Việc bảo vệ quy trình kinh doanh và an ninh thông tin chính là yêu cầu quan trọng cho bất kì ngành nghề nào. Trong các ngành khác nhau có áp dụng các bộ tiêu chuẩn nhằm đảm bảo an ninh thông tin được an toàn. Riêng ngành công nghệ ô tô có áp dụng bộ tiêu chuẩn Tisax nhằm đảm bảo quản lý tốt an toàn Thông tin một cách hiệu quả. Bài viết này Intercert Việt Nam sẽ chia sẻ cho bạn về bộ tiêu chuẩn Tisax và quy trình áp dụng bộ tiêu chuẩn này cho các doanh nghiệp oto.
TIÊU CHUẨN TISAX LÀ GÌ?
TISAX được viết tắt bởi cụm từ Trusted Information Security Assessment Exchange có nghĩa là Sàn giao dịch đánh giá an toàn thông tin đáng tin cậy. Đây là một cơ chế trao đổi thông tin thử nghiệm được điều hành bởi hiệp hội ENX. ). Nhằm cung cấp một khung bảo mật theo ngành cụ thể để đánh giá an ninh thông tin cho nhiều nhà cung cấp, OEM (Original Equipment Manufacturer – Nhà sản xuất thiết bị gốc) và các đối tác đóng góp vào chuỗi cung ứng ô tô.
Bộ tiêu chuẩn TISAX này được phát triển từ các chủ đề của ISO / IEC 27001: Yêu cầu về hệ thống quản lý an toàn thông tin và ISO / IEC 27002: Quy tắc thực hành về kiểm soát an toàn thông tin. Các Đánh giá của TISAX được thực hiện bởi các nhà cung cấp dịch vụ đánh giá được công nhận chứng minh năng lực của họ đều đặn.
TIÊU CHUẨN TISAX – TISAX STANDARD DO TỔ CHỨC NÀO QUẢN LÝ?
Hiện nay bộ tiêu chuẩn TISAX được Quản lý bởi Hiệp hội ENX có trụ sở chính tại Paris và Frankfurt. Hiệp hội này được được thành lập với nhiều nhà sản xuất ô tô (BMW, Continental, Daimler, Ford, Renault và Volkswagem), nhà cung cấp và bốn hiệp hội ô tô quốc gia.
Mục đích là để kích hoạt và đơn giản hóa sự hợp tác an toàn và đáng tin cậy qua các mạng giá trị gia tăng công nghiệp. ENX đóng vai trò như một cơ quan quản lý và leo thang trung lập cũng như là động lực thúc đẩy sự phát triển liên tục cho người dùng.
Ý NGHĨA CỦA TIÊU CHUẨN TISAX TRONG NGÀNH Ô TÔ
Việc áp dụng tiêu chuẩn Tisax vào hệ thống Quản trị An toàn Thông tin trong Ngành Ô TÔ mang lại khá nhiều ý nghĩa cho các tổ chức, doanh nghiệp.
- Giúp cải thiện được mối quan hệ giữa các nhà cung cấp hiện tại
- Tạo ra các kết nối kinh doanh mới nhờ việc mở ra được nhiều sự công nhận trong toàn ngành.
- Tạo ra được một sự minh bạch hơn về chi phí cho các đánh giá
- Việc này có thể giúp thiết lập nên một mức độ bảo mật thông tin chung cho toàn ngành Công nghiệp ô tô.
- Việc áp dụng bộ tiêu chuẩn Tisax có thể giúp công nhận được các kết quả đánh giá một cách tốt hơn
- Giúp tiết kiệm được tối đa chi phí cũng như công sức cho các nhà sản xuất và cung cấp trong chuỗi cung ứng ô tô.
NHỮNG ĐỐI TƯỢNG NÊN ÁP DỤNG TIÊU CHUẨN TISAX
Bộ tiêu chuẩn Tisax có thể xây dựng nên một hệ thống An toàn Thông tin cho các Doanh Nghiệp trong toàn bộ chuỗi cung ứng Ô TÔ. Bộ tiê chuẩn Tisax này có thể cho phép việc công nhận kết đánh giá giữa các bên tham gia.
