TISAX Danışmanlığı
TISAX Danışmanlığı hizmetlerimiz ile ilgili bilgileri bu makalede sizlerle paylaşmadan önce TISAX ile ilgili bilgilendirmelere yer vereceğiz. Bunların dışında TISAX ile ilgili sıkça sorulan sorular ile ilgili cevaplar da makalemiz içerisinde yer alacaktır. Otomotiv endüstrisinde bilgi güvenliği önemli bir başarı faktörüdür. Otomotiv sektöründe geliştirme süreçlerinde tasarım verilerinin değişimi, üretim süreçlerinin işlevsel güvenliği, ağa bağlı üretim sistemleri arasında otomatik veri alışverişi ve ayrıca üretimin kullanılabilirliği ve güvenilirliği için önemlidir. Otomotivde hizmet veren bir şirket, müşterilerine bilgi güvenliğiyle ilgili standartlaştırılmış ve özel gerekliliklere uygun olup olmadığını belirli periyotlarda kanıtlamalıdır.
TISAX Nedir?
TISAX, Alman Otomotiv Endüstrisi Birliği (VDA) tarafından geliştirilen Bilgi Güvenliği Değerlendirme (ISA) kriterlerini baz alarak, otomotiv sektörüne spesifik olarak hazırlanmış olan bir değerlendirme ve değişim mekanizmasıdır.
Müşterilerinizden gelen hassas bilgileri işlemek veya kendi tedarikçilerinizin bilgi güvenliğini değerlendirmek istiyorsanız, TISAX çabalarınızı azaltmanız için size destek olur.
TISAX ANA ÖZELLİKLERİ
Göz Seviyesinde Kullanım
Her katılımcı (firma), sonuçların kime (müşteri, tedarikçi vb.) ve ne derece ayrıntıyla açıklanacağına kendisi karar verir. Aynı zamanda, katılımcı firma kendi sonuçlarını kendi risk yönetimi için de kullanabilir.
Tanıma
TISAX değerlendirmelerinin tanınması ve bunların üç yıllık düzenli geçerliliği, bunun yanı sıra tekrarlanan değerlendirmeleri önlemeye yardımcı olması. TISAX Değerlendirmesi sonucu alınan onaylar 3 yıl içerisinde hizmet sağlayıcı firmalar tarafından tekrar değerlendirilmektedir.
Standartlaştırılmış değişim mekanizması
Merkezi değişim süreçleri tek tip bilgi güvenliği kanıtı sağlar.
Serbest denetim sağlayıcısı seçimi
TISAX, denetim sağlayıcıları arasında rekabet yaratır ve TISAX katılımcıları arasında değerlendirme sonuçlarının ortak olarak tanınmasına izin verir. Makalenin son kısmında Sıkça Sorulan Sorular bölümünde ilgili denetim sağlayıcılara nasıl erişeceğinizin bilgisi paylaşılmıştır.
TISAX Değerlendirme Mekanizması
VDA Bilgi Güvenliği Değerlendirmesi (VDA ISA), ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardını temel alan bir gereksinim kataloğudur. Şirketler tarafından hem dahili amaçlar hem de hassas bilgileri işleyen tedarikçiler ve hizmet sağlayıcılar tarafından yapılan değerlendirmeler için kullanılır.
3 ana başlıkta değerlendirme kriterleri ele alınmaktadır. Bunlar;
- Bilgi Güvenliği (Information Security)
- Prototip Güvenliği (Prototype Security)
- Veri Koruma (Data Protection)’dır.
TISAX’ın Avantajları ve Faydaları Nelerdir?
- Sektör Spesifik olması (Tüm ölçütlerin yalnızca otomotiv sektörüne özel olması)
- Değerlendirme mekanizmasının belirlenmiş ve ölçülebilir olması
- Yeni iş bağlantıları oluşturma ve sektörde prestij sahibi olma fırsatı sağlar.
- Denetim Sağlayıcıların ENX Tarafından belirleniyor olması
- Denetim sonuçlarının karşılaştırılabilir ve anlamlı sonuçlar içeriyor olması
- Sürekli iyileştirmeyi destekliyor olması
- Müşteri tarafından güven telkin etmesi
- Büyük otomotiv üreticileri tarafından destekleniyor olması şeklinde başlıca faydalarını sıralayabiliriz.
TISAX Danışmanlığı Kapsamında Neler Yapılır?
TISAX Danışmanlığı kapsamında aşağıdaki çalışmalara yer vermekteyiz.
Boşluk Analizi
Firmanın mevcut yapısının teknik alt yapısı, teknolojik yapısı, dokümantasyonu vb. incelenerek mevcut durum raporunun çıkarıldığı aşamadır.
Ekiplerin Oluşturulması
VDA ISA içerisindeki şartların sağlanmasına ilişkin ekiplerin şirket içerisinde oluşturulması ve görevlendirmelerin belirlenmesi.
