TISAX® - informatiebeveiliging in de automobielsector

In een uiterst innovatieve sector die voor succes afhankelijk is van meerdere spelers, is een veilige uitwisseling van informatie van essentieel belang om vertrouwelijke informatie te beschermen.

Met een lange en complexe supply chain vraagt de automobielsector om een gestructureerde en veilige aanpak in de opslag en uitwisseling van informatie. In dit digitale tijdperk reiken de behoeften op het gebied van informatiebeveiliging verder dan toeleveranciers van de automobielsector. De primaire behoefte is het beschermen van: 

  • Projecten of ontwerpinformatie, prototypes of geheime investeringsplannen
  • Big data en procesgegevens, gekoppeld aan de nieuwe concepten van digitalisering, de ontwikkeling van autonome auto's
  • Interacties binnen het supply chain netwerk
  • De persoonlijke data van klanten

TISAX (Trusted Information Security Assessment eXchange) is een op maturiteit gebaseerde evaluatieaanpak voor informatiebeveiliging die is toegespitst op de behoefte binnen de automobielsector. De beoordeling is in eerste instantie van toepassing op 1e en 2e lijns leveranciers, maar kan worden uitgebreid tot complexere suppy chains. Het assessment is een vereiste van bepaalde OEM's. 

Waarom TISAX?

TISAX is een wereldwijde informatiebeveiligingsnorm voor de automobielsector. DNV is geaccrediteerd door het ENX Consortium om tegen de TISAX norm te mogen certificeren. Het doel van de TISAX norm is om:

  • Een gemeenschappelijk niveau van informatiebeveiliging voor de automobielsector vast te stellen
  • Te zorgen voor een gemeenschappelijke erkenning van assessments om de kosten, inspanningen en complexiteit voor fabrikanten en leveranciers te verminderen
  • De vergelijkbaarheid en de kwaliteit van de assessments te kunnen garanderen
  • “Best practices” en geleerde lessen uit te wisselen
  • Elke deelnemer te laten beslissen aan wie resultaten worden bekendgemaakt en hoe gedetailleerd deze worden weergegeven

TISAX combineert de eerdere Information Security Rules (ISA) van het Duitse Verband der Automobilindustrie (VDA) met ISO/IEC 27001's bijlage A (Technical Controls) en enkele Privacy-vereisten. 

Voordelen

TISAX assessments zijn niet alleen een vereiste van bepaalde fabrikanten, maar dragen ook bij aan het opbouwen van vertrouwen in de supply chain. Deelnemende leveranciers kunnen profiteren door:

  • Erkend te worden door automobielfabrikanten
  • Het voorkomen van inbreuk op de informatiebeveiliging en het voorkomen van cyberaanvallen
  • Het vertrouwen van klanten te winnen
  • Het identificeren en aanpakken van risico's
  • Erkenning krijgen voor de juiste informatiebeveiligingsprocessen
  • Delen van beoordelingsresultaten via de ENX-uitwisseling

Bekijk onze video met de voordelen van TISAX hier.

TISAX® vs. ISO/IEC 27001

Hoewel beide normen betrekking hebben op informatiebeveiliging, bouwt TISAX voort op de belangrijkste elementen in de managementsysteemnorm voor informatiebeveiliging ISO 27001. Echter, richt de norm zich alleen op de elementen die specifiek relevant zijn voor de context van de automobielsector.

De belangrijkste verschillen zijn: 

ISO 27001 TISAX
Managementsysteemnorm Behandelt informatiebeveiligingsprocessen en -onderdelen die relevant zijn voor partners in de automobielsector
Aan/uit-benadering Maturiteit gebaseerde aanpak
Aandachtspunten bepaald vóór certificatie Aandachtspunten zijn vastgesteld
Risicoanalyse op organisatieniveau Risicoanalyse op basis van VDA-ISA-werkgroepen
Certificatie-instelling geeft certificaat uit TISAX geeft label en wisselregistratie uit
Periodieke audits en hercertificering na 3 jaar Geldigheid van 3 jaar, geen periodieke audits

Hoe kunt u gecertificeerd worden?

Organisaties die aan het programma deelnemen, moeten zich bij ENX registreren als deelnemer. 

Het proces verloopt in fases:

  1. Attentie
    Maak kennis met de TISAX eisen.
  2. Voorbereiding
    Registreer u op het TISAX-portaal, selecteer uw certificatie instelling en bereid u voor op de audit. Dit omvat een self-assessment om uw gereedheid te meten.
  3. Assessment
    Hoe de audit wordt uitgevoerd, hangt af of u in aanmerking komt voor een remote audit (niveau 2) of een fysieke audit (niveau 3). De audit zelf bestaat uit interviews, een evaluatie van documenten, verduidelijking van mogelijke bevindingen en de vervolg stappen.
  4. Plan met corrigerende maatregelen en follow-up
    Stel een actieplan met corrigerende maatregelen (CAP) op om eventuele bevindingen op te lossen. Het actieplan wordt aan uw certificatie instelling voorgelegd. Het CAP wordt beoordeeld door middel van een follow-up (of meer, indien nodig) en vult het TISAX-rapport aan.
  5. Uitwisseling van resultaten
    Uw certificatie instelling uploadt het TISAX-rapport naar het platform. De geauditeerde organisatie beslist met wie de resultaten worden gedeeld. ENX geeft de TISAX labels uit aan de geauditeerde organisatie.

Hoe kan DNV helpen?

Als een door ENX geaccrediteerde certificatie instelling is DNV bevoegd om wereldwijd assessments uit te voeren voor TISAX.  

ENX onderhoudt de criteria voor certificatie instellingen en de beoordelingsvereisten (TISAX ACAR). Zij keurt certificatie instellingen goed en bewaakt de kwaliteit van de implementatie en de beoordelingsresultaten. ENX wordt ondersteund door het TISAX Comité, bestaande uit vertegenwoordigers van fabrikanten, leveranciers en verenigingen.

OFFERTE AANVRAGEN

Trainingsaanbod

Leer uw managementsysteem volgens een specifieke norm implementeren en zelfstandig (interne) audits uit te voeren.

Nieuwsbrief

Ontvangt u onze nieuwsbrief al? Schrijf u in en ontvang ons nieuws en updates over certificering en trainingen.