TISAX | אבטחת מידע בעולם הרכב

השאירו פרטים כאן לקבלת מידע טלפוני אודות TISAX או התקשרו ל- 03-9450630

מהו תקן TISAX?

TISAX, The Trusted Information Security Assessment Exchange.

ארגון ה-ENX הוקם בשנת 2000, ומאגד בתוכו את כל הארגונים בתעשיית הרכב, מהיצרנים הגדולים, דרך כלל הספקים וקבלני המשנה ונותני השירותים. למעשה הארגון עוטף את כל החוליות בשרשרת האספקה של עולם הרכב.

הארגון שם לעצמו מטרה, להתמודד עם האתגרים הדיגיטליים, חלקם נגזרים מתעשיית 4.0 של עולם הרכב, ומנסח סטנדרטים אחידים להגנה על מידע, אבטחת מידע, הגנת פרטיות ואבטחת מוצרים.
הארגון יצר רשת של ספקים, המאורגנת במאגר מידע משותף, בו מתועדות הערכות רמת אבטחת המידע, ובכך נוצרה יכולת להכיר בספקים ונותני שירות, בהתבסס על סטנדרט מקובל בנוגע להגנת המידע.

עד כה הצטרפו למאגר כ-2500 ארגונים מכ-40 מדינות.

אבטחת מידע בעולם הרכב:

אם יש לך רכב עם Bluetooth או WIFI, אפליקציות ומצלמות, אז אפשר לומר שיש לך מחשב עם גלגלים. ולכן, כל הסיכונים שיש היום למחשבים מבחינת הגנת המידע, חלים גם על הרכב, בעיקר שיש לכך השפעה ישירה על הבטיחות.

תהליכים עסקיים ותהליכי ייצור מבוססים בעיקר על מידע, ועל מערכות המידע אשר נדרשות להיות מוגנות ומאובטחות. השמירה על המידע נדרשת להתקיים בכל השלבים של התהליך בארגון, ובקרב כל הארגונים אשר לוקחים חלק בשרשרת האספקה.

לרשת ולגלובליזציה של העתיד הדיגיטלי בתעשיית הרכב יתרונות רבים, אך גם הסיכונים הפנימיים והחיצוניים של חברות הולכים וגדלים. על מנת להתמודד עם אלה, יש לקבוע אמצעי הגנה מתאימים. לפיכך, הדיגיטציה של תהליכים עסקיים מעבר לגבולות החברה דורשת רמת אבטחת מידע דומה לכל המעורבים, המובטחת בכל שרשרת הערך.

על מי חל התקן?

TISAX חל על חברות פיתוח, ייצור ומתן שירותים אשר לוקחות חלק בשרשרת האספקה של תעשיית הרכב.
על מנת להצטרף למאגר ה-TISAX, נדרש לעמוד בסטנדרט ISA, שנוסח ע"י ארגון ה VDA מגרמניה. הסטנדרט מבוסס על הדרישות העיקריות של תקן ISO 27001 להקמת מערך הגנת מידע (ISMS), ומגדיר דרישות ספציפיות לתחום הרכב בשלוש קטגוריות:

1. הגנת מידע.
2. ניהול פיתוח מוצר מאובטח.
3. הגנת פרטיות.

קצת על התהליך:

1. קבלת דרישה משותף עסקי.
2. רישום והחלטה על SCOPE – ההחלטה על אופן ההערכה (SCOPE) תבוצע ע"י השותף העסקי שדרש את התהליך, וזאת על פי פרמטרים של הערכת סיכונים שביצע, ותחומי הפעילות הממשקיים ביניכם. הגדרת ה SCOPE תשפיע לא רק על אופן והיקף ההערכה, אלא על הקריטריונים עצמם עליהם תיבדק.
3. הערכה – על מנת לבצע הערכה לבשלות מערך אבטחת המידע לפי אינדקס ISA, יכולים להתקיים שני תהליכים:
   • רמה 1 – הערכה עצמית – מילוי עצמי של שאלון ההערכה. ברמה זו בודק חיצוני יבדוק את ההערכה, אך לא יבצע מבדק ולא ידרוש ראיות נוספות. כיוון שלרמה זו האמינות נמוכה, היא אינה מאפשרת כניסה למאגר ה TISAX.
   • רמה 2 – הערכה ע"י בודק חיצוני. הבודק יאמת את ההערכה עצמית ע"י ראיונות אונליין וסקירה של ראיות שיישלחו אליו. רמה זו בד"כ לא תכלול מבדק פיסי, אלא אם יידרשו להיבדק פרמטרים מקטגוריית "אב טיפוס".
   • רמה 3 – ביצוע מבדק On site.

*לביצוע המבדקים הוסמכו מספר חברות, להן נציגות רחבה במדינות שונות.
היה ונמצאו פערים במהלך המבדק, יבוצע תהליך של פעילות מתקנת שלא יעלה על 9 חודשים ממועד המבדק.

4. החלפת מידע – באמצעות רישום למאגר ה TISAX.
5. תיקוף מחדש – תוקף התהליך הינו ל-3 שנים. לאחר התקופה, אם עדיין ישנה דרישה לעמוד בסטנדרטים, יידרש לבצע את התהליך המלא מחדש.
   מטריצת הערכה עצמית וגבולות רמת בשלות נדרשת לפי נושא:

ליווי על ידי מומחה אבטחת מידע וסייבר:

יועצי אבטחת המידע והסייבר של Hermeticon בעלי ניסיון בתחום אבטחת מידע ובעלי הכשרת CISO, ליוו עשרות רבות של ארגונים בהקמה של מערך אבטחת מידע לפי סטנדרטים בינלאומיים מחמירים. ברשותם סט כלים רחב, אשר נועד לתת לארגון ערך אמיתי בהטמעת מערך אבטחת מידע, לצד עמידה מלאה בדרישות הרגולציה.

אנו מעניקים שירות CISO as a service המותאם לכם באופן אישי וייחודי לפעילות הארגון והמשאבים העומדים לרשותכם.

אז למה אתם מחכים? השאירו פרטים כאן לקבלת מידע טלפוני או התקשרו ל- 03-9450630