MENU

TISAX – co to znaczy?

Firmy działające w branży motoryzacyjnej muszą coraz częściej wykazywać, że spełniają wymagania związane z bezpieczeństwem informacji. Podstawą oceny są wymagania zawarte w katalogu VDA-ISA, który zawiera kluczowe zabezpieczenia uznanej międzynarodowej normy ISO 27001 oraz dodatkowe listy kryteriów, które odnoszą się konkretnie do sektora motoryzacyjnego, takie jak zaangażowanie stron trzecich i ochrona prototypów. Utworzony został również wszechstronny mechanizm audytu i wymiany informacji. Dzięki temu zapewniony został wysoki stopień porównywalności i przejrzystości, co wpływa na wzmocnienie zaufania klientów. Przekłada się to na ciągle rosnące zainteresowanie etykietą TISAX, a w niektórych przypadkach staje się to wymogiem. Platforma internetowa TISAX umożliwia uczestnikom wymianę danych z oceny a jednocześnie ułatwia uczestnikom i dostawcom audytu kontaktowanie się ze sobą.

Organem odpowiedzialnym za TISAX jest VDA a stowarzyszenie ENX monitoruje jakość wykonania i wyniki oceny. Podręcznik TISAX można znaleźć pod linkiem: http://www.enx.com/tisax/files/downloads/TISAX-Participant-Handbook-current.pdf


Dwie możliwe opcje uczestnictwa

 

W modelu oceny TISAX uczestnik może funkcjonować jako: - Uczestnik bierny (np. Producent OEM, producent samochodów): jest to firma która sama nie poddaje się ocenie ale jest zainteresowana wynikami oceny innych po to by znaleźć odpowiednich kontrahentów. Taka firma może albo przeglądać wyniki oceny udostępnione przez inne podmioty albo poprosić konkretna firmę o poddanie się ocenie i udostępnienie jej wyników. - Uczestnik czynny (np. dostawca): firma która chce świadczyć usługi na rzecz innego podmiotu jako poddostawca, taka firma może poddać się ocenie z własnej inicjatywy lub jest o nią poproszona przez potencjalnego kontrahenta. Wszystkie firmy, zarówno uczestnicy bierni jak i czynni, aby uzyskać dostęp do portalu TISAX muszą zarejestrować się w bazie wymiany informacji ENX: (http://enx.com/tisax/tisax-en.html).

Jest to również warunek konieczny dla uczestników czynnych aby mogli przystąpić do procesu weryfikacji TISAX.

 

Poziomy ochrony i poziomy oceny

 

Stowarzyszenie ENX jako operator programu TISAX ma jasno określone poziomy i zakresy oceny. TISAX rozróżnia trzy różne „poziomy ochrony” (normalny, wysoki i bardzo wysoki) określające wymagany poziom ochrony informacji. Ponadto TISAX wyróżnia też trzy „poziomy oceny” określające głębokość oceny i metodę oceny:

  • Informacje z normalnym poziomem ochrony: poziom oceny 1 (AL 1). Weryfikacja jest przeprowadzana w formie samooceny. Wyniki ocen z poziomem oceny 1 zwykle nie są stosowane w TISAX ale mogą być wymagane poza systemem. 
  • Informacje o wysokim poziomie ochrony: poziom oceny 2 (AL 2). Weryfikacja jest przeprowadzana za pośrednictwem akredytowanej organizacji audytującej (XAP). Jej punktem wyjścia jest również samoocena firmy wykonywana za pośrednictwem pliku VDA. Ocena zewnętrzna opiera się na sprawdzeniu samooceny firmy ze stanem faktycznym. Na poziomie 2 (AL 2) weryfikacja jest z reguły przeprowadzana w sposób zdalny (telefon, mail, videokonferencja), choć w uzasadnionych przypadkach jest też możliwość inspekcji na miejscu. 
  • Informacje o bardzo wysokim poziomie ochrony: poziom oceny 3 (AL 3). Weryfikacja jest przeprowadzana przez akredytowaną organizacja audytującą (XAP). Podobnie jak przy AL 2 opiera się ona na samoocenie firmy ale tym razem wymagane jest by weryfikacja odbyła się również na miejscu.

Zakres i czas trwania weryfikacji TISAX są w każdym przypadku określone indywidualnie zgodnie z listą kryteriów, celami ochrony, złożonością SZBI i liczbą zaangażowanych obiektów. Informacje te znajdują się w dokumencie „scope excerpt” który jest generowany z bazy ENX po uprzedniej rejestracji firmy.

Kto jest upoważniony do przeprowadzania audytów zgodnie z TISAX?

Audyt na poziomie AL 2 i AL 3 mogą przeprowadzać wyłącznie organizacje akredytowane przez ENX i funkcjonujące pod nazwą XAP. TUV NORD CERT uzyskał już taką akredytację i ma za sobą kilkanaście procesów weryfikacji TISAX zakończonych sukcesem. Wartym podkreślenia jest także fakt, że jako jednostka dysponujemy polskimi audytorami w tym zakresie.

Cztery etapy zdobywania znaku TISAX

  1. Rejestracja online na platformie TISAX (ENX) 
  2. Wybór i wyznaczenie akredytowanego dostawcy audytu (XAP), np. TUV NORD CERT 
  3. Wykonanie oceny przez zewnętrzną jednostkę (XAP) za pośrednictwem technik zdalnych lub na miejscu 
  4. Publikacja wyników weryfikacji na platformie TISAX (ENX) i udostępnienie jej wyników zainteresowanym kontrahentom

Zalety procedury TISAX:

  • odpowiednie kryteria oceny 
  • jednorodna jakość oceny i wysoki poziom przejrzystości 
  • standardowe i rygorystyczne procedury testowania i raportowania 
  • pełna kontrola wyników oceny 
  • unikanie podwójnych i wielokrotnych ocen 
  • szeroka akceptacja w branży motoryzacyjnej 
  • konsolidacja istniejących i promocja nowych relacji biznesowych 
  • konsekwentne ukierunkowanie na potrzeby klienta 
  • ograniczenie ryzyka i ustanowienie zarządzania ryzykiem

Czy jesteś zainteresowany zdobyciem znaku TISAX? Zapraszamy do kontaktu z nami!

 

Przemysław Szczurek - tel. 605 594 996

Przemysław Szczurek

Product Manager ds. Bezpieczeństwa Informacji

+48 605 594 996

p.szczurek@tuv-nord.pl