.  Zavedenie TISAX® znamená vyplnenie prázdneho priestoru pre informačnú a kybernetickú bezpečnosť, čo si vyžaduje nových ľudí, nové kompetencie a hlavne skúsenosti. Sme tu pre Vás. Počas jednej hodiny webovej konferencie si prejdeme všetky relevantné informácie. Spoločne nájdeme efektívne riešenie implementácie a auditu. Kontaktujte nás a dohodnite si stretnutie. Samozrejme, úvodná konzultácia je nezáväzná a bezplatná.

Konzultanti TISAX: Ing. Igor Straka a Ing. Tomáš Polakovič

TISAX® (Trusted Information Exchange Assessment Security) spolu s ENX portálom je platforma pre výmenu informácií týkajúcich sa previerok informačnej bezpečnosti. Obsahuje katalóg požiadaviek informačnej bezpečnosti, ktorý nadväzuje na požiadavky medzinárodnej normy ISO/IEC 27001 a reflektuje špecifické požiadavky odvetvia automobilového priemyslu.

Aký je postup (zjednodušený) k získaniu certifikácie?

• registrácia na portáli ENX
• akreditovaný audítor vykoná posúdenie, či vaša spoločnosť spĺňa stanovené požiadavky;
• ak požiadavky spĺňate, certifikujete sa a získavate tzv. “TISAX® label”. Opätovné hodnotenie je požadované po 3 rokoch.

Audit informačnej bezpečnosti

Audit detailne zhodnotil úroveň bezpečnosti v našej organizácií, posúdil mieru súladu s legislatívnymi požiadavkami a dobrou praxou v oblasti informačnej bezpečnosti a pripravil podklady pre ďalšie zlepšovanie stavu informačnej bezpečnosti. Výsledky auditu nám výrazne pomohli pri definovaní bezpečnostných požiadaviek pre informačné systémy a procesy v vo vašej spoločnosti.

TISAX® je v súčasnosti nevyhnutným štandardom pre účasť dodávateľov na výberových konaniach organizovaných najvýznamnejšími hráčmi na trhu automobilového priemyslu. Potvrdzuje, že spoločnosť zaisťuje informačnú bezpečnosť v každej fáze projektu. Dodržiavanie pravidiel bezpečnosti informácií regulovaných štandardom TISAX® sa týka všetkých zamestnancov spoločnosti: projektových manažérov, vývojárov, HR ako aj IT oddelení.

ENX TISAX® (Trusted Information Security Assessment Exchange, registrovaná ochranná známka, ktorá patrí spoločnosti ENX) je rámec pre VDA ISA, ktorý umožňuje nezávislým predajcom zdieľať svoje výsledky certifikácie a hodnotenia so svojimi zákazníkmi (zvyčajne z automobilového priemyslu).