Bảo vệ quy trình kinh doanh và thông tin là nhiệm vụ cốt lõi của ban quản lý trong bất kỳ ngành nào. Những thách thức cụ thể đối với ngành công nghiệp ô tô là rõ ràng. Số hóa, Công nghiệp 4.0 và ngành sản xuất ô tô được kết nối với nhau dẫn đến các yêu cầu mới về bảo mật thông tin, bảo vệ dữ liệu và độ tin cậy của các giải pháp - đối với các nhà sản xuất ô tô cũng như cho các nhà cung cấp ô tô. Hãy cùng KNA CERT tìm hiểu Tiêu chuẩn TISAX về Hệ thống quản lý an toàn thông tin trong ngành ô tô.
TIÊU CHUẨN TISAX LÀ GÌ?
TISAX là viết tắt của Trusted Information Security Assessment Exchange, một cơ chế trao đổi thông tin thử nghiệm được điều hành bởi Hiệp hội ENX. Đây là một kế hoạch để ngăn chặn nhiều cuộc đánh giá An ninh mạng giữa Khách hàng, Nhà cung cấp và các bên kinh doanh với nhau. Đánh giá được phát triển bởi nhóm công tác An ninh Thông tin của Hiệp hội Công nghiệp Ô tô Đức (VDA1) đã mô tả các yêu cầu cơ bản về bảo mật thông tin trong danh mục VDA ISA2 (Đánh giá An toàn Thông tin) được sử dụng để đánh giá bảo mật trong chuỗi cung ứng ô tô.
Tiêu chuẩn TISAX được phát triển từ các chủ đề của ISO / IEC 27001: Yêu cầu về hệ thống quản lý an toàn thông tin và ISO / IEC 27002: Quy tắc thực hành về kiểm soát an toàn thông tin.
Ý NGHĨA CỦA TISAX (TISAX MEANING) - HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN TRONG NGÀNH Ô TÔ
- Cải thiện mối quan hệ giữa các nhà cung cấp hiện tại
- Cơ hội tạo ra các kết nối kinh doanh hoàn toàn mới được mở ra thông qua sự công nhận trong toàn ngành
- Tạo sự minh bạch về chi phí cho các đánh giá
- Tạo ra sự cạnh tranh giữa các nhà cung cấp dịch vụ chứng nhận
- Thiết lập một mức độ bảo mật thông tin chung trong ngành công nghiệp ô tô
- Cho phép công nhận chung các kết quả đánh giá
- Tiết kiệm chi phí và công sức cho các nhà sản xuất và nhà cung cấp trong chuỗi cung ứng ô tô
TIÊU CHUẨN TISAX PHÙ HỢP VỚI ĐỐI TƯỢNG NÀO?
TISAX là một cơ chế đánh giá và trao đổi về an toàn thông tin của doanh nghiệp trong chuỗi cung úng ô tô. TISAX cho phép công nhận kết quả đánh giá giữa các bên tham gia. Nếu bạn muốn giữ an toàn thông tin nhạy cảm từ khách hàng của mình hoặc đánh giá tính bảo mật thông tin của các nhà cung cấp riêng của bạn thì áp dụng tiêu chuẩn TISAX là điều cần thiết.
MỤC TIÊU ĐÁNH GIÁ TIÊU CHUẨN TISAX (TISAX ASSESSMENT OBJECTIVE)
Tiêu chuẩn TISAX về Hệ thống quản lý an toàn thông tin trong ngành ô tô đặt ra 10 mục tiêu đánh giá. Doanh nghiệp có thể chọn 1 hoặc nhiều mục tiêu đánh giá tùy thuộc vào tình hình cụ thể.
Mục tiêu đánh giá
|
Đối tượng phù hợp
|
Thông tin có nhu cầu bảo vệ cao
|
Bạn có thể xuất phát các nhu cầu bảo vệ (cao, rất cao) từ việc phân loại tài liệu của đối tác của bạn.
|
Thông tin có nhu cầu bảo vệ rất cao
|
Kết nối với các bên thứ 3 có nhu cầu bảo vệ cao
|
Nói chung, mục tiêu đánh giá này áp dụng khi bạn có vị trí riêng (chẳng hạn như văn phòng) trên cơ sở của đối tác và bạn truy cập các ứng dụng của đối tác thông qua kết nối mạng trực tiếp.
