Ngày nay, hệ thống quản lý an ninh thông tin hay ISMS (Information Security Management) là một phần không thể thiếu của mọi công ty và không có gì ngạc nhiên: Khi nói đến tài sản của công ty, ít thứ gì có giá trị bằng kiến ​​thức và thông tin. Tuy nhiên, với tư cách là tài sản, chúng đang bị đe dọa lớn hơn bao giờ hết: Lỗi của con người, tội phạm mạng và ngày càng có nhiều nguyên nhân tự nhiên gây ra mối nguy hiểm nhất định đối với thông tin. Các cuộc đánh giá ISO 27001 và TISAX đều làm tăng và ghi lại khả năng phục hồi của công ty đối với những rủi ro như thế này. Vậy điểm giống và khác nhau giữa TISAX vs ISO 27001 là gì?

SỰ KHÁC BIỆT CHÍNH GIỮA TISAX VS ISO 27001

Mặc dù TISAX ban đầu được bắt nguồn từ tiêu chuẩn ISO 27001, hai tiêu chuẩn này hoàn toàn độc lập với nhau. Cũng không có phụ thuộc nào liên quan đến ứng dụng, yêu cầu, kiểm tra và chứng nhận. Nói cách khác, nếu bạn có TISAX hoặc ISO 27001, thì cái này không thể thay thế cái kia.

Dưới đây là một số điểm khác biệt dưới dạng tóm tắt:

• ISO 27001 là chứng nhận có chứng chỉ, TISAX là nhãn dán có báo cáo
• ISO 27001 có phạm vi công nhận quốc tế rộng lớn, TISAX hẹp hơn.
• TISAX được sử dụng trong ngành công nghiệp ô tô, trong khi ISO 27001 có thể được áp dụng cho tất cả các ngành công nghiệp.
• Khi đánh giá TISAX, toàn bộ công ty được đánh giá. Với ISO 27001, các dây chuyền sản xuất có thể được đánh giá riêng lẻ.
• TISAX yêu cầu mức độ hoàn thành của mỗi và mọi kiểm soát, ISO 27001 không đo lường mức độ trưởng thành.
• Cơ cấu kiểm toán là khác nhau: TISAX chỉ đánh giá lại sau 3 năm. ISO 27001 có hiệu lực 3 năm nhưng đánh giá giám sát duy trì hiệu lực hàng năm
• Vì tiêu chuẩn TISAX dành riêng cho ngành công nghiệp ô tô nên nó bao gồm các chi tiết như Bảo vệ nguyên mẫu, Bảo vệ dữ liệu (nghiêm ngặt hơn so với ISO 27001, đặc biệt khi yêu cầu Đánh giá Cấp độ 3)
• TISAX có 9 tháng kể từ khi bắt đầu để khắc phục tất cả các sai lệch lớn và nhỏ.
• TISAX có một số lựa chọn hạn chế cho các Đánh giá viên so với ISO 27001.

→ Xem thêm Tiêu chuẩn TISAX

Chi tiết về sự khác biệt sẽ được trình bày sau đây:

1. Sự khác biệt về cấu trúc giữa TISAX vs ISO 27001

Sự khác biệt về cơ cấu là những khác biệt về quy trình, bối cảnh và định nghĩa của các cuộc đánh giá.

TISAX được đưa ra dưới dạng nhãn. Các công ty có nhãn TISAX được liệt kê trong Cổng thông tin ENX. Điều này là để phục vụ mục đích của TISAX.

ISO 27001 là một tiêu chuẩn quốc tế phạm vi toàn cầu. Trong khi đó TISAX vốn là một yêu cầu từ VDA (Verband der Automobilindustrie - Hiệp hội công nghiệp ô tô Đức). Tuy nhiên, TISAX đang phát triển để trở thành Tiêu chuẩn An toàn Thông tin của Châu Âu cho Ngành Công nghiệp Ô tô.