Eğitim
Kuruluş içerisinde VDA ISA ve ISO/IEC 27001 Temel Eğitimlerinin verilmesi.
Dokümantasyon, Süreçlerin Belirlenmesi ve VDA ISA Formunun Doldurulması
ENX portalı üzerinde yayınlı olan son versiyona göre VDA ISA dokümanının kuruluş ile beraber doldurulması
Süreçlerin Belirlenmesi ve Eksik olan dokümantasyonların tamamlanması.
Anahtar Performans Göstergelerinin (KPI) Belirlenmesi
VDA ISA içerisinde bulunan KPI sekmesine ilişkin kuruluş içerisindeki anahtar performans göstergelerinin belirlenmesi ve bunların sürekli olarak uygulanabilir halde tutulmasının sağlanması.
Denetim
Gerçekleştirilen faaliyetlerin etkinliğinin gözden geçirilmesi.
Belgelendirme
Uygun Denetim Sağlayıcı firmanın bulunması ve belgelendirme başvurusunun yapılması.
TISAX Danışmanlığı hizmetlerimiz ile bilgi almak için info@bekdanismanlik.com.tr veya iletişim adresimizden bizlerle iletişime geçebilirsiniz.
Sıkça Sorulan Sorular (FAQ)
Bunun için aşağıdaki 4 maddeyi ele alabiliriz.
– TISAX Platformuna kayıt olmak. – https://portal.enx.com adresi üzerinden kayıt işleminizi gerçekleştirebilirsiniz.
– https://portal.enx.com/en-US/tisax/xap/ üzerinden bir denetim sağlayıcı firma seçmek.
– TISAX Kapsamında oluşturmuş olduğunuz dokümanların ve yerinde değerlendirmelerin yapılması.
Denetime giren firmanın açık olarak yetkisi ile diğer seçilmiş TISAX firmaları ile denetim sonuçlarının paylaşılması.
https://portal.enx.com/en-US/tisax/xap/ Linki üzerinden TISAX denetimini yapabilecek firmaları Ülke ülke görebilirsiniz
BMW, Audi, Volkswagen gibi VDA üyeleri ve OEM’ler tarafından tanınmaktadır.
ENX
ENX Derneği kriterler çerçevesini korur (“TISAX ACAR”)Denetim sağlayıcılarını onaylar ve değerlendirme sonuçlarının uygulanmasının kalitesini izler.
Denetim Sağlayıcıları
Denetim sağlayıcısı, ENX Derneği tarafından onaylanır ve katılımcıda değerlendirmeyi yürütür. Denetim sağlayıcısı, değerlendirilen katılımcıya değerlendirme sonucunu sağlar.
Katılımcılar
Katılımcı, TISAX’ta kayıtlı bir şirkettir ve bir denetim sağlayıcısı tarafından değerlendirilir.
TISAX etiketi, TISAX denetimleri sonucunda oluşan raporun bir parçasıdır. Denetim sağlayıcılar tarafından yapılan değerlendirmeler sonucunda başarılı olursanız TISAX Etiketi sahibi olursunuz.
Genel değerlendirme sonucunuz “önemsiz uygunsuzluk” ise, geçici TISAX etiketi alırsınız. Geçici TISAX etiketinin yararı, partnerinizin genellikle daha sonra kalıcı TISAX etiketleri almanız koşuluyla bunları kabul etmesidir. Bilgi güvenliği yönetim sisteminizin etkinliğini partnerinize kanıtlamanız acilse bu size yardımcı olabilir. Geçici TISAX etiketi için ön koşul, genel değerlendirme sonucu “küçük uygunsuzluk” ile birlikte bir düzeltici eylem planı değerlendirme raporudur. Geçerlilik süresi ile ilgili olarak, geçici TISAX etiketleri:
– İlk değerlendirmenin kapanış toplantısından sonra maksimum 9 ay süre verilir.
– Tüm uygunsuzluklar çözülene kadar geçerlidir. (Bu, takip değerlendirmesinde belirlenir ve takip değerlendirme raporunda belgelenir.) yenilenemez.
Lütfen dikkat: “Düzeltici eylem planı değerlendirmesi” isteğe bağlıdır. Aşağıdaki durumlarda doğrudan takip değerlendirmesine geçebilirsiniz:
– Geçici TISAX etiketlerine gerek yoktur ve
– Planınızı denetim sağlayıcınız tarafından onaylanmadan herhangi bir düzeltici eylemi uygulayacağınızdan eminiz
Tüm düzeltici eylemleri tamamladıktan sonra, “takip değerlendirmesi/denetimi” talep etmelisiniz.
https://portal.enx.com/en-US/TISAX/downloads/ linki üzerinden yayınlanan dokümanlara ulaşabilirsiniz.
