Czym jest TISAX?
TISAX (Trusted Information Security Assessment Exchange) to system certyfikacji mający na celu ochronę i zapewnienie bezpieczeństwa informacji. Stanowi standard, który jest zgodny z wymaganiami VDA ISA. Organizacja VDA ISA zrzesza producentów i dostawców z branży automotive w celu uregulowania kwestii dotyczących spójności i kompatybilności rozwiązań stosowanych w tym sektorze.
VDA ISA - Regulacja dla Branży Automotive
VDA ISA, czyli Niemieckie Stowarzyszenie Przemysłu Samochodowego, pełni kluczową rolę w regulowaniu działań producentów i dostawców automotive. Poprzez ustanawianie standardów, stara się zapewnić, że rozwiązania stosowane w tej branży są zharmonizowane i kompatybilne ze sobą. Jednym z obszarów, których dotyczy regulacja, jest bezpieczeństwo informacji.
Bezpieczeństwo Informacji dla naszych klientów
TISAX koncentruje się na systemie zarządzania bezpieczeństwem informacji (ISMS). Jest to zorganizowany sposób działania firmy, mający na celu skuteczną ochronę informacji, które są przez nią przetwarzane. Obejmuje to trzy kluczowe aspekty:
- Poufność: Zapobieganie nieupoważnionemu dostępowi do informacji.
- Integralność: Zabezpieczanie przed nieupoważnioną zmianą i modyfikacją danych.
- Dostępność: Zabezpieczanie przed zniszczeniem lub inną bezpowrotną utratą informacji.
Ochrona Danych Osobowych dla naszych klientów
W ramach TISAX, skupiamy się także na ochronie danych osobowych i sposobach ich przetwarzania. W dobie rosnącej świadomości związanej z prywatnością, aspekt ten staje się szczególnie istotny dla firm działających w branży automotive.
Co potwierdza TISAX?
TISAX umożliwia uzyskanie potwierdzenia, że nasz system zarządzania bezpieczeństwem informacji spełnia określone standardy. Posiadanie certyfikatu TISAX świadczy o zaangażowaniu w ochronę informacji i przetwarzania danych w sposób zgodny z normami branżowymi.
Audyt Systemu Zarządzania Bezpieczeństwem Informacji
W oparciu regulacje VDA ISA odbywa się zewnętrzny audyt Systemu Zarządzania Bezpieczeństwem Informacji (SZBI, albo po angielsku ISMS). Jednym z wymagań stawianych SZBI jest jego ciągłe kontrolowanie i udoskonalanie.
Audyt w APA Group rozpoczęliśmy od udokumentowania procesów biznesowych działających w ramach Industry Business Unit. Opracowanie dokumentacji procesów biznesowych, oprócz spełnienia wymogów normatywnych, miało na celu identyfikację aktywów informacyjnych obecnych w naszej firmie. Obejmowały one wszelkie nośniki i formy informacji, które mają wartość dla organizacji i są przetwarzane w jej obrębie.
Obecnie posiadamy kompletną dokumentację procesów oraz zidentyfikowane aktywa występujące na różnych etapach tych procesów. Niektóre z nich bezpośrednio przenoszą informacje, takie jak dokumentacja projektowa, specyfikacje techniczne, kody źródłowe itp., podczas gdy inne pełnią rolę wspomagającą, takie jak komputery służbowe, systemy informatyczne (w tym obszar BMS, obejmujący kontrolę dostępu i monitoring), komunikatory, konta mailowe itd.
W ramach audytu skoncentrowaliśmy się na trzech kluczowych procesach: ofertowaniu, realizacji projektów oraz opracowywaniu własnych produktów i koncepcji, w tym również projektu Nazca 4.0, będącego naszym autorskim rozwiązaniem dostosowanym do potrzeb Przemysłu 4.0. Każdy z tych procesów został szczegółowo przeanalizowany, podzielony na mniejsze podprocesy, a następnie opisany w sposób zbliżony do przedstawionego poniżej. Ogółem, w ramach audytu zidentyfikowaliśmy około 44 procesy oraz ponad 160 aktywów informacyjnych.