TISAX
Komplexní zabezpečení vaší firmy s jistotou a přehledem
Pomáháme firmám zvládnout nové kyberbezpečnostní požadavky bez chaosu a s důrazem na skutečnou ochranu dat. S námi získáte jistotu, že vše bude v pořádku – technicky, právně i procesně.
TISAX - Standard pro automotive
Klíč k důvěryhodnosti v automobilovém průmyslu
Zajistíme, že vaše firma získá TISAX certifikaci a otevře si dveře ke spolupráci s významnými automobilkami a OEM.
Co je TISAX?
(Trusted Information Security Assessment Exchange)
Standard německého sdružení automobilového průmyslu (VDA)
Požadavek téměř všech velkých OEM a Tier 1 výrobců
Zaměření na důvěrnost, dostupnost a integritu informací
Výhody TISAX s námi?
Přímá zkušenost s přípravou na TISAX v automotive sektoru Technická i procesní stránka z jednoho místa Citlivý přístup k vašim provozním specifikům
Co pro vás zajistíme (technicky a procesně)
Úvodní analýza
Provedeme gap analýzu a zjistíme, co vaší organizaci chybí k naplnění požadavků TISAX.
Dokumentace a procesy
Pomůžeme vytvořit nebo aktualizovat potřebnou dokumentaci včetně ISMS, klasifikace informací a bezpečnostních postupů.
Technická opatření
Navrhneme a implementujeme bezpečnostní technologie jako firewally, zálohování, MDM nebo řízení přístupů.
Auditní příprava
Zajistíme vaši přípravu na audit TISAX a podpoříme vás během celého procesu registrace v systému ENX.
Často kladené dotazy (FAQ)
Co je TISAX a k čemu firmám v praxi slouži?
TISAX je standard posuzování informační bezpečnosti použivaný hlavně v automotive dodavatelském řetězci. Pomáhá prokázat, že máte zavedené procesy a opatření pro ochranu informací (včetně důvěrných dat a případně prototypů). V praxi zrychluje schvalování dodavatelů, protože misto opakovaných auditů od různých zákazníků máte jedno uznávané posouzení. Zároveň vám dá jasnou roadmapu, co zlepšit, aby bezpečnost nebyla na pocit", ale řízená. Pro obchod je to často vstupenka do tendrů a rámcových smluv.
Kdo TISAX vyžaduje a kdy se vás to typicky začne týkat?
Nejčastěji ho vyžadují automobilky (OEM) a velcí Tier-1/Tier-2 dodavatelé. Typicky se to objeví při onboardingu dodavatele, v RFP/ tendrech nebo při rozšiřování spolupráce na citlivější data.
Jaký je rozdíl mezi TISAX a ISO 27001 (a kdy dává smysl mit oboji)?
ISO 27001 je mezinárodní certifikace systému řízení bezpečnosti informací (ISMS) s formálním certifikačním auditem. TISAX je automotive-centrický rámec vycházející z VDA ISA, kde se hodnotí úroveň plnění požadavků podle cíle posouzení. ISO 27001 vám dává široce uznávaný certifikát napříč odvětvimi, TISAX je zase často konkrétní požadavek automotive zákazníků. V praxi se obojí dobře doplňuje: ISO nastaví systém a governance, TISAX pokryje očekávání automotive (včetně prototypů a specifických kontrol). Pokud jste čistě mimo automotive, TISAX často nedává smysl; pokud jste dodavatel pro automotive, bývá to naopak „must-have".
Jak dlouho trvá příprava na TISAX a co nejčastěji bývá největší překážka?
U menší firmy to může být klidně 4-12 týdnů, u složitějšího prostředí spíš 3-6 měsíců. Největší brzdy bývají nejasné odpovědnosti, chybějící evidence (politiky, záznamy), slabé řízení přístupů a nedotažené dodavatelské řízení.
Co přesně auditor v rámci TISAX hodnotí a jak vypadá výstup z posouzení?
Hodnotí se soubor kontrol a procesů podle VDA ISA - typicky governance, řízení rizik, přístupy, incidenty, kontinuita, dodavatelé, bezpečnost IT/OT a podle cíle i ochrana prototypů. Auditor ověřuje jak dokumentaci, tak reálnou praxi (nastavení, záznamy, důkazy). Výstupem je report a „maturity" pohled na splnění požadavků v daném rozsahu. Důležité je, že výsledky se sdílí přes TISAX platformu a zákazník si ověří, že jste posouzením prošli. Často z toho vznikne i velmi praktický seznam nálezů a doporučení.
Jaké jsou levely TISAX a který se vás týká?
Level se volí podle toho, jak citlivá data nebo aktivity máte (např. běžná důvěrná data vs. vysoce citlivé informace a prototypy). AL1 bývá spíš základní a méně častý u velkých automotive požadavků. AL2 je střední úroveň pro řadu dodavatelů. AL3 se používá, když jsou vysoké nároky na důvěrnost a bezpečnost (často u větších zákazníků, vývoje, prototypů, přístupu do interních systémů). Konkrétní požadovaný level vám většinou řekne zákazník v požadavcích nebo v dotazniku/rámci onboardingu.
