Tuki 0400 865 646
Tuki 0400 865 646

Takaisin blogiin

Tietoturvastandardi TISAX

Mikä on TISAX?

TISAX (Trusted Information Security Assessment Exchange) on tietoturvastandardi, joka perustuu ISO/IEC 27001 -standardiin, mutta on räätälöity erityisesti autoteollisuuden tarpeisiin.

Tietoturvastandardi on saksalaisen autoteollisuuden liiton (VDA) kehittämä ja ENX Associationin hallinnoima tietoturva-arviointikehys, jonka tarkoituksena on varmistaa, että yritykset (erityisesti autoteollisuuden toimitusketjussa) täyttävät yhteiset tietoturvavaatimukset, voivat arvioida omaa tietoturvatasoaan, jakaa arviointitulokset turvallisesti kumppaneidensa kanssa ja täyttää valmistajien ja tilaajien vaatimukset ilman päällekkäisiä auditointeja.

 

Kenelle TISAX on pakollinen?

TISAX on pakollinen seuraaville toimijoille autoteollisuuden toimitusketjussa.

  • 1. ja 2. tason toimittajat (Tier 1 & Tier 2 suppliers): Suoria tai epäsuoria alihankkijoita, jotka toimittavat osia, järjestelmiä tai palveluita autonvalmistajille.
  • Autovalmistajien alihankkijat: Tuotekehitystä, prototyyppejä tai valmistussuunnitelmia tekevät yritykset.
  • IT- ja markkinointipalveluntarjoajat: Yritys, joka käsittelee arkaluonteista ja luottamuksellista tietoa koskien autoteollisuutta.
Miten TISAX toimii?

TISAX-prosessi koostuu neljästä päävaiheesta; itsearviointi, auditointi, TISAX-label ja tulosten jakaminen.

  1. Itsearviointi: Organisaatio arvioi itse omaa tietoturvatasoaan TISAX-vaatimusten mukaisesti.
  2. Auditointi: Ulkopuolinen, akkreditoitu arvioija tarkistaa tietoturvakäytännöt ja -prosessit.
  3. TISAX-label: Jos vaatimukset täyttyvät, organisaatio saa TISAX-merkin (label), joka on voimassa 3 vuotta.
  4. Tulosten jakaminen: Arviointitulokset jaetaan turvallisesti kumppaneiden kanssa TISAX-portaalin kautta
 
Mitä arvioidaan?

TISAX sisältää kolme arviointitasoa; itsearviointi, etäauditointi ja paikan päällä tehtävä auditointi.

Taso 1 – Itsearviointi

  • Kenelle: Sisäiseen käyttöön tai matalan riskin tilanteisiin.
  • Miten: Organisaatio täyttää itsearviointilomakkeen Ei auditointia eikä virallista TISAX-labelia.
  • Käyttö: Ei riitä asiakkaille, jotka vaativat virallista TISAX-sertifiointia.

 

Taso 2 – Etäauditointi

  • Kenelle: Kun käsitellään luottamuksellista tietoa, mutta ei erityisen arkaluonteista.
  • Miten: Arviointi perustuu dokumenttien tarkasteluun ja etähaastatteluihin.Tulos: TISAX-label myönnetään, jos vaatimukset täyttyvät.
  • Kesto: Voimassa 3 vuotta, mutta voi vaatia väliarviointeja.

 

Taso 3 – Paikan päällä tehtävä auditointi

  • Kenelle: Korkean riskin tilanteisiin, kuten prototyyppien käsittelyyn tai erittäin arkaluonteisiin tietoihin.
  • Miten: Arvioija vierailee fyysisesti organisaation tiloissa ja tarkastaa käytännön toteutuksen.
  • Tulos: TISAX-label myönnetään, jos kaikki vaatimukset täyttyvät.
  • Käyttö: Usein pakollinen Tier 1 -toimittajille tai OEM-vaatimuksena.
Valmistautuminen TISAX-arviointiin

Arviointiin valmistautuminen on monivaiheinen prosessi, joka vaatii sekä teknistä että organisatorista kypsyyttä. Ensin on hyvä määritellä arvioinnin tavoitteet (esim. tietoturva, prototyyppien suojaus) liiketoiminnan ja asiakasvaatimuksien perusteella ja valita arviointitaso (kts. ”Mitä arvioidaan?”).

Rakenna ISMS (Information Security Management System)

TISAX edellyttää toimivaa tietoturvan hallintajärjestelmää. ISMS:n tulee sisältää riskienhallintaprosessit, tietoturvapolitiikat ja -ohjeistukset, henkilöstön koulutuksen ja tekniset ja organisatoriset suojaustoimet.

Valmistautuminen TISAX-arviointiin

Arviointiin valmistautuminen on monivaiheinen prosessi, joka vaatii sekä teknistä että organisatorista kypsyyttä. Ensin on hyvä määritellä arvioinnin tavoitteet (esim. tietoturva, prototyyppien suojaus) liiketoiminnan ja asiakasvaatimuksien perusteella ja valita taso (kts. ”Mitä arvioidaan?”).

Akkreditoitu arvioija ja varaa auditointi

Seuraavaksi on vuorossa akkreditoidun arvioijan valinta ja auditoinnin varaus. Arvioijaksi tulee valita ENX:n hyväksymä arviointikumppani. ENX Association on eurooppalainen voittoa tavoittelematon organisaatio, joka vastaa TISAX-järjestelmän hallinnoinnista ja valvonnasta.Arvioija suorittaa dokumenttien tarkastelun, haastattelut ja mahdolliset paikan päällä tehtävät tarkastukset

Arviointi ohi – Mitä sitten?

Toteuta korjaavat toimenpiteet ja varmista jatkuva parantaminen. Jos arvioinnissa havaitaan puutteita toteuta korjaukset ja toimita todisteet korjauksista arvioijalle. TISAX-sertifikaatti on voimassa 3 vuotta, jonka aikana tulee tehdä seurantaa ja mahdollisia väliarviointeja.

 

Voimmeko olla avuksi?

Ota yhteyttä