Standardy TISAX®
w All for One Poland

Etykieta (certyfikat) TISAX^® jest stosunkowo nowym standardem potwierdzającym systemowe zarządzanie bezpieczeństwem informacji w firmach działających w branży automotive. Jeszcze kilka lat temu jako firma konsultingowa prowadziliśmy w tym sektorze wdrożenia SZBI według normy ISO/IEC 27001, po czym w krótkim czasie branża zaczęła uznawać za właściwszy dla swojej specyfiki standard TISAX^®, z wymaganiami opisanymi w checklistach VDA ISA. Tym samym organizacje posiadające certyfikaty ISO/IEC 27001 rozpoczęły projekty konwersji swoich systemów zarządzania, zaś nowi uczestnicy rozpoczęli projekty wdrożeniowe SZBI zgodnie z VDA ISA/TISAX.

Warto podkreślić, że popularność TISAX^® wynika między innymi z lepszego dopasowania wymagań VDA ISA do specyfiki branży automotive i precyzyjnego nazwania obszarów wymagających szczególnej ochrony (np. prototypy) względem bardziej ogólnych wymagań zawartych w normie ISO/IEC 27001. Jednocześnie znaczna część kontrolek wymaganych do uzyskania etykiety TISAX stanowi referencję do normy ISO/IEC 27001, co z kolei ułatwia dostosowanie systemów zarządzania organizacjom uprzednio certyfikowanym na zgodność z ISO/IEC 27001.

Przykładem takiej udanej konwersji jest Zintegrowany System Zarządzania, który stosujemy w All for One – certyfikację według ISO/IEC 27001 utrzymujemy od 2007 r., natomiast audyt TISAX przeszliśmy w roku 2023. Tym samym spełnimy wszelkie wymagania w zakresie bezpieczeństwa informacji zarówno naszych klientów z branży automotive (TISAX^®), jak i z innych branż (ISO/IEC 27001).

Nasz przykład pokazuje, jaki w rozumieniu VDA ISA/TISAX^® jest ekosystem firm związanych z sektorem automotive. Obejmuje nie tylko firmy produkcyjne – dostawców części i komponentów, ale także szerokie spektrum firm usługowych z różnych branż, takich jak IT, marketing, inżynieria/projektowanie, logistyka, sprzedaż oraz usługi finansowe i ubezpieczeniowe. W efekcie wdrożeń TISAX^® powstaje ekosystem współpracujących organizacji w łańcuchu dostaw automotive, które wzajemnie potwierdzają między sobą stosowanie systemowego podejścia do zarządzania bezpieczeństwem informacji.

W ostatnich latach lista kontrolna VDA ISA podlegała licznym modyfikacjom i uzupełnieniom. Aktualne wydanie – wersja 6.0 – opublikowane pod koniec 2023 r., a obowiązujące dla nowych certyfikacji od 1 kwietnia 2024 r., stanowi dojrzały katalog zagadnień podlegających uregulowaniu w ramach systemowego zarządzania bezpieczeństwem informacji. Czerpie z uznanych światowych standardów takich jak: ISO/IEC 27001:2022, NIST SP800-53r5 czy ISA/IEC 62443. Jest także spójna z regulacjami prawnymi takimi jak GDPR/RODO oraz NIS 2.

Zakres stosowania zdefiniowany w VDA ISA jest bardzo szeroki. Wiele kontrolek opisuje szczegółowe wymagania w obszarze IT, przykładowo: wymóg stosowania narzędzi klasy MDM do zarządzania urządzeniami mobilnymi (w tym np. szyfrowanie danych), silne (dwuskładnikowe) uwierzytelnianie, archiwizację i analizę logów systemowych, zarządzanie podatnościami i aktualizacjami systemów IT, plany ciągłości działania, rozwiązania backup & recovery i szereg innych.

W praktyce oznacza to, że przedsięwzięcie polegające na zapewnieniu zgodności z VDA ISA to zarówno projekt biznesowy, dotykający wielu procesów w organizacji, a jednocześnie projekt modernizacji IT pod kątem wyższego poziomu cyberbezpieczeństwa.

All for One Poland wszystkie te usługi realizuje kompleksowo. Jednak w każdej firmie projekt przebiega inaczej ze względu na specyfikę danej organizacji, wielkość biznesu, priorytety i ryzyka oraz dojrzałość środowiska IT. Dlatego do osiągnięcia końcowego sukcesu konieczne jest indywidualne podejście, oparte m.in. na analizie luki, audycie bezpieczeństwa IT i testach penetracyjnych oraz – przeprowadzonej wspólnie z biznesem – analizie ryzyka.