TISAX® kialakulása

Az európai autóipar, és azon belül is kiemelten a német autóipar meghatározó az autóipari szabványok, követelmények kialakításában. Az európai autóiparban már régóta ismert és elfogadott az egységes minőségbiztosítási követelményrendszer az IATF 16949 szabvány alapján, amely szigorú minőségbiztosítási elvárásokat jelent minden autóipari beszállítónak.

Az elmúlt néhány évben az autóipari vállalatok is egyre nagyobb jelentőséget tulajdonítanak az információbiztonsági követelményeknek, mind a saját működésükön belül, mind a beszállítóikkal szembeni elvárásként. Az autóipari beszállítóknak így szembesülniük kellett azzal, hogy a megrendelőik a beszállítói státusz fenntartásához újabb követelményként szabták az információbiztonsági irányítási rendszer bevezetését és/vagy saját információbiztonsági követelményrendszert támasztottak. Az egyes nagy autóipari gyártók egyes információbiztonsági követelményrendszerei nem voltak mindig átfedésben egymással, így aki egyszerre több autóipari gyártónak akart beszállítani, annak egyszerre többféle követelményrendszernek kellett külön-külön megfelelnie.

Ebben a káoszban segít az ENX Association új követelményrendszere, a TISAX® (Trusted Information Security Assessment Exchange, azaz megbízható információbiztonsági értékelések megosztása). A TISAX® az ENX Association terméke és bejegyzett védjegye. A TISAX® rendszert az ENX szervezete irányítja, és a TISAX® működési elvét és követelményeit a honlapján közzé teszi itt. Itt tekinthetők meg azok a tanúsító szervezetek is, amelyek képzést és jogosítást kaptak a TISAX® szerinti értékelések lefolytatására.

A TISAX® egy új, az ISO/IEC 27001-re épülő, de az autóipar sajátosságait és elvárásait erősen figyelembe vevő és arra testre szabott információbiztonsági követelményrendszert és ahhoz kapcsolódó önértékelési és értékelési rendszert tartalmaz. Amennyiben az autóipari beszállítók – beleértve a beszállítói lánc bármely szintjét, – ezt alkalmazzák, és az ENX szisztémája által elfogadott értékelők regisztrált értékelésein (auditjain) megfelelnek, akkor ezeket az értékelési eredményeket az ENX rendszerén keresztül megoszthatják a különböző autóipari megrendelőikkel, amelyek ezt egységesen elfogadják. 

A TISAX rendszer működése 

A TISAX® rendszert az ENX szervezete irányítja, és a TISAX® működési elvét és követelményeit a honlapján teszi közzé. Itt tekinthetők meg azok a tanúsító szervezetek (TISAX® audit-szolgáltatók) is, amelyek képzést és jogosítást kaptak a TISAX® szerinti értékelések (auditok) lefolytatására. Az ENX Association irányító szervezetként működik a rendszerben. Jóváhagyja a TISAX® audit-szolgáltatókat, és figyelemmel kíséri a végrehajtás minőségét és az értékelési eredményeket. Ez biztosítja egyrészt a TISAX® értékelési folyamatok (auditok) végén lévő eredmények egységes megfelelését a kívánt minőségnek és objektivitásnak, másrészt a résztvevők jogainak és kötelezettségeinek fenntartását. Az autóipari vállalat gyártói és beszállítói lánc vállalatai az ENX rendszerébe regisztrálva a rendszeren belül ellenőrizhetik a beszállítók TISAX® megfelelését, és ezáltal eldönthetik, hogy a szolgáltatók és beszállítók ebből eredő információbiztonsági szintje és érettségi szintje megfelel-e a vevő követelményeinek. 

A TISAX® követelményei 

A TISAX® az üzleti partnerektől származó információk biztonságos feldolgozására, a prototípusok védelmére és az általános adatvédelmi rendelet (GDPR) szerinti adatvédelemre vonatkozik. A TISAX® követelmények és kontrollok struktúrája nagymértékben épül az ISO/IEC 27001/2 információbiztonsági irányítási rendszerszabvány filozófiájára és kontrolljaira, azonban figyelembe véve az autóipar speciális biztonsági és információbiztonsági elvárásait sokszor túlmutat azon. Továbbá a bevezetendő biztonsági kontrollok és eljárások megfelelő színvonalú működtetése érdekében annak egy ötlépcsős érettségi modell alapon történő alkalmazását írja elő. Az angol és német nyelven is letölthető követelményrendszerből látszik, hogy milyen feltételek mellett mely információbiztonsági kontrollok hatékony bevezetését várja el a rendszer, valamint hogy ezeknek megfelelő színvonalú működtetését hogyan kapcsolja egy ötlépcsős érettségi-szint modell alkalmazásához . Noha a TISAX® követelményrendszer alapelvárásait (TISAX résztvevői kézikönyv, önértékelési VDA ISA csekklista, egyéb hasznos anyagok) az ENX honlapon közzétett dokumentációk mind tartalmazzák, azok értelmezése és gyakorlatba történő hatékony átültetése már sok-sok éves gyakorlatot és információbiztonsági szakmai tapasztalatot igényel.