Ocena zgodna ze standardem branżowym TISAX® potwierdza, czy wrażliwe dane związane z klientem są odpowiednio zabezpieczone oraz umożliwia przedsiębiorstwu nawiązanie oraz utrzymanie współpracy z wiodącymi producentami z sektora motoryzacyjnego.
Proces oceny zgodności ze standardem TISAX® realizują akredytowane podmioty świadczące usługi audytowe. Proces ten może odbywać w formie audytu dokumentacyjnego (w tym weryfikacji samooceny) oraz audytu on-site. Podejście audytowe skoncentrowane jest na ocenie obiektywnych dowodów z uwzględnieniem ryzyk. W stosunku do stwierdzonych niezgodności audytowane podmioty są zobowiązane zaplanować i wdrożyć działania naprawcze.
Zakres standardu TISAX® odzwierciedla zarówno kluczowe wymagania standardów systemu zarządzania bezpieczeństwem informacji ISO 27001 i bezpieczeństwa informacji przetwarzanych w chmurze wg ISO 27017, jak też specyficzne wymagania w obszarze bezpieczeństwa informacji ujęte w arkuszu VDA-ISA (Information Security Assessment). Podlega on okresowemu przeglądowi i aktualizacji.
Obowiązującą od kwietnia 2021 roku struktura systemu zarządzania bezpieczeństwem informacji wg TISAX® powinna uwzględniać m.in:
- formalne ustanowienie Polityki bezpieczeństwa informacji;
- organizację struktur i procesów bezpieczeństwa informacji;
- zarządzanie aktywami;
- zarządzanie ryzykiem systemów informatycznych;
- prowadzenie ocen zgodności technicznej i organizacyjnej;
- zarządzanie incydentami;
- zasoby ludzkie;
- zarządzanie tożsamością użytkowników systemów;
- zarządzanie dostępem;
- kryptografię;
- bezpieczną eksploatację systemów informatycznych
- nabywanie systemów, zarządzanie wymaganiami i rozwój;
- relacje z dostawcami;
- zapewnienie zgodności kontraktowej i regulacyjnej (compliance).
- Standardy i zabezpieczenia wg bezpieczeństwa wg TISAX® obejmują m.in:
- stosowanie dwuskładnikowego uwierzytelniania do systemów przetwarzających wrażliwe dane;
- wdrożenie monitorowania wskaźników KPI w konkretnych procesach bezpieczeństwa (np. zarządzanie zmianą, zarządzanie uprawnieniami);
- szyfrowanie baz danych;
- zarządzanie bezpieczeństwem informacji w przypadku stosowania rozwiązań chmurowych;
- procesy ochrony fizycznej prototypów (maskowanie, procedury dostępu gości do stref bezpieczeństwa, bezpieczny transport itd.).
Na podstawie obecnie przeprowadzonych ocen według TISAX® wśród dostawców motoryzacyjnych można wskazać na typowe problemy związane z jego implementacją.
Model działalności przemysłu motoryzacyjnego oparty jest na realizacji dedykowanych projektów inżynierskich. Firmy w oparciu o model IATF 16949 umiejętnie nadzorują nowe uruchomienia, lecz często pomijają kwestie identyfikacji i zarządzania ryzykiem bezpieczeństwa informacji w projektach. Brakuje kryteriów oceny i akceptacji ryzyk oraz postępowania z nimi w cyklu życia projektu. Działania te raczej mają charakter nieformalny i ad hoc.
Pełna wersja artykułu jest dostępna w najnowszym wydaniu kwartalnika.
 |
Pobierz kwartalnik |
Archiwalne wydania „AutomotiveSuppliers.pl review” są dostępne bezpłatnie w serwisie AutomotiveSuppliers.pl (dla subskrybentów).