TISAX değerlendirme kapsamı, bilgi güvenliği değerlendirmesinin (VDA ISA) kapsamını açıklar. Basitleştirilmiş, şirketinizin otomotiv endüstrisindeki iş ortaklarının sınıflandırılmış bilgilerini işleyen her parçası, değerlendirme kapsamının bir parçasıdır. Bunu, denetim sağlayıcısının görev tanımının önemli bir unsuru olarak düşünebilirsiniz. Denetim sağlayıcısının neyi değerlendirmesi gerektiğini belirler.
Değerlendirme kapsamı iki nedenle önemlidir:
– Değerlendirme sonucu, yalnızca ilgili değerlendirme kapsamı, şirketinizin muhatap bilgilerini işleyen tüm bölümlerini kapsıyorsa, muhatabınızın gereksinimlerini karşılayacaktır.
– Doğru tanımlanmış bir değerlendirme kapsamı, denetim firmaları tarafından uygun maliyet hesaplamaları için temel bir ön koşuldur.
Katılımcılar denetim firmalarından teklif talep ederken her bir değerlendirme için istenen kapsamı belirtmelidir. Her değerlendirme, belirli bir kapsam için açıkça yapılır. Birkaç lokasyona sahip şirketler birkaç kapsam kaydedebilir veya bir kapsamda birkaç lokasyon içerebilir. Firmanın birden fazla kapsamı olabilir.
Değerlendirme kapsamı kaydınız yarım kalırsa ne yapmalısınız?
TISAX Katılımcı kaydını doldururken bağlatınız kesintiye uğrar veya yarıda bırakırsanız. TISAX Kaydınıza bu linkten devam edebilirsiniz.
https://portal.enx.com/pricelist.pdf içerisinde fiyatlandırma listesi belirlenmiştir. Tek lokasyon için ödemeniz gereken ücret 405,00 €. Detaylar için doküman içerisindeki tabloları inceleyebilirsiniz.
https://www.vda.de/en/topics/safety-and-standards/information-security/information-security-requirements VDA ISA’nın son versiyonuna ulaşabilirsiniz. (29 Kasım 2020 tarihi itibari ile geçerli sürüm 5.0.2 versiyonudur.)
Kayıt aşamasında Firma adı ve iletişim bilgilerini (telefon, mail, adres) vermeniz yeterli olacaktır.
TISAX programının işleticisi olarak ENX Association, bir değerlendirmenin açıkça tanımlanmış seviyesi ve kapsamına sahip olmasını ister. TISAX, söz konusu bilginin gerekli koruma seviyesini tanımlayan üç farklı “koruma seviyesi” (normal, yüksek ve çok yüksek) arasında ayrım yapar. Ayrıca TISAX, değerlendirmenin derinliğini ve değerlendirme yöntemini tanımlayan üç “değerlendirme düzeyi” ni ayırt eder:
Normal koruma düzeyine sahip bilgiler:
Öz değerlendirme biçiminde Değerlendirme düzeyi 1. Değerlendirme seviyesi 1 olan değerlendirmelerin sonuçları normalde TISAX’ta kullanılmaz, ancak programın dışında talep edilebilir.
Yüksek koruma düzeyine sahip bilgiler
Bir denetim kuruluşu aracılığıyla, öz değerlendirmeyi temel alarak, çeşitli belgeler (gerekirse yerinde inceleme) aracılığıyla Değerlendirme düzeyi 2.
Çok yüksek koruma düzeyine sahip bilgiler
Belgeleme ve yerinde denetim temelinde bağımsız bir denetim sağlayıcısı tarafından gerçekleştirilen değerlendirme düzeyi 3.
TISAX değerlendirmesinin kapsamı ve süresi her durumda esasen ele alınacak kriterler listesine, korumanın amaçlarına, BGYS’nin karmaşıklığına ve dahil olan alanların / lokasyon sayısına göre belirlenir.
Değişim modelinde, her bir katılımcı şirketin ihtiyaçlarına göre üstlenebileceği iki rol vardır:
Pasif katılımcı (örn. OEM, otomotiv üreticisi):
Bir şirketi (örn. Bir tedarikçi) değerlendirmeden geçmek için çağırır ve değerlendirme sonuçlarına erişim talep eder.
Aktif katılımcı (örn. Tedarikçi): Bir şirket, başka bir şirket (örn. OEM veya müşteri) tarafından bir değerlendirmeden geçmesi için çağrılır veya kendi inisiyatifiyle bir değerlendirme yaptırmayı taahhüt eder. Tamamlandıktan sonra, aktif katılımcı, seçilen şirketlerin (örneğin OEM’ler) değerlendirme sonuçlarına erişmesini mümkün kılar.
Şirketler, katılımcı olarak kaydolarak TISAX portalına erişebilirler. Bu, değerlendirme yürütme görevini akredite bir denetim sağlayıcısına bırakmak için bir ön koşuldur.
Trusted Infıormation Security Assessment Exchange