Informatiebeveiliging in de automotive supply chain

TISAX® staat voor Trusted Information Security Assessment Exchange. TISAX® maakt wederzijdse acceptatie van informatiebeveiligingsbeoordelingen in de auto-industrie mogelijk en biedt een gemeenschappelijk beoordelings- en uitwisselingsmechanisme dat zorgt voor het veilig delen van gevoelige informatie met partnerbedrijven, om vertrouwen te wekken in de hele toeleveringsketen van de auto-industrie.

TISAX® is opgericht door VDA (de Duitse vereniging van de auto-industrie) en wordt beheerd door ENX Association, die de status van BSI als door TISAX® goedgekeurde auditprovider heeft beoordeeld en bevestigd.

TISAX® is ontwikkeld door beveiligingsexperts in de auto-industrie en gebaseerd op internationale informatiebeveiligingsbeheersystemen (ISMS) zoals ISO/IEC 27001. Deze catalogus wordt de Information Security Assessment (ISA) genoemd en vormt de basis van de beoordeling die door BSI als erkende TISAX®-auditprovider wordt uitgevoerd.

Het TISAX label is een bewijs van de naleving van informatiebeveligingsvereisten door bedrijven die werkzaam zijn in de automobielbranche en wordt steeds meer erkend en soms vereist door de Original Equipment Manufacturers (OEM's). TISAX garandeert zo de informatiebeveiliging van de hele toeleveringsketen in de automobielbranche.

Er zijn momenteel meer dan 3.000 TISAX®-deelnemers (OEM's en TISAX®-gecertificeerde leveranciers) op bijna 6.000 geregistreerde locaties wereldwijd. Dit omvat een reeks organisaties die met OEM's werken, van leveranciers van voertuigcomponenten tot leveranciers van technologiediensten en meer.

Het is van vitaal belang dat organisaties met regelmatige tussenpozen aan klanten bewijzen dat ze voldoen aan gestandaardiseerde en specifieke eisen op het gebied van informatiebeveiliging. Zowel TISAX® als ISO/IEC 27001 ondersteunen deze doelstelling.

TISAX® sluit nauw aan bij ISO/IEC 27001, maar heeft enkele aanvullende specifieke vereisten voor de auto-industrie, met name gericht op de toeleveringsketen. Bijvoorbeeld de uitwisseling van ontwerpgegevens in ontwikkelprocessen en geautomatiseerde gegevensuitwisseling tussen genetwerkte productiesystemen. Daarnaast worden de beschikbaarheid en betrouwbaarheid van de productie specifieker aangepakt door middel van TISAX®-beoordelingen.

In de ISA wordt verwezen naar ISO/IEC 27001-clausules, zodat bedrijven het beveiligingsbeheer in de toeleveringsketen gemakkelijk kunnen afstemmen op elk ISO/IEC 27001-informatiebeveiligingsbeheersysteem dat binnen hun organisatie wordt gebruikt.

1. TISAX®-registratie: de klant registreert zich in de ENX-portal, met vermelding van de scope van het assessment.
2. TISAX® assessment: de klant doorloopt de assessments, uitgevoerd door een TISAX® assessment provider, d.w.z. BSI.
3. TISAX®-label: na succesvolle afronding van de beoordeling verstrekt ENX het TISAX®-label, waardoor de beoordeelde organisatie dit kan delen met alle TISAX®-deelnemers of geselecteerde zakenpartners.

Er zijn 3 TISAX® beoordelingsniveaus, zoals hieronder beschreven. U selecteert het juiste niveau in de registratiefase.

• AL 1: Zelfbeoordeling
• AL 2: Plausibiliteitscontrole van zelfbeoordeling, beperkt tot evaluatie van bewijzen en een interview met deskundigen
• AL 3: Volledig assessment inclusief evaluatie van bewijsmateriaal, inspectie ter plaatse en interviews met deskundigen.

TISAX® is het merkeigendom van ENX Association. BSI is formeel erkend door ENX Association om TISAX®-auditbeoordelingen uit te voeren.