Standard TISAX – jak zbudować wiarygodność firmy działającej w branży motoryzacyjnej?

Prowadzisz firmę motoryzacyjną lub świadczysz usługi dla branży automotive? Z pewnością wciąż szukasz sposobów, by poszerzysz bazę swoich krajowych klientów, a może nawet wkroczyć na światowe rynki. Wiesz także, że działasz w niezwykle konkurencyjnym sektorze. By przykuć uwagę potencjalnych kontrahentów, nie wystarczy zaproponować im wysokiej klasy produktu. W dzisiejszych czasach na wizerunek marki wpływa jakość wszystkich zachodzących w firmie procesów. Niezwykłą wagę przykłada się do bezpieczeństwa informacji – szczególnie istotnego w branży motoryzacyjnej, gdzie nieustannie wymienia się ogromną ilość danych, które mogą zaważyć na sukcesie wprowadzanych na rynek pojazdów.

Czemu służy udział w programie TISAX?

Przemysł motoryzacyjny w znacznym stopniu opiera się na know-how, a ochrona tej wiedzy jest dużym wyzwaniem ze względu na rozbudowany łańcuch dostaw. Czołowi producenci każdego roku wprowadzają na rynek kilka nowych modeli samochodów, prześcigając się w stosowaniu coraz bardziej innowacyjnych rozwiązań. Kluczem do sukcesu sprzedaży jest np. zachowanie poufności procesów technologicznych czy tajemnicy wzorów prototypów przed oficjalną premierą pojazdu. Dlatego kwestia bezpieczeństwa informacji stała się jednym z najważniejszych kryteriów doboru partnerów biznesowych. Wiarygodni są tylko ci, którzy mogą wykazać, że zachodzące w ich przedsiębiorstwie procesy są zgodne z najwyższymi standardami ochrony danych.

Nowoczesne firmy zazwyczaj odpowiedzialnie zarządzają takimi obszarami swojej działalności, jak jakość usług czy poufność danych. Jednak przez wiele lat w branży automotive brakowało wspólnego systemu, który z jednej strony pozwoliłby na uzgodnienie standardów bezpieczeństwa, a z drugiej – oszczędziłby obu stronom biznesowych relacji czasochłonnych i kosztownych audytów. TISAX (ang. Trusted Information Security Assessment Exchange) to właśnie takie ujednolicone narzędzie służące ocenie bezpieczeństwa informacji. Przedsiębiorstwo, które przystąpi do tego programu i uzyska prawo do posługiwania się honorowanym na całym świecie znakiem TISAX, zyskuje status wiarygodnego partnera, który może sprostać oczekiwaniom aktualnych i potencjalnych klientów. Trudno o lepszą reklamę własnej marki!

Co to jest TISAX i jak doszło do jego powstania?

TISAX to narzędzie pozwalające na weryfikację skuteczności systemów ochrony danych w firmach związanych z branżą motoryzacyjną, a zarazem międzynarodowy standard zarządzania bezpieczeństwem tych informacji. Ściśle określa procesy służące zachowaniu pożądanego stopnia poufności oraz zawiera wskazówki, które pozwalają na ich wdrożenie w określonego typu przedsiębiorstwie. Twórcą TISAX jest VDA (Niemieckie Stowarzyszenie Branży Motoryzacyjnej), które problematyką bezpieczeństwa danych zajmuje się od lat. Zrzesza producentów takich marek, jak BMW, Mercedes-Benz, Audi, Opel, Ford, Volkswagen, oraz setki innych przedsiębiorstw. W 2017 roku Stowarzyszenie opublikowało VDA ISA (Information Security Assessment) – Standard Oceny Bezpieczeństwa informacji oparty o normę ISO 27001, ale rozszerzający ją o kwestie specyficzne dla sektora motoryzacyjnego. Lista kontrolna VDA ISA stała się podstawą modelu TISAX. Platformę wymiany informacji pomiędzy uczestnikami stanowi portal www.enx.com, zarządzany przez niezależne stowarzyszenie ENX (European Network Exchange), które monitoruje jakość wykonanych audytów i ich wyniki. 

