Sa dugim i složenim lancom opskrbe , automobilska infdustrija zahtijeva „ekosistemski“ pristup informacijskoj sigurnosti. 

U ovom digitalnom dobu, informacijska sigurnost mora obuhvaćati, osim dobavljača automobilske industrije, marketinške tvrtke  i ostale dionike.  Primarna zadaća je zaštititi: 

• informacije o projektima ili dizajnu, prototipovima ili tajnim planovi o ulaganjima
• velike podatke i procesne podatke, povezane s novim konceptima digitalizacije, razvojem autonomnih automobila,
• međusobne veze unutar mreže opskrbnog lanca,
• osobne podatke kupaca

TISAX (Trusted Information Security Assessment eXchange) je pristup procjene informacijske sigurnosti zasnovan na zrelosti  a usmjeren na potrebe automobilske industrije. Primjenjiv na dobavljače prve i druge razine, ali proširiv i na složenije opskrbne lance, procjena je zahtjev određenih proizvođača originalne opreme.

Zašto TISAX?

TISAX TISAX je globalni standard za informacijsku sigurnost u autoindustriji.  Pružatelji ove usluge, kao što je  DNV GL, akreditirani su od strane ENX Consortium. Cilj ove sheme je:

• uspostaviti zajedničku razinu sigurnosti za automobilsku industriju
• osigurati zajedničko priznavanje procjena radi smanjenja troškova, napora i složenosti za proizvođače i dobavljače
• osigurati usporedivost i kvalitetu procjena
• razmjenjivati najbolje prakse i naučene lekcije
• omogućiti sudionicima da  odluče kome će otkriti rezultate i do koje razine

TISAX kombinira prethodna pravila o informacijskoj sigurnosti (ISA) njemačkog Verband der Automobilindustrie (VDA) s Dodatkom A (Tehničke kontrole) ISO / IEC 27001, kao i neke zahtjeve o privatnosti.

Koristi

Osim što je ulaznica za trgovinu kod nekih proizvođača,  TISAX procjena doprinosi većem povjerenju u opskrbni lanac. Dobavljači koji sudjeluju  mogu imati koristi od: 

• priznanje od strane proizvođača automobila;
• sprečavanje kršenja informacijske sigurnosti i cyber napada;
• stjecanje povjerenja kupaca;
• identificiranje i rješavanje rizika;
• dobivanje priznanja za odgovarajuće procese zaštite podataka;
• dijeljenje rezultata procjene putem ENX razmjene.

TISAX® vs ISO/IEC 27001

Dok oba standarda pokrivaju informacijsku sigurnost TISAX se temelji na ključnim elementima sustava upravljanja informacijskom sigurnosti ISO/IEC 27001. NO unatoč tomu fokusira se na elemente koji su posebno relevantni za kontekst automobilske industrije. 

Glavne razlike su: 

ISO/IEC 27001	TISAX
Norma sustava upravljanja	Pokriva procese informacijske sigurnosti i dijelove relevantne za partnere u automobilskoj industriji
Pristup uključeno/isključeno	Pristup temeljen na stupnjevanju zrelosti
Opseg se definira prije certifikacije	Opseg je fiksan
Analiza rizika kompanije	Analiza rizika temeljena na analizi VDA-ISA radne grupe
Certifikacijsko tijelo izdaje certifikat	TISAX izdaje oznaku i registraciju
Periodički auditi i recertifikacija za 3 godine	3-godišnja valjanost, bez periodičkih audita

Kako aplicirati za procjenu?

Kompanije koje ulaze u program moraju se registrirati pri ENX kao sudionici.

Proces je postavljen u fazama: 

1. Pažnja
   Upoznajte se sa zahtjevima  TISAX-a. 
2. Priprema
   registrirajte se na  TISAX portalu, odaberite svoje provjeriteljsko tijelo i pripremite se za audit/ provjeru. Ovo uključuje samoprovjeru kako bi ste izmjerili svoju usklađenost i spremnost.    
3. Procjena
   Kako će se audit izvesti ovisi o tome da li ste kvalificirani za udajeni audit (Razina 2) ili fizički audit (Razina 3). Audit se sam po sebi sastoji od intervjua, pregleda dokumentacije, pojašnjenja mogućih nalaza i budućih koraka.
4. Plan korektivnih akcija i praćenje
   Pripremite korektivni akcijski plan (CAP) kako bi ste zatvorili moguće nalaze (propuste) koji se predaje pružatelju audita. CAP se procjenjuje kroz follow up (ili više njih ako je potrebno) i kompletira TISAX izvještaj.
5. Razmjena rezultata 
   Pružatelj provjere/audita  podiže TISAX izvještaj na platformu. Auditirana kompanija odlučuje sa kime će ti podatci biti dijeljeni. ENX izdaje TISAX makrice audititiranoj kompaniji.

Kako DNV GL može pomoći?

Kao provjeritelj akreditiran od strane ENX-a, DNV GL može provoditi TISAX procjene u cijelom svijetu kroz mrežu lokalnih ureda i auditora.  

ENX održava kriterije pružatelja audita/provjere i zahtjeve same provjere  (TISAX ACAR). On odobrava pružatelje usluge i prati kvalitetu implementacije kao i rezultate procjene.  ENX ima podršku od strane TISAX Odbora, kojeg sačnjavaju predstavnici proizvođača, dobavljača i raznih udruženja.