Nhũng đối tượng này có thể giữ được an toàn thông tin nhạy cảm từ phía khách hàng của mình cũng như việc đánh giá được tính bảo mật thông tin của các nhà cung cấp riêng của bạn trong việc áp dụng bộ tiêu chuẩn Tisax này.
LỢI ÍCH KHI TỔ CHỨC ÁP DỤNG TIÊU CHUẨN TISAC
Với việc các tổ chức, doanh nghiệp tiến hành áp dụng thành công bộ tiêu chuẩn TISAX và đạt được giấy chứng nhận. Các tổ chức, doanh nghiệp sẽ đạt được nhiều lợi ích một cách thiết thực nhất như sau:
- Các tổ chức, doanh nghiệp tham gia chương trình Tisax cũng có thể sử dụng kết quả đánh giá này cho việc xây dựng các kế hoạch quản lý những rủi ro của riêng mình.
- Với việc hài hòa với các tiêu chuẩn Quốc tế khác. Khi các tổ chức, doanh nghiệp có được đánh giá Tisax và hiệu lực 3 năm thường xuyên sẽ giúp giảm thiểu các đánh giá trùng lặp với các mục tiêu bảo vệ an ninh thông tin tương tự.
- Việc áp dụng Tisax được chứng nhận có thể giúp cho quá trình trao đổi và cung cấp bằng chứng thống nhất về việc bảo mật thông tin một cách hiệu quả.
NHÃN TISAX (TISAX LABEL)
Nhãn Tisax
Nhãn Tisax sẽ là một thông tin trong báo cáo Tisax. Sau khi đánh giá đạt thì tổ chức sẽ đạt được “nhãn Tisax” tương ứng với các mục tiêu đã được chọn.
Nhãn Tisax tạm thời và Nhãn Tisax vĩnh viễn
Trong đánh giá Tisax sẽ được chia ra làm 2 loại là Tisax tạm thời và Tisax vĩnh viễn.
- Tisax tạm thời khi kết quả đánh giá tổng thể của bạn là “không phù hợp nhỏ”. Loại nhãn này khách hàng của bạn thường chấp nhận khi bạn sẽ nhận được nhãn Tisax vĩnh viễn.
- Điều kiện tiên quyết đối với nhãn TISAX tạm thời là một báo cáo đánh giá kế hoạch hành động khắc phục với kết quả đánh giá tổng thể là “sự không phù hợp nhỏ”.
CẤP ĐỘ TISAX (TISAX LEVELS)
Trong bộ tiêu chuẩn Tisax có chia ra làm 3 cấp độ khác nhau bao gồm:
1.TISAX Level 1 – Đánh giá cấp độ 1 – Thấp
TISAX Cấp độ 1 chính dành cho các tổ chức, doanh nghiệp có những yêu cầu bảo vệ Tisax. Với bên được đánh giá thực hiện việc đánh giá dựa trên các bảng câu hỏi VDA ISA. Việc các tổ chức tự đánh giá sẽ không ra được giấy chứng nhận TISAX.
2. TISAX Level 2 – Đánh giá cấp độ 2 – Cao
TISAX cấp độ 2 cao hơn cấp độ 1. Bê được đánh giá này cũng sẽ thực hiện việc tự đánh giá dựa trên danh mục VDA ISA. Trong cuộc phỏng vấn mở đầu thì nhà cung cấp dịch vụ đánh giá việc kiểm tra tính hợp lý của việc tự đánh giá này và liệu tất cả các tài liệu hỗ trợ cũng được nộp đầy đủ hay chưa.
3. TISAX Level 3 – Đánh giá cấp độ 3 – Rất cao
TISAX Cấp độ 3 là tính bảo mật cao nhất của các cấp độ Tisax. Vói quy trình này giống như đối với đánh giá Cấp độ 2 (đánh giá viên tự đánh giá, tính hợp lý và kiểm tra tài liệu), ngoại trừ việc đánh giá luôn được thực hiện tại chỗ.
Với tính hiệu quả cũng như với mức độ trưởng thành của ISMS sẽ được xác minh thông qua các cuộc phỏng vấn tại chỗ và bằng cách thực hiện các chuyến kiểm tra các khu vực và cơ sở quan trọng.
