En los últimos meses estamos asistiendo a un incremento de peticiones de registro TISAX (Trusted Information Security Assessment Exchange) para proveedores de automoción. Los grandes fabricantes alemanes, con una amplia conciencia en seguridad, han empezado a exigir a sus proveedores el implementar controles que garanticen la seguridad de la información de las operaciones. El registro TISAX se enmarca dentro de la asociación ENX.

ENX Association (red europea de intercambio de información) es la solución comúnmente utilizada por la industria automotriz europea para el intercambio seguro de datos críticos de desarrollo, compra y control de producción. Los servicios de seguridad gestionados de ENX que se pueden integrar sin problemas dentro de un concepto de empresa cruzada, así como los niveles de servicio de la red subyacente, cumplen los requisitos más exigentes en cuanto a calidad y seguridad.

La iniciativa TISAX se basa en controles de seguridad alineados con la VDA-ISA VDA (Verband der AutomobilindustrieAsociación de la industria de la Automoción) ISA (information Security assessment- Evaluación de la seguridad de la información), que a su vez bebe de los controles del Anexo A (Declaración de Aplicabilidad) de la norma ISO27001 de Gestión de sistemas de Seguridad de la Información.

Que es necesario para cumplir con TISAX

¿El registro de TISAX está completo? Esto significa que el siguiente registro los parámetros están disponibles:
– ID de participante, Scope-ID, Scope-Name
– Nivel de protección: alto / muy alto
– Nivel de evaluación (2/3)
– Objetivos de evaluación (Prototipos / Conexión a terceros / Protección de datos)
– Ubicaciones
– En el sitio o remoto

¿Hay una autoevaluación comentada? (con explicaciones para el vencimiento seleccionado
nivel y una descripción del estado de implementación)

¿Hay una descripción de la empresa? (Empresa matriz, facturación anual previa financiera
año)

Procedimiento y fases

Fase inicial y remota

  • Generación de autoevaluación (incluida la explicación) y entrega a entidad de certificación
  • Conducción de verificación de plausibilidad por parte de entidad de certificación.
  • Conferencia telefónica: Discusión de algunos controles relevantes.
  • Generación DRAFT «Informe de evaluación inicial»
  • Revisar el DRAFT «Informe de evaluación inicial» y Medir la definición por Hallazgo (en un Documento del «Plan de Acción Correctiva»)
  • Reunión de Clausura y Evaluación del Plan de Acción Correctiva: Discusión del Informe, Hallazgos y medidas.
  • Generación y entrega FINAL «Informe de evaluación inicial» (incluidos los hallazgos y
    Medidas) – El proyecto está cerrado.
  • Es necesario un nuevo pedido para la evaluación de seguimiento.

Fase final en las instalaciones

  • Generación de autoevaluación y entrega a la entidad de certificación
  • Evaluación en el sitio incluida inspección in situ
  • Generación DRAFT «Informe de evaluación inicial»
  • Revisar el DRAFT «Informe de evaluación inicial» y Medir la definición por Hallazgo (en un Documento del «Plan de Acción Correctiva»)
  • Reunión de Clausura y Evaluación del Plan de Acción Correctiva: Discusión del Informe,
    Hallazgos y medidas.
  • Generación y entrega FINAL «Informe de evaluación inicial» (incluidos los hallazgos y
    Medidas) – El proyecto está cerrado
  • Es necesario un nuevo pedido para la evaluación de seguimiento.

Recomendaciones finales

  • Identifique a todas las personas relevantes que deberían participar en las reuniones en el lugar de la Conferencia. Generalmente estos son: CISO / ISO, Arquitectos de Seguridad, responsable de TI …
  • En Remoto: proporcione una solución adecuada para compartir contenido durante el teléfono
    entrevista (por ejemplo, WebEx, …)
  • En la organización: reserve una sala de reuniones con el equipo adecuado (por ejemplo, proyector, acceso a documentos, intranet …)
  • Visita in situ: proporcione acceso a las instalaciones relevantes (por ejemplo, sala de servidores, sala técnica, oficina de proyectos, área de entrega y carga, …)
  • Lea el Manual del participante de TISAX para prepararse mejor:
    http://enx.com/tisax/files/downloads/TISAX-Participant-Handbook-current.pdf