TISAX là nhãn dành riêng cho ngành công nghiệp ô tô, trong khi ISO 27001 có thể được áp dụng cho tất cả các ngành. Ngoài ra, ISO 27001 có thể được áp dụng cho một đơn vị hoặc bộ phận sản xuất. Tuy nhiên, đối với TISAX, toàn bộ công ty - với tùy chọn chọn địa điểm - cần phải được kiểm toán.

Về cấu trúc kiểm toán, ISO 27001 yêu cầu đánh giá giám sát hàng năm, trong khi chứng nhận lại TISAX không đánh giá giám sát, chỉ tái đánh giá sau 3 năm hết hiệu lực

2. Sự khác biệt về kỹ thuật

ISO 27001 có 114 biện pháp kiểm soát, được sử dụng làm cơ sở đánh giá. Tuy nhiên, những kiểm soát đó không được đo lường mức độ trưởng thành. Trong TISAX, mức độ trưởng thành được xác định và sử dụng làm tiêu chí để đạt được nhãn TISAX. Có 6 cấp độ trưởng thành trong TISAX, từ 0 đến 5. Yêu cầu trung bình là đạt mức 3 3 để có nhãn. Mặt khác, đối với một số biện pháp kiểm soát, mức độ trưởng thành cần phải tối thiểu là 2. Do đó, TISAX sẽ cụ thể hơn khi triển khai vì nó phải đo lường mức độ trưởng thành.

Vì TISAX là một tiêu chuẩn công nghiệp ô tô, nó bao gồm bảo vệ nguyên mẫu, cũng như phần bảo vệ dữ liệu của TISAX toàn diện hơn và bị hạn chế hơn so với ISO 27001, đặc biệt là đối với Mức độ đánh giá 3.

Một điểm khác biệt về mặt kỹ thuật nữa là, kể từ ngày đánh giá đầu tiên, TISAX có thời hạn 9 tháng để thực hiện các biện pháp khắc phục điểm chưa phù hợp được xác định trong cuộc đánh giá. Nếu các biện pháp đó không được thực hiện trong vòng 9 tháng, giai đoạn đăng ký Nhãn sẽ phải bắt đầu lại.

Ngoài ra, khi nói đến việc lựa chọn công ty Kiểm toán, TISAX có phần hạn chế so với ISO 27001. TISAX hiện mới chỉ có 14 Cơ quan Kiểm toán trên toàn thế giới.

ĐIỂM TƯƠNG ĐỒNG GIỮA TISAX VS ISO 27001

Trước hết, TISAX có nguồn gốc từ ISO 27001. Danh mục kiểm soát của TISAX bắt nguồn từ Phụ lục A của ISO 27001. Do đó, chúng ta có thể dễ dàng nói rằng ý tưởng chính và mục tiêu của hai tiêu chuẩn này là khá giống nhau. Thứ hai, bất kể công ty vượt qua cuộc kiểm toán nào thành công, các mức độ bảo mật thông tin sẽ gần như giống hệt nhau. Theo nghĩa này, cả nhãn TISAX hay chứng chỉ ISO 27001 đều ở đó để đảm bảo một tiêu chuẩn bảo mật thông tin cao được thiết lập.

Nếu bạn đã quen thuộc với vòng tròn ISO PDCA (Lập kế hoạch, Thực hiện, Kiểm tra, Hành động), TISAX cũng yêu cầu Quy trình cải tiến liên tục, trong đó các mục tiêu gần như tương tự. Quy trình cải tiến liên tục là rất quan trọng không chỉ đối với bảo mật thông tin mà còn đối với các quy trình khác của công ty.

----------------------------------------------------------------------------------------------------

Để biết thêm thông tin về Điểm giống và khác nhau giữa TISAX vs ISO 27001, Quý Doanh Nghiệp vui lòng liên hệ với KNA CERT theo số hotline: 093.2211.786 hoặc Email: salesmanager@knacert.com