TISAX (Trusted Information Security Assessment Exchange) to system oceny bezpieczeństwa informacji stosowany w globalnej branży motoryzacyjnej. Opiera się na katalogu VDA ISA (Information Security Assessment), który określa wymagania bezpieczeństwa informacji dla dostawców i partnerów OEM (Original Equipment Manufacturers).
Głównym celem TISAX jest zapewnienie jednolitego i wiarygodnego poziomu bezpieczeństwa informacji w całym łańcuchu dostaw. Uczestnictwo w TISAX jest często warunkiem koniecznym do współpracy z większością wiodących producentów samochodów.
Nowa wersja checklisty VDA ISA 6.0.1: Wzmocnienie bezpieczeństwa w branży motoryzacyjnej
Ochrona tajemnic handlowych i danych w branży motoryzacyjnej
Wraz z rosnącym znaczeniem cyfryzacji w branży motoryzacyjnej, bezpieczeństwo informacji i cyberbezpieczeństwo stają się coraz ważniejsze. Producenci pojazdów (OEM) coraz częściej wymagają od swoich partnerów i dostawców etykiet TISAX, aby chronić poufne dane, takie jak tajemnice handlowe, dane dotyczące prototypów i informacje o klientach.
Nowa wersja checklisty ISA – VDA ISA 6.0
W październiku 2023 roku opublikowano nową wersję checklisty ISA (Information Security Assessment), zawierającą wymagania standardu TISAX. VDA ISA 6.0 wprowadza szereg zmian, mających na celu wzmocnienie bezpieczeństwa w łańcuchu dostaw branży motoryzacyjnej.
Najważniejsze zmiany w VDA ISA 6.0:
- Udoskonalone wymagania dla obszarów IT i OT: Szczegółowe wytyczne dotyczące zarządzania oprogramowaniem, incydentami bezpieczeństwa, systemami OT i ciągłością działania usług IT.
- Odniesienie do standardów ISO/IEC 27001:2022 i NIST: Wzmocnienie bezpieczeństwa informacji poprzez zgodność z uznanymi standardami.
- Automatyczne przyznanie dodatkowych etykiet: Organizacje posiadające etykiety „Info High” lub „Info Very High” otrzymają automatycznie etykiety „Confidential” i „Strictly Confidential”.
- Nowe etykiety dla dostępności: Etykiety „Information security high” i „Information security very high” zostaną zastąpione etykietami „Confidential” i „High availability” oraz „Strictly confidential” i „Very high availability”.
Wpływ zmian na organizacje:
- Konieczność dostosowania do nowych wymagań: Organizacje muszą wdrożyć nowe rozwiązania i procedury, aby spełnić wymagania VDA ISA 6.0.
- Przejście z dotychczasowych etykiet na nowe: Posiadacze etykiet „Info High” i „Info Very High” otrzymają automatycznie dodatkowe etykiety, ale mogą również zdecydować się na przejście na nowe etykiety „Confidential” i „Strictly confidential”.
Korzyści z wdrożenia VDA ISA 6.0:
- Zwiększenie bezpieczeństwa informacji i cyberbezpieczeństwa: Ochrona poufnych danych i systemów przed cyberatakami i innymi zagrożeniami.
- Wzrost zaufania ze strony OEM-ów: Zwiększenie szans na współpracę z czołowymi producentami pojazdów.
- Poprawa konkurencyjności: Wzmocnienie pozycji na rynku motoryzacyjnym.
Wpływ zmian na audytowane i audytujące strony:
Audytowane strony:
- Konieczność dostosowania systemów bezpieczeństwa do nowych wymagań, m.in.:
- Wdrożenie mechanizmów ochrony danych poufnych.
- Zapewnienie bezpieczeństwa systemów OT.
- Wdrożenie procedur zgodnych z RODO.
- Większy nacisk na proaktywne zarządzanie bezpieczeństwem.
- Możliwość przeprowadzania auditów zdalnych, co może obniżyć koszty i czas audytu.
Audytujące strony:
- Konieczność przeszkolenia z zakresu nowych wymagań VDA ISA 6.0.
- Stosowanie nowego kwestionariusza audytowego.
Podsumowanie:
Nowa wersja checklisty VDA ISA 6.0 – stawia przed branżą motoryzacyjne nowe wyzwania, ale też niesie ze sobą wiele korzyści. Wdrożenie nowych wymagań będzie wymagać zaangażowania ze strony organizacji, ale w dłuższej perspektywie przyczyni się do wzrostu bezpieczeństwa i efektywności całego łańcucha dostaw.
Autor: Tomasz Walaszczyk, Auditor Wiodący