PHÂN LOẠI MỤC TIÊU ĐÁNH GIÁ TIÊU CHUẨN TISAX
Với việc đánh giá thì mục tiêu đánh giá của tổ chức cùng Hệ thống Quản lý An toàn Thông tin ISMS của bạn sẽ dự kiến đạt được nếu như bạn xử lý một số thông tin nhất định như sau: Tùy thuộc vào loại dữ liệu mà bạn thay mặt cho đối tác kinh doanh của mình xử lý. Bạn cần coi mục tiêu của bạn cho hệ thống quản lý bảo mật thông tin của mình.
Mục tiêu đánh giá là đầu vào quan trọng cho quá trình TISAX. Tất cả các nhà cung cấp dịch vụ đánh giá của TISAX đều xây dựng chiến lược đánh giá của họ chủ yếu dựa trên mục tiêu đánh giá. Hiện có 10 mục tiêu đánh giá TISAX. Bạn phải chọn ít nhất một mục tiêu đánh giá, nhưng bạn có thể chọn nhiều hơn một mục tiêu.
Thông tin có nhu cầu bảo vệ cao
Bạn cần tiến hành nhận biết được nhu cầu bảo vệ thông tin cao từ việc phân loại tài liệu của đối tác của bạn.
Kết nối với các bên thứ 3 có nhu cầu bảo vệ cao
Mục tiêu đánh giá này được thực hiện dựa trên cơ sở của đối tác cũng như bạn tiến hành truy cập vào các ứng dụng của đối tác thông qua việc kết nối mạng trực tiếp. Với việc sử dụng các danh mục tiêu chí này giữa các nhà sản xuất thiết bị gốc có thể được giải thích theo từng cá nhân.
Kết nối với các bên thứ 3 với nhu cầu bảo vệ rất cao
Tương tự như mục tiêu đánh giá 3
Bảo vệ dữ liệu
Nếu bạn xử lý dữ liệu cá nhân như một bộ xử lý theo điều 28 của GDPR (General Data Protection Regulation – Quy định bảo vệ dữ liệu chung của EU) bạn có thể cần chọn mục tiêu này.
Bảo vệ dữ liệu với các danh mục dữ liệu cá nhân đặc biệt
Nếu bạn xử lý các danh mục dữ liệu cá nhân đặc biệt (như sức khỏe hoặc tôn giáo) với tư cách là người xử lý theo điều 28 của GDPR, thì bạn có thể cần chọn mục tiêu này.
Bảo vệ các bộ phận và thành phần nguyên mẫu của dữ liệu cá nhân
Dành cho tất cả các công ty sản xuất, lưu trữ hoặc sử dụng các thành phần hoặc bộ phận do khách hàng cung cấp được phân loại là cần bảo vệ tại địa điểm của riêng họ.
Bảo vệ xe nguyên mẫu
Dành cho tất cả các công ty sản xuất, lưu trữ hoặc sử dụng phương tiện do khách hàng cung cấp được phân loại là cần bảo vệ tại địa điểm riêng của họ.
Xử lý các phương tiện thử nghiệm
Việc này dành cho tất cả các công ty có tiến hành việc kiểm tra và lái thử với các phương tiện do khách hàng cung cấp được phân loại là cần bảo vệ.
Bảo vệ nguyên mẫu trong các sự kiện và quay phim hoặc ảnh chụp
Dành cho tất cả các công ty thực hiện các buổi thuyết trình hoặc sự kiện (ví dụ: nghiên cứu thị trường, sự kiện, sự kiện tiếp thị) và quay phim và chụp ảnh với các phương tiện, linh kiện hoặc bộ phận do khách hàng cung cấp được phân loại là cần bảo vệ.
Thông tin liên hệ Intercert Việt Nam:
- Địa chỉ: Tầng 18 Ladeco Building, 266 Đội Cấn, Ba Đình, Hà Nội.
- Điện thoại: 0969 555 610
Trên đây là toàn bộ thông tin về hệ thống quản lý chất lượng ISO 9001:2015. Hy vọng doanh nghiệp sẽ có thêm thông tin về tiêu chuẩn này và có thêm kinh nghiệm để triển khai cũng như xây dựng QMS thành công, hỗ trợ tốt cho hoạt động sàn xuất, kinh doanh.
