TISAX® - Trusted Information Security Assessment eXchange (Güvenilir Bilgi Güvenliği Değerlendirmesi Değişimi) TISAX®, Otomotiv sektöründe faaliyet gösteren ve hassas bilgiler işleyen kuruluşlar için ortak bir değerlendirme ve değişim prosedürüdür. Alman Otomotiv Endüstrisi Birliği (VDA) üye şirketleri tarafından tedarikçi ve hizmet denetimleri için kullanılan VDA "Bilgi Güvenliği" çalışma grubu tarafından geliştirilen bilgi güvenliği değerlendirmesine ( VDA ISA - Bilgi Güvenliği Değerlendirmesi) dayanmaktadır.
Buna ek olarak, TISAX® bilgi güvenliği için uluslararası kabul görmüş standart olan ISO 27001'in temel gereksinimlerine dayanmaktadır. Tüm endüstrilerde geçerlidir ve bilgi güvenliğini sağlamak için gereksinimleri, kuralları ve yöntemleri tanımlar. Gereksinimler, BT sistemlerinin ötesine geçerek ve binalar, güvenlik kontrolleri ve arşivler gibi korunmaya değer tüm kurumsal varlıkları içerir.
TISAX®, ENX Association'ın tescilli ticari markasıdır. ENX, 2000 yılında ENX'i kuran VDA da dahil olmak üzere, Avrupalı otomotiv üreticileri, tedarikçileri ve dört ulusal otomotiv derneğinin birliğidir. ENX Derneği denetim hizmeti sağlayıcılarına onay verir. Onaylı denetim hizmeti sağlayıcılar TISAX Audit Provider · ENX Portal adresinde listelemiştir . Değerlendirmelerin katılımcılar tarafından karşılıklı olarak tanınmasını sağlamak için ENX, tüm onaylı denetim hizmeti sağlayıcılarıyla ve TISAX® ağındaki katılımcılarla ile sözleşmeler yapar. Tüm katılımcılar arasında değerlendirme sonuçlarının ortak olarak tanınmasını sağlanır.
Değerlendirme Düzeyi Nedir?
TISAX®, gerekli korumaya bağlı olarak üç değerlendirme seviyesi (koruma gereksinimleri) sunmaktadır: normal (seviye 1), yüksek (seviye 2) ve çok yüksek (seviye 3).
Level 1: Genellikle yalnızca dahili amaçlar için, inandırıcılık kontrolü olmaksızın yapılan bir özdeğerlendirmedir. Bu değerlendirme sonuçları yalnızca sınırlı öneme sahiptir ve TISAX®'ta kullanılmaz.
Level 2: DQS gibi bir denetim hizmeti sağlayıcısı tarafından yapılan öz değerlendirmenizin doğruluk kontrolüdür. Bu, bilgi güvenliği denetimleri veya prototip koruma denetimi hedeflerinden biri geçerli olmadıkça veya siz açıkça talep etmedikçe, yerinde denetimler olarak değil, genellikle bir tele konferans/Uzaktan denetim yöntemi ile gerçekleştirilir.
Level 3: Derinlemesine, kapsamlı bir yerinde denetim yoluyla bir denetim hizmeti sağlayıcısı tarafından öz değerlendirmenizin kontrolü yapılır.
TISAX® üretim dışı şirketler için de şart mı?
Bu sorunun cevabı faaliyet içeriğine bağlıdır: TISAX®'i uygulamanız gerekip gerekmediği, OEM'inize (orijinal ekipman üreticisi) veya bilgi güvenliğine ilişkin kanıt sağlamanıza gerek olup olmadığına bağlıdır.
TISAX® içeriği ISO 27001'e benzer mi?
TISAX® değerlendirme kataloğu, uluslararası ISO 27001 standardından türetilmiştir ve burada tanımlanan "kontrollerden" (ölçülerden) yararlanır. İlgili gereksinimlerin nasıl uygulanabileceğini, süreçlerin nasıl sağlanacağını ve hangi araçların kullanılabileceğini tanımlarlar. İki standart arasındaki temel fark, TISAX® için belirli bir olgunluk düzeyi gerektirmesidir.
Halihazırda bir ISO 27001 sertifikasına sahip olmanın avantajları nelerdir?
TISAX® için, uygulanan bir bilgi güvenliği yönetimine sahip olduğunuzu göstermek önemli detaylardan biridir. Her iki standart için de benzer gereklilikler söz konusu olduğundan, ortak gereklilikleri zaten yerine getirdiğinizi gösterir.
ISO 9001'in "süreç tanımı" TISAX®'a benzer mi?
Bu sorunun cevabı evet ayrıca TISAX® değerlendirme kataloğu hangi kontrol KPI'larının belirlenmesi gerektiğini ve hangilerinin yapılmaması gerektiğini oldukça spesifik olarak belirtir.