Jednolite standardy bezpieczeństwa informacji oraz platforma, za pośrednictwem której można zweryfikować wiarygodność potencjalnego partnera w tym zakresie (lub – będąc stroną, która chce dowieść swojej wiarygodności – z łatwością ją wykazać), znacznie uprościły i przyspieszyły procedury służące ocenie ryzyka związanego z bezpieczeństwem informacji. Nim powstał model TISAX, firmy działały w oparciu o własne listy kontrolne, a podjęcie każdej współpracy wiązało się z długotrwałym i kosztownym procesem audytu. Dla zleceniodawcy mogło to oznaczać np. opóźnienie w realizacji dostaw. Kontrolowany podmiot zaś musiał nieustannie dowodzić swojej rzetelności w zakresie ochrony danych, niejednokrotnie stając przed koniecznością spełnienia sprzecznych wymagań dwóch kontrahentów. Dzięki uczestnictwie w programie TISAX weryfikacja potencjalnego partnera może sprowadzać się do wglądu w jego ocenę na platformie ENX. Członkowie TISAX wzajemnie honorują te oceny, a działanie w ramach ujednoliconego standardu ochrony danych znosi potrzebę dodatkowych audytów.

Kto może odnieść korzyści z uczestnictwa w TISAX?

Program TISAX pierwotnie zaadresowany został do przedstawicieli branży automotive, np.:

• producentów pojazdów,
• producentów podzespołów i części samochodowych, 
• producentów materiałów eksploatacyjnych,
• producentów oprogramowania,
• serwisów samochodowych.

Szybko jednak okazało się, że znajduje on praktyczne zastosowanie w przypadku wszystkich podmiotów współpracujących z sektorem motoryzacyjnym, w szczególności:

• hurtowni i sieci sprzedaży detalicznej, 
• firm transportowych i spedycyjnych,
• dostawców usług informatycznych,
• firm prowadzących szkolenia branżowe,
• agencji realizujących kampanie promocyjne.

TISAX to elastyczne narzędzie, oferujące zróżnicowane kryteria oceny w zależności od:

• charakteru i ilości przetwarzanych informacji (małe firmy nie muszą spełnić tak wysokich wymogów jak te, przez które przepływa wiele poufnych danych),
• dojrzałości przedsiębiorstwa w zakresie zarządzania bezpieczeństwem (niezależnie od jej stopnia, firmy mogą przystąpić do programu i doskonalić się w jego ramach).

Dlatego do programu przystąpić może każda firma związana z branżą automotive, zainteresowana rozwojem swojej działalności.

Uczestnictwo w TISAX może mieć charakter bierny lub czynny. W pierwszym przypadku przynależność do programu umożliwia wnioskowanie o poddanie ocenie innej firmy (lub o dostęp do wyników dokonanej już oceny standardów bezpieczeństwa), a tym samym uzyskanie kluczowych informacji ułatwiających wybór odpowiedniego dostawcy. Uczestnicy aktywni mogą zaś (na wniosek potencjalnego kontrahenta lub z własnej inicjatywy) poddać się audytowi na zgodność VDA ISA. Po jego pozytywnym przejściu zyskują prawo do posługiwania się znakiem TISAX. Dla zleceniodawców jest on potwierdzeniem, że firma zarządza bezpieczeństwem informacji w zgodzie z najwyższymi standardami i można nawiązać z nią współpracę bez dodatkowej kontroli.

Zakres standardu TISAX a norma ISO 27001

Czy firmy posiadające certyfikat ISO 27001 muszą przystępować do TISAX, skoro wdrożyły międzynarodowy standard zarządzania bezpieczeństwem informacji? Choć uczestnictwo w programie jest dobrowolne, w praktyce wszystkie większe przedsiębiorstwa w branży automotive oczekują od swoich partnerów udokumentowanej zgodności z VDA ISA, którą najłatwiej potwierdzić poprzez uczestnictwo w TISAX. Przewaga TISAX nad ISO 27001 polega na tym właśnie, że pierwszy z nich umożliwia wzajemną wymianą wyników audytów. Certyfikacja ISO 27001 znacząco ułatwia wprowadzenie standardów zgodnych z wymaganiami VDA ISA, ale sama w sobie nie stanowi gwarancji, że określony podmiot oferuje dostatecznie wysoki poziom bezpieczeństwa danych. Nie zapewnia też wiarygodności w oczach wszystkich potencjalnych partnerów z sektora motoryzacyjnego.

Standard ochrony informacji, który stał się podstawą systemu TISAX, pokrywa się z normą ISO 27001, ale rozszerza ją o kwestie szczególnie istotne dla branży automotive, w obszarze takich zagadnień, jak:

• identyfikacja i monitorowanie stref bezpieczeństwa (np. regulacje dotyczące przyjmowania gości),
• dostawa mediów (energii elektrycznej, połączeń telekomunikacyjnych itp.),
• klasyfikacja informacji w odniesieniu do ich poufności,
• określanie i monitorowanie wskaźników KPI w procesach dotyczących bezpieczeństwa informacji,
• szyfrowanie baz danych i stosowanie rozwiązań chmurowych do ich przechowywania.

