TISAX®

Firmy działające w branży motoryzacyjnej muszą coraz częściej wykazywać, że spełniają wymagania związane z bezpieczeństwem informacji. Podstawą oceny są wymagania zawarte w katalogu VDA-ISA, który zawiera kluczowe zabezpieczenia uznanej międzynarodowej normy ISO 27001 oraz dodatkowe listy kryteriów, które odnoszą się konkretnie do sektora motoryzacyjnego, takie jak zaangażowanie stron trzecich i ochrona prototypów. Utworzony został również wszechstronny mechanizm oceny i wymiany związanej z nią informacji. Dzięki temu zapewniony został wysoki stopień porównywalności i przejrzystości, co wpływa na wzmocnienie zaufania klientów. Przekłada się to na ciągle rosnące zainteresowanie etykietą TISAX®, a w niektórych przypadkach staje się to wymogiem. Platforma internetowa TISAX® umożliwia uczestnikom wymianę danych z oceny a jednocześnie ułatwia uczestnikom i dostawcom audytu kontaktowanie się ze sobą.

Organem odpowiedzialnym za TISAX® jest VDA a stowarzyszenie ENX monitoruje jakość wykonania i wyniki oceny. Podręcznik TISAX® można znaleźć pod linkiem:  https://www.enx.com/handbook/tisax-participant-handbook.html

• Uczestnik czynny (np. dostawca): firma która chce świadczyć usługi na rzecz innego podmiotu jako poddostawca, taka firma może poddać się ocenie z własnej inicjatywy lub jest o nią poproszona przez potencjalnego kontrahenta. Wszystkie firmy, zarówno uczestnicy bierni jak i czynni, aby uzyskać dostęp do portalu TISAX® muszą zarejestrować się w bazie wymiany informacji ENX: (http://enx.com/).

Jest to również warunek konieczny dla uczestników czynnych aby mogli przystąpić do procesu weryfikacji TISAX®.

Stowarzyszenie ENX jako operator programu TISAX® ma jasno określone poziomy i zakresy oceny. TISAX® rozróżnia trzy różne „poziomy ochrony” (normalny, wysoki i bardzo wysoki) określające wymagany poziom ochrony informacji. Ponadto TISAX® wyróżnia też trzy „poziomy oceny” określające głębokość oceny i metodę oceny:

• Informacje z normalnym poziomem ochrony: poziom oceny 1 (AL 1). Weryfikacja jest przeprowadzana w formie samooceny. Wyniki ocen z poziomem oceny 1 zwykle nie są stosowane w TISAX® ale mogą być wymagane poza systemem. 
• Informacje o wysokim poziomie ochrony: poziom oceny 2 (AL 2). Weryfikacja jest przeprowadzana za pośrednictwem akredytowanej organizacji audytującej (XAP). Jej punktem wyjścia jest również samoocena firmy wykonywana za pośrednictwem pliku VDA. Ocena zewnętrzna opiera się na sprawdzeniu samooceny firmy ze stanem faktycznym. Na poziomie 2 (AL 2) weryfikacja jest z reguły przeprowadzana w sposób zdalny (telefon, mail, videokonferencja), choć w uzasadnionych przypadkach jest też możliwość inspekcji na miejscu. 
• Informacje o bardzo wysokim poziomie ochrony: poziom oceny 3 (AL 3). Weryfikacja jest przeprowadzana przez akredytowaną organizacja audytującą (XAP). Podobnie jak przy AL 2 opiera się ona na samoocenie firmy ale tym razem wymagane jest by weryfikacja odbyła się również na miejscu.

Zakres i czas trwania weryfikacji TISAX® są w każdym przypadku określone indywidualnie zgodnie z listą kryteriów, celami ochrony, złożonością SZBI i liczbą zaangażowanych obiektów. Informacje te znajdują się w dokumencie „scope excerpt” który jest generowany z bazy ENX po uprzedniej rejestracji firmy.

Audyt na poziomie AL 2 i AL 3 mogą przeprowadzać wyłącznie organizacje akredytowane przez ENX i funkcjonujące pod nazwą XAP. TUV NORD CERT uzyskał już taką akredytację i ma za sobą kilkanaście procesów weryfikacji TISAX® zakończonych sukcesem. Wartym podkreślenia jest także fakt, że jako jednostka dysponujemy polskimi audytorami w tym zakresie.

1. Rejestracja online na platformie TISAX® (ENX) 
2. Wybór i wyznaczenie akredytowanego dostawcy audytu (XAP), np. TUV NORD CERT 
3. Wykonanie oceny przez zewnętrzną jednostkę (XAP) za pośrednictwem technik zdalnych lub na miejscu 
4. Publikacja wyników weryfikacji na platformie TISAX® (ENX) i udostępnienie jej wyników zainteresowanym kontrahentom