Dodavatelé a také poskytovatelé služeb v automobilovém sektoru často zpracovávají velmi citlivé informace, které si vyměňují s výrobci během všech fází vývoje produktu. Právě proto se od zainteresovaných stran vyžaduje, aby zajistily vysokou úroveň informační a kybernetické bezpečnosti. Výrobci v automobilovém průmyslu, sdružení v asociaci VDA a asociaci ENX spustili v roce 2017 projekt TISAX pro hodnocení informační bezpečnosti v automobilovém průmyslu. TÜV SÜD Czech patří mezi první společnosti, které známku TISAX obdržely a zároveň jsou zapojeny do auditování podle tohoto standardu.
Jak v podstatě TISAX funguje a v důsledku chrání?
Známka TISAX je zaměřena na posouzení nastavených pravidel pro výměnu důvěrných informací mezi firmami dodávajícími do automobilního průmyslu a uchovávání informací v těchto firmách. Proto i cíle tohoto hodnocení jsou vždy informace od nebo pro zákazníka z automobilového průmyslu. Navíc v tomto hodnocení se sleduje úroveň ochrany informací, takže zákazníci musejí svým dodavatelům specifikovat požadovanou úroveň ochrany a tím i úroveň hodnocení. V současné době existují tři úrovně posuzování, a to AL1 – AL3.
Známku TISAX jste obdrželi ve dvou provozovnách v Bezděčíně, kde je centrum bezpečnosti a elekroniky, a v Roztokách, kde jste zřídili zkušebnu motorových emisí. Můžete uvést konkrétně příklady ochrany v těchto provozovnách?
V těchto provozovnách byl vytvořen systém řízení bezpečnosti informací, který upřesňuje klasifikaci informací, jež se v naší společnosti používají. Byly tak nastaveny zóny pro pohyb pracovníků a návštěv. V technologické části došlo k úpravám na informačních systémech, nastavení komunikačních kanálů a používaných prostředků, a to jak počítačů, notebooků, ale i vyměnitelných médií nebo záznamových zařízení. V oblastech pohybu prototypů byla změněna pravidla pro jejich manipulaci, zakrytí a evidenci. A v neposlední řadě probíhají pravidelná školení všech pracovníků i spolupracujících osob nebo firem tak, aby bylo udrženo povědomí o všech existujících pravidlech. Tento systém doplňuje celofiremní systém řízení.
V čem je tento systém hodnocení rozdílný či nový oproti předchozím standardům ISO?
Projekt TISAX je kombinací několika standardů. Je postaven na vybraných požadavcích a opatřeních normy ISO/IEC 27001, která je základním standardem pro systémy řízení bezpečnosti informací, a dalších doplňujících požadavků standardu ISO/IEC 27017 pro použití cloudu a požadavků, které vycházejí z pravidel hlavních automobilek, jako je například VW.
Jak české firmy k certifikaci přistupují? Nastala už doba, kdy výrobci od dodavatelů či partnerů TISAX vyžadují jako standard při spolupráci?
Koneční zákazníci OEM, automobilky, začali vyžadovat registraci v systému TISAX, dokončení hodnocení a získání známky TISAX pro určitý úroveň hodnocení. Tento požadavek doputoval i k českým firmám dodávajících do automobilního průmyslu, které působí jako dodavatelé TIER 1 až N. Chápou, že tento požadavek je jeden z těch, které jsou v rámci smluvního vztahu nutné splnit. Známka TISAX je například podmínkou připojení do datových sítí výrobců.
Kolika firmám již byla známka TISAX udělena?
Na webových stránkách ENX může registrovaný TISAX partner nyní vidět přes 1500 provozoven přibližně 300 dodavatelů, kteří již absolvovali hodnocení platné na tři roky a je následně obnovitelné. Společnost TÜV SÜD Management Service GmbH je také mezi akreditovanými poskytovateli auditu a již má za sebou řadu hodnocení ve střední a východní Evropě.
V oblasti informatiky a technologií se situace poměrně rychle mění. Počítá s vývojem i TISAX?
Ano, standard TISAX se průběžně vyvíjí na základě zkušeností z auditů, ale i vývoje technologií nebo potřeb automobilního průmyslu. V současnosti je dostupná na portálu VDA aktuální verze VDA ISA dotazníku v.4.1.1, který slouží firmám pro přípravu, sebehodnocení, ale i vlastní provedení auditu TISAX.
ČLÁNKY DO MAILU