Wiele uwagi poświęcono – nieobecnej w ISO 27001 – kwestii fizycznego bezpieczeństwa prototypów, np. zabezpieczenia budynku firmy i jego otoczenia. Przystępując do TISAX trzeba także spełnić dodatkowe wymagania dotyczące ochrony danych osobowych i połączeń z osobami trzecimi.

Jakie są korzyści z wdrożenia standardu TISAX?

Jak łatwo wywnioskować z przedstawionego opisu programu TISAX, decydując się na przystąpienie do niego, twoja firma odniesie szereg istotnych korzyści. Przede wszystkim spełni jeden z najistotniejszych warunków współpracy z koncernami motoryzacyjnymi, tym samym zyskując przewagę konkurencyjną nad przedsiębiorstwami, które nie mają prawa do posługiwania się znakiem TISAX. Dowodząc dojrzałości swojej organizacji w zakresie ochrony danych, wpłyniesz pozytywnie na jej pozycję na rynku oraz opinię – aktualnych i potencjalnych – partnerów biznesowych, klientów, pracowników. Spełnisz także wymogi prawa dotyczące zarządzania danymi, a tym samym zyskasz zaufanie organów kontroli.

Wdrożenie standardu TISAX będzie miało bezpośredni wpływ na jakość funkcjonowania twojej firmy i jej rentowność. Posiadanie sprawnego, jednolitego dla całej branży motoryzacyjnej, systemu zarządzania bezpieczeństwem danych oznacza bowiem:

• zminimalizowanie ryzyka w tym obszarze działalności,
• zminimalizowanie kosztów związanych z ponoszonym ryzykiem,
• lepszą komunikację z innymi podmiotami w łańcuchu dostaw,
• wyższą efektywność w zaspokajaniu potrzeb klientów,
• możliwość szybszego nawiązania współpracy z nowymi kontrahentami,
• możliwość łatwej oceny bezpieczeństwa współpracy z własnymi dostawcami.

Jak przebiega wdrożenie standardu TISAX?

Jeśli twoja firma zdecyduje się przystąpić do TISAX, czeka ją kilkustopniowa ścieżka standaryzacji.

1. Dostosowanie systemu zarządzania bezpieczeństwem informacji do wytycznych zawartych w VDA ISA, co pozwoli na bezproblemowe przejście przez kolejne etapy. Przy tym kroku warto skorzystać ze wsparcia eksperta w zakresie wdrożeń TISAX.
2. Rejestracja na platformie ENX z wykorzystaniem dostępnego on-line formularza. Ten etap wiąże się z podaniem szeregu informacji o firmie.
3. Wybór celu oceny spośród wskazanych, który służy określeniu poziomu wymagań, jakie musi spełnić dany podmiot.
4. Dokonanie samooceny (z użyciem narzędzi dostępnych na platformie TISAX) dojrzałości własnego systemu zarządzania bezpieczeństwem informacji.
5. Jeśli to konieczne – wprowadzenie niezbędnych korekt w firmowym systemie zarządzania bezpieczeństwem informacji.
6. Audyt wykonany przez jednostkę akredytowaną przez TISAX, służący ocenie faktycznej zgodności systemu zarządzania bezpieczeństwem informacji z VDA ISA.
7. Jeśli to konieczne – wdrożenie działań naprawczych, służących usunięciu wszelkich niezgodności (np. przeszkolenie personelu).
8. Ocena punktowa, na podstawie której firma na 3 lata uzyskuje prawo do posługiwania się znakiem TISAX (o ile żadne spośród istotnych parametrów nie ulegną w tym czasie zmianie).
9. Opublikowanie na platformie ENX wybranych części oceny tak, by były dostępne dla wszystkich uczestników TISAX lub konkretnych odbiorców. 

Czas wdrożenia zależny jest od wielu czynników – nie tylko od dojrzałości systemu zarządzania bezpieczeństwem informacji, ale też np. od wielkości firmy czy specyfiki jej działalności. Musisz także liczyć się z możliwymi kosztami związanymi z dostosowaniem aktualnych standardów bezpieczeństwa danych do wymogów TISAX. Jeśli jednak planujesz rozszerzać swoją działalność, proces ten jest niezbędny nie tylko ze względów wizerunkowych. Stanowi konieczny warunek pozyskania poważnych kontrahentów i działania na międzynarodowych rynkach.