Việc sử dụng danh mục tiêu chí này giữa các OEM có thể được giải thích theo từng cá nhân. Do đó, chúng tôi không thể cung cấp thêm lời khuyên ở đây.
|
Kết nối với các bên thứ 3 với nhu cầu bảo vệ rất cao
|
Bảo vệ dữ liệu - Theo điều 28 (“Bộ xử lý”) của Quy định chung về bảo vệ dữ liệu của Châu Âu (GDPR)
|
Nếu bạn xử lý dữ liệu cá nhân với tư cách là bộ xử lý theo điều 28 của GDPR, bạn có thể phải chọn "Bảo vệ dữ liệu".
|
Bảo vệ dữ liệu với các danh mục dữ liệu cá nhân đặc biệt - Theo điều 28 (“Bộ xử lý”) với các danh mục dữ liệu cá nhân đặc biệt được nêu trong điều 9 của Quy định bảo vệ dữ liệu chung của Châu Âu (GDPR)
|
Nếu bạn xử lý các danh mục dữ liệu cá nhân đặc biệt (như sức khỏe hoặc tôn giáo) với tư cách là người xử lý theo điều 28 của GDPR, thì bạn có thể phải chọn “Bảo vệ dữ liệu bằng các danh mục dữ liệu cá nhân đặc biệt”.
|
Bảo vệ các bộ phận và thành phần nguyên mẫu
|
Đối với tất cả các công ty sản xuất, lưu trữ hoặc sử dụng các thành phần hoặc bộ phận do khách hàng cung cấp được phân loại là cần bảo vệ tại địa điểm của riêng họ.
Các yêu cầu về an ninh vật lý và an ninh khi xem xét khu vực xung quanh, các yêu cầu về tổ chức và các yêu cầu cụ thể để xử lý nguyên mẫu là một phần của đánh giá.
|
Bảo vệ xe nguyên mẫu
|
Đối với tất cả các công ty sản xuất, cửa hàng sử dụng phương tiện do khách hàng cung cấp được phân loại là cần bảo vệ tại địa điểm của riêng họ.
Các yêu cầu về an ninh vật lý và an ninh khi xem xét khu vực xung quanh (bao gồm cả sự tồn tại của nhà để xe và khu vực xưởng được bảo vệ), các yêu cầu về tổ chức và các yêu cầu cụ thể để xử lý nguyên mẫu là một phần của đánh giá.
Sau khi đánh giá thành công, bạn cũng sẽ tự động nhận được nhãn TISAX “Bảo vệ các bộ phận và thành phần nguyên mẫu”.
|
Xử lý các phương tiện thử nghiệm
|
Đối với tất cả các công ty tiến hành kiểm tra và lái thử (ví dụ: lái thử trên đường công cộng hoặc đường thử) với các phương tiện do khách hàng cung cấp được phân loại là cần bảo vệ.
Các yêu cầu về tổ chức, các yêu cầu cụ thể đối với việc xử lý nguyên mẫu bao gồm ngụy trang và xử lý phương tiện trong quá trình lái thử ở nơi công cộng và trên đường thử là một phần của đánh giá.
Các yêu cầu về an ninh vật lý và an ninh đối với khu vực xung quanh không nhất thiết phải là một phần của đánh giá. Nếu địa điểm của bạn được trang bị phù hợp, chúng tôi cũng khuyên bạn nên chọn mục tiêu đánh giá "Bảo vệ xe nguyên mẫu".
|
Bảo vệ nguyên mẫu trong các sự kiện và quay phim hoặc chụp ảnh
|
Đối với tất cả các công ty thực hiện các buổi thuyết trình hoặc sự kiện (ví dụ: nghiên cứu thị trường, sự kiện, sự kiện tiếp thị) và quay phim và chụp ảnh với các phương tiện, linh kiện hoặc bộ phận do khách hàng cung cấp được phân loại là cần bảo vệ.
Các yêu cầu về tổ chức và các yêu cầu cụ thể để xử lý các nguyên mẫu bao gồm. các yêu cầu về thuyết trình, sự kiện và quay phim và chụp ảnh trong các phòng được bảo vệ và nơi công cộng là một phần của đánh giá.
Các yêu cầu về an ninh vật lý và an ninh đối với khu vực xung quanh không nhất thiết phải là một phần của đánh giá. Nếu địa điểm của bạn được trang bị phù hợp, chúng tôi cũng khuyên bạn nên chọn mục tiêu đánh giá "Bảo vệ xe nguyên mẫu".
|
NHÃN TISAX (TISAX LABEL)
- Nhãn TISAX là gì?
Nhãn TISAX là một phần của báo cáo TISAX. Nó ghi nhãn những gì đã được đánh giá thành công bởi nhà cung cấp dịch vụ đánh giá. Bạn bắt đầu với "mục tiêu đánh giá" và nếu bạn vượt qua bài đánh giá, bạn sẽ nhận được "nhãn TISAX" tương ứng với mục tiêu đã chọn.
- Nhãn TISAX tạm thời và Nhãn TISAX vĩnh viễn
Nếu kết quả đánh giá tổng thể của bạn là "không phù hợp nhỏ", bạn sẽ nhận được nhãn TISAX tạm thời. Lợi ích của nhãn TISAX tạm thời là đối tác của bạn thường chấp nhận chúng với điều kiện sau này bạn sẽ nhận được nhãn TISAX vĩnh viễn. Điều này có thể giúp ích cho bạn nếu việc chứng minh tính hiệu quả của hệ thống quản lý bảo mật thông tin đối với đối tác của bạn là cấp thiết. Điều kiện tiên quyết đối với nhãn TISAX tạm thời là một báo cáo đánh giá kế hoạch hành động khắc phục với kết quả đánh giá tổng thể là “sự không phù hợp nhỏ”.
