TISAX Nedir

Tisax Nedir?

Vda tarafından geliştirilen Bilgi Güvenliği Değerlendirmesi kriterlerini kullanarak, otomotiv sektörüne özel bilgi güvenliği değerlendirmesi ve paylaşımının yapılmasını sağlayan standarttır. Değerlendirilmelere ait doğrulamalar ENX(European Network Exchange) merkezi otoritesinin akredite ettiği kuruluşlar tarafından yapılmakta ve sonuçlar ENX tarafından saklanmaktadır. Sonuçlar Otomotiv üreticisinden tedarikçisine kadar tüm servis sağlayıcılar tarafından tanınır ve kabul görür. Değerlendirme sonuçlarının kimlerle paylaşılacağı denetlenen firma kontrolündedir.

Tisax platformuna şu adresten erişilebilir;

https://enx.com/tisax/tisax-en.html

Tisax’da

  • ISO27001 temelli bilgi güvenliği kontrolleri
  • Prototip koruma kontrolleri
  • Üçüncü parti kuruluş faaliyetleri ile ilgili kontroller
  • Veri koruma (GDPR tr deki karşılığı KVKK) ile ilgili kontroller

yer alır. Katologlarda yer alan her kontrol etkinlik 0-5 arasında değerlendirilmelidir.

Tisax Katılımcı Rolleri

Bilgi güvenliği değerlendirmelerinin paylaşımında ihtiyaca göre iki farklı çeşit yol vardır.

  1. Pasif Katılımcılar: Bu katılımcılar alt yüklenicilerinden (örn: tedarikci) TISAX etiketi almasını ve kendileri ile değerlendirme sonuçlarının paylaşılmasını şart koşarlar.
  2. Aktif Katılımcılar: Bu katılımcılara denetlenenler diyebiliriz. Başka bir kuruluş tarafından belirlenen kriterler çerçevesinde denetim alması istenir. Değerlendirme sonucunda TISAX değerlendirme ayrıntılarını denetimi isteyen firma ile paylaşır.

Tisax’ın Avantajları

  • Tüm kriterlerin sadece otomotiv sektörüne özel olması
  • Değerlendirme kalitesinin yüksek olması ve tutarlı sonuçları
  • Standart değerlendirme ve raporlama prosedürleri
  • Karşılaştırılabilir ve anlamlı sonuçlar
  • Otomotiv sektöründe güvenilen değerlendirme sonuçları
  • Risk yönetim sisteminin oluşturulması ve risk azaltılması yapılabilmesi
  • Artan müşteri güveni ve yeni müşteri fırsatı
  • Müşteri ihtiyaçlarına standart doğrultusunda daha fazla odaklanma

Tisax Değerlendirme Adımları

  • Faaliyet alanı tanımı
  • TISAX üyelik kaydı
  • Değerlendirme
  • Ara Rapor ve Düzeltici Faaliyetler
  • Uygunsuzluk Kapama
  • Nihai Raporun Yüklenmesi
  • Nihai Raporun Gerekli Firmalar İle Paylaşılması

Tanımlar;

  • TISAX: Trusted Infırmation Security Assessment Exchange – Güvenilir Bilgi Güvenliği Değerlendirmeleri Paylaşımı

Kuruluşların bilgi güvenliği olgunluk seviyelerini denetlemek ve sonuçları ortak bir platformda OEM’lerin kullanımına sunmak amaçlı geliştirilen yaklaşımdır. ENX tarafından yönetilir.

  • ENX: Avrupa Otomotiv Endüstrisi tarafından geliştirilen ve kullanılan bir iletişim ağıdır. Aynı zamanda ENX, TISAX için otoriter ve merkezi bir veritabanı yapısını ifade etmek için kullanılır.
  • VDA ISA: TISAX modelinin kullandığı bilgi güvenliği kontrol katoluğudur. Toplam 4 adet alt katalog altında 82 kontrol içerir. Alt kataloglar;
    • Bilgi Güvenliği(Information Security)
    • Üçüncü Taraf Bağlantıları(Connection to 3rd patries)
    • Veri Koruma (Data Protection)
    • Protatip Koruma(Prototype Protection)
  • Kontrol: Bilgi güvenliği risklerine karşı alacağımız önlemlerdir.
  • ISO27001: Kuruluşlarda bilgi güvenliğini yönetmek için geliştirilen bir standarttır.
  • ISO27002: Bilgi güvenliği sağlamak için kullanılabilecek genel kontrol listesini ve iyi uygulama pratiklerini (best practice) anlatan bir standarttır.