Kuruluş bünyesinde TISAX®'ın uygulanmasında BT personelinin görev alması şart mıdır?
Sürecin yürütülmesinde görev alacak kişilerin BT departmanından gelmesi zorunlu değildir ancak BT destekli süreçler söz konusu olduğundan avantaj sağlayabilir.
TISAX® değerlendirme kapsamı nasıl tanımlanır?
ENX, tüm TISAX® katılımcılarının büyük çoğunluğu tarafından benimsenen standart bir kapsam sunar. Varsayılan kapsam önceden tanımlanmıştır ve değiştirilemez. Değerlendirmeniz için hazırlık yaparken standart kapsamın uymadığını tespit ederseniz, belirli koşullar altında denetimin kapsamını değiştirebilirsiniz. Özel durumlarda, OEM'ler genişletilmiş kapsamı talep edebilir. Ancak, bu durumlar nadirdir ve ilgili OEM tarafından sizinle ayrıntılı olarak bilgi paylaşılacaktır. Bu gibi özel durumlar haricinde, standart kapsam yeterlidir. TISAX® değerlendirmesinin temelidir ve tüm katılımcılar tarafından kabul edilir.
TISAX® denetim başvurusunun ENX üzerinden yapılması gerektiği ve ancak o zaman denetim sağlayıcısının seçilebileceği doğru mu?
Evet bu doğru. www.enx.com/tisax/ adresinde online kaydınızı yaptıktan ve değerlendirme kapsamının ENX tarafından onaylanmasından sonra, tüm onaylı değerlendirme hizmeti sağlayıcılarının bir listesini alacaksınız. Ancak listeyi önceden ENX'te de görüntüleyebilirsiniz.
Olgunluk seviyesi çok düşükse denetime girmek mantıklı mı?
Bir öz değerlendirmede, şirketinizin bilgi güvenliği açısından yapılması gereken iyileştirmeler olduğunu belirlerseniz, TISAX değerlendirme talebiniz bir anlam ifade etmeyebilir. Önce tespit edilen boşlukları kapatmanız ve ardından bir denetim düşünmeniz önerilir.
TISAX Denetimleri ne kadar sürer?
TISAX denetimlerinin süresi hakkındaki sorunun cevabı, şirketinizin büyüklüğüne ve sahalara yapılacak olan denetim seyahatleri ile ilgilidir. Ortalama büyüklükteki bir şirketin değerlendirme süreci için sahada 2-3 gün yeterlidir.
Bir şirketin sertifikalı olarak kabul edilmesi ne kadar sürer?
TISAX® denetim sürecinin tamamı en fazla dokuz ay sürebilir. İlk denetimle başlar ve son takip denetimiyle biter. Değerlendirme süreci belirtilen süre içerisinde tamamlanamazsa TISAX® etiketi alamazsınız.
TISAX® etiketleri nelerdir?
Etiketler, değerlendirme sürecinin sonucudur ve sonucunuzu özetler. Hiyerarşik olarak birbirlerine bağlıdırlar. Etiketler yalnızca ENX portalında görüntülenebilir. Geçerlilik süreleri genellikle üç yıldır.
Majör ve minör uygunsuzluklar nelerdir?
Majör uygunsuzluk, uygunsuzluğun bilgi güvenliği yönetim sisteminizin genel etkinliği hakkında şüphe uyandırması veya önemli bilgi güvenliği risklerine neden olmasıdır. Eğer, uygunsuzluk bilgi güvenliği yönetim sisteminizin genel etkinliğini sorgulamıyorsa veya otomotiv endüstrisinde bilgi güvenliği için önemli bir risk oluşturmuyorsa, Minör bir uygunsuzluk mevcuttur.
Çalışan sayısını "önceden" nasıl belirleyebilirim?
TISAX®'ın sınıflandırıldığı çalışan sayısı aralığı, uluslararası ISO 27001 standardına göre önemli ölçüde daha büyüktür. TISAX®, çalışan sayısını 0-50, 51-150 vb. aralıklar olarak sınıflandırır. Yani ileride yaklaşık olarak işe kaç kişinin alınabileceğini biliyorsanız, kendinizi rahatlıkla uygun bir aralığa yerleştirebilirsiniz.
TISAX®, VDA prototip korumasının yerini alacak mı?
TISAX®, bireysel kriterler hakkında daha önce olduğundan çok daha fazla ayrıntıya giren, prototip koruması için ayrı bir modül içerdiğinden, uzun vadede otomotiv sektöründe TISAX®'in geçmişteki bilgi güvenliği kurallarının yerini alacağı varsayılabilir. Ancak şu anda, 2018'den bu yana geçerli olan VDA prototip koruma sürümü 3.0 hala geçerlidir.