TISAX – Trusted Information Security Assessment Exchange
Tegenwoordig wordt er binnen de automotive industrie extreem veel vertrouwelijke informatie uitgewisseld. Denk bijvoorbeeld aan tekeningen van prototype auto’s of onderdelen. Deze informatie wordt veelal gedeeld met de fabrikant en de fabrikant deelt deze informatie weer met een toeleverancier…
Autofabrikanten hechten waarde aan informatiebeveiliging. Door de gehele keten heen wordt verwacht dat er maatregelen worden getroffen tegen bijvoorbeeld diefstal, verlies of manipulatie van informatie. Het Verband der Automobilindustrie, beter bekend als de VDA heeft daarom het TISAX-label ontwikkeld. De VDA bestaat voornamelijk uit Duitse autofabrikanten en toeleveranciers, denk aan Daimler, VAG, BMW en Volkswagen. Maar wat betekent dit?
Het label biedt een uniforme standaard voor informatiebeveiliging binnen de automotive industrie. De ISO 27001, de internationale standaard voor informatiebeveiliging wordt gebruikt als uitgangspunt. Aanvullend zijn er specifieke criteria voor de automobielindustrie toegevoegd.
Assessment objectives & Assessment levels
Wanneer het TISAX-label geëist wordt of wanneer jouw organisatie hiermee in aanraking komt is de eerste stap; Een registratie binnen de ENX en het bepalen van de scope en de doelstellingen. TISAX kent acht assessment objectives. De acht objectives leiden tot het benodigde niveau van bescherming waaraan je moet voldoen.
TISAX kent drie beoordelingsniveau’s afhankelijk van welke bescherming nodig/geëist wordt. Vaak eist de klant welk niveau voor certificering noodzakelijk is.
Niveau 1: Informatie met een regulier beschermingsniveau. De organisatie voldoet middels self-assessment, meestal voor interne doeleinden. Standaard leveranciers hoeven vaak alleen de ISA-vragenlijst in te vullen en deze te publiceren.
Niveau 2: De organisatie beschikt over informatie met een hoge beschermingsbehoefte. Deze geldt voor de meer complexe leveranciers. Het self- assessment wordt hier als uitgangspunt genomen en gecontroleerd. Indien nodig vindt er een on-site inspectie plaats.
Niveau 3: De organisatie beschikt over informatie met een zeer hoge beschermingsbehoefte. Leveranciers die zeer gevoelige externe gegevens behandelen, ondergaan een diepgaande, uitgebreide on-site audit door een onafhankelijke auditprovider. Ook hier wordt het self-assessment als uitgangspunt gebruikt.
Voordelen van TISAX
Een groot doel van het TISAX-label is het ondersteunen en bevorderen van beveiligingsbewustzijn en pragmatisch informatiebeveiligingsbeheer. Bij het behalen van het TISAX- label wordt vertrouwen gecreëerd bij meer dan 1.000 wereldbedrijven actief in de automobiel industrie. Andere voordelen zijn:
- Snellere time- to-market
- Gevalideerde beveiligingsprocessen
- Lagere risico- en compliancekosten
- Sterkere positie tijdens onderhandeling
- Vermijden van kostbare tijdrovende dubbele en meervoudige controles
- De beoordeling voor TISAX- label vindt slechts om de drie jaar plaats
Grootste verschil met ISO 27001
In tegenstelling tot ISO 27001 bedrijfs- gebaseerde risicoanalyse en certificering, gaat het bij TISAX om VDA werkgroep- gebaseerde risicoanalyse en uitwisselingsregistratie uitgegeven door de VDA met een geldigheidsduur van drie jaar en zonder periodieke audits.
Een ander belangrijk verschil met ISO 27001, is dat TISAX gebaseerd is op een volwassenheidsniveau benadering, wat betekent dat alle maatregelen worden beoordeeld en geclassificeerd. Hoe geavanceerder het beheersysteem voor informatiebeveiliging hoe hoger de score.
Benieuwd hoe wij kunnen helpen?
Al meerdere malen heeft KVGM, klanten mogen begeleiden bij het behalen van het TISAX-label. Ben jij de volgende?
Natuurlijk kunnen wij helpen met het invullen van het self-assessment. Naast ondersteuning en hulp bij het uitvoeren van het self-assessment, adviseren en ondersteunen wij graag bij de verdere implementatie van een gedegen ISMS. Afhankelijk waar de behoefte ligt binnen de organisatie passen wij graag onze Inside-Out filosofie toe en komen samen met de organisatie tot een gedegen invulling van jullie vraag!