Về thời hạn hiệu lực, nhãn TISAX tạm thời:
- Hết hạn sau 9 tháng sau cuộc họp kết thúc đánh giá ban đầu.
- Có giá trị cho đến khi tất cả các lỗi không phù hợp được giải quyết. (Điều này được thiết lập trong đánh giá tiếp theo và được ghi lại trong báo cáo đánh giá tiếp theo.)
- Không thể gia hạn.
Xin lưu ý: “Đánh giá kế hoạch hành động khắc phục” là tùy chọn. Bạn có thể tiếp tục đánh giá tiếp theo nếu bạn: Không cần nhãn TISAX tạm thời và tự tin thực hiện bất kỳ hành động khắc phục nào mà không cần nhà cung cấp dịch vụ kiểm toán của bạn chấp thuận kế hoạch của bạn
Khi bạn đã hoàn thành tất cả các hành động khắc phục, bạn nên yêu cầu “đánh giá tiếp theo”.
- Sự khác biệt giữa mục tiêu đánh giá và nhãn TISAX là gì?
"Mục tiêu đánh giá" và "nhãn TISAX" gần như giống nhau. Sự khác biệt là bạn bắt đầu vào quá trình đánh giá với "mục tiêu đánh giá" và nếu bạn vượt qua đánh giá, bạn sẽ nhận được "nhãn TISAX" tương ứng. Ví dụ: Đối tác kinh doanh của bạn yêu cầu bạn lấy nhãn TISAX "Thông tin có mức độ bảo vệ cao". Sau đó, bạn chọn "Thông tin có mức độ bảo vệ cao" làm mục tiêu đánh giá của mình.
YÊU CẦU CỦA TISAX (TISAX REQUIREMENTS)
Để được chứng nhận TISAX, các tổ chức phải đáp ứng các yêu cầu đặt ra bởi danh mục đánh giá VDA ISA, bao gồm ba mô-đun:
- Bảo mật thông tin
- Bảo vệ nguyên mẫu và
- Bảo vệ dữ liệu
Trong đó, bảo mật thông tin là mô-đun chính sẽ được đánh giá trong mọi trường hợp.
CẤP ĐỘ TISAX (TISAX LEVELS)
- TISAX Level 1 - Đánh giá cấp độ 1 - Thấp
TISAX Cấp độ 1 dành cho các công ty có yêu cầu bảo vệ tiêu chuẩn. Bên được đánh giá thực hiện tự đánh giá dựa trên bảng câu hỏi VDA ISA. Tuy nhiên, việc tự đánh giá này không được kiểm toán và không được tính là chứng nhận TISAX.
- TISAX Level 2 - Đánh giá cấp độ 2 – Cao
TISAX cấp độ 2 dành cho các công ty có nhu cầu bảo vệ cấp độ cao. Bên được đánh giá thực hiện tự đánh giá dựa trên danh mục VDA ISA. Sau cuộc phỏng vấn mở đầu, nhà cung cấp dịch vụ đánh giá kiểm tra tính hợp lý của việc tự đánh giá này và liệu tất cả các tài liệu hỗ trợ đã được nộp đầy đủ hay chưa. Bài đánh giá Cấp độ 2 thực tế được thực hiện dưới hình thức phỏng vấn qua điện thoại. Nếu bảo vệ nguyên mẫu và / hoặc kết nối của bên thứ ba cũng là một phần của đánh giá, thì đánh giá sẽ diễn ra tại chỗ.
- TISAX Level 3 - Đánh giá cấp độ 3 - Rất cao
TISAX Cấp độ 3 dành cho các công ty có yêu cầu bảo vệ cấp độ rất cao. Quy trình này giống như đối với đánh giá Cấp độ 2 (đánh giá viên tự đánh giá, tính hợp lý và kiểm tra tài liệu), ngoại trừ việc đánh giá luôn được thực hiện tại chỗ. Tính hiệu quả và mức độ trưởng thành của ISMS được xác minh thông qua các cuộc phỏng vấn tại chỗ và bằng cách thực hiện các chuyến kiểm tra các khu vực và cơ sở quan trọng.
CHỨNG NHẬN TISAX CÓ HIỆU LỰC BAO LÂU?
Chứng nhận TISAX có hiệu lực 03 (ba) năm với điều kiện không quá 9 tháng có thể trôi qua giữa lần kiểm tra đầu tiên (diễn ra sau quá trình tự đánh giá) và kết quả kiểm toán tuân thủ TISAX cuối cùng.
----------------------------------------------------------------------------------------------------
Trên đây KNA đã giới thiệu về Tiêu chuẩn TISAX – Hệ thống quản lý an toàn thông tin trong ngành ô tô. Nếu doanh nghiệp có nhu cầu đánh giá TISAX vui lòng liên hệ với KNA CERT theo số hotline: 093.2211.786 hoặc Email: salesmanager@knacert.com