TISAX® coraz powszechniejszy standard w branży motoryzacyjnej

Tajemnica przedsiębiorstwa

W przeciwieństwie do wielu innych branż, przemysł motoryzacyjny opiera się w dużej mierze na know how. Z jednej strony są to informacje o samym procesie produkcji, a z drugiej – wszelkie innowacje i prototypy.

Te wartości stanowią o przewadze konkurencyjnej producentów motoryzacyjnych i ich dostawców, a ujawnienie ich może doprowadzić do znacznych strat finansowych czy strat wizerunkowych, których odbudowanie może zająć czas, kolejne środki finansowe lub może stać się po prostu nieopłacalne. Z tego też względu bezpieczeństwo informacji stało się jednym obszarów na które został położony szczególny nacisk. Jednak liczba standardów bezpieczeństwa informacji i różnice występujące między nimi generowały wysokie koszty po stronie wszystkich podmiotów sektora. Finalnie mogło się okazać, że jeden dostawca był audytowany z inicjatywy swoich kontrahentów nawet kilka razy w roku. Działanie to powodowało często opóźnienia w realizacji dostaw, dodatkowe koszty i konieczność dopasowania procesów biznesowych do niekiedy sprzecznych wymogów kontrahentów badających zgodność dostawcy w zakresie bezpieczeństwa informacji z różnymi standardami np. ISO 27001, COBIT, PCI, ITIL. Po wielu testach VDA (Niemieckie Stowarzyszenie Branży Motoryzacyjnej) ostatecznie w 2017 r. opublikowało ISA (Standard Oceny Bezpieczeństwa informacji), które obecnie stanowi podstawę standaryzacji TISAX®*. W celu wymiany informacji pomiędzy uczestnikami standardu utworzono portal zarządzany przez niezależne stowarzyszenia ENX (European Network Exchange). Warto zaznaczyć, że w Polsce w 2012r. branża motoryzacyjna również dostrzegła potrzebę  standaryzacji w obszarze bezpieczeństwa informacji. Finałem inicjatywy PZPM (Polskiego Związku Przemysłu Motoryzacyjnego) było utworzenie Kodeksu dobrych praktyk w zakresie ochrony danych osobowych klientów i potencjalnych klientów. Kodeks został opracowany przy współpracy z ówczesnym organem nadzorczym w tym zakresie, czyli GIODO (Generalnym Inspektorem Ochrony Danych Osobowych). Jednak ostatecznie Kodeks ten nie został dostosowany do zmian wynikających z RODO i finalnie standard TISAX® wydaje się dużo bardziej korzystnym rozwiązaniem dla branży motoryzacyjnej w obszarze bezpieczeństwa informacji.

Jeden standard dla całej branży

Korzenie standardu TISAX® sięgają niemieckiego rynku motoryzacyjnego, jednak branża motoryzacyjna znacznie wykracza poza granice jednego państwa. Zarówno dostawcy jak i producenci branży motoryzacyjnej mają swoje siedziby w różnych krajach UE jak i poza nią. Dlatego też podstawą standardu jest norma międzynarodowa w zakresie bezpieczeństwa informacji ISO 27001. Dodatkowo poza wymogami w zakresie kształtu systemu zarządzania bezpieczeństwem informacji TISAX® przewiduje dodatkowo moduły tj. relacje z podmiotami trzecimi, ochronę danych osobowych i ochronę prototypów. Pozornie mogłoby się wydawać, że wystarczy certyfikować się na zgodność z normą ISO 27001 i osiągniemy ten sam efekt. Jednak po pierwsze nie każdy podmiot z branży automotive potrzebuje aż tak wysokiego poziomu bezpieczeństwa informacji, a po drugie – przewagą standardu TISAX® jest wzajemna wymiana wyników audytów bezpieczeństwa informacji. Innymi słowy zgodność z ISO 27001 z pewnością pomoże w przystąpieniu do standardu TISAX®, jednak nie zagwarantuje bezpieczeństwa informacji na tym samym poziomie i nie zapewni powszechnej uznawalności w branży. Wymogi standardu TISAX® są bardzo skalowalne, co oznacza, że mały podmiot, który nie przetwarza szczególnego zakresu informacji będzie musiał z reguły spełnić mniej wymogów niż ten, przez którego struktury przepływa mnóstwo informacji poufnych w tym np. danych osobowych. Co więcej klasyfikacja podmiotów w ramach TISAX® opiera się na kryterium dojrzałości organizacji w zakresie bezpieczeństwa informacji. Jeden podmiot może być na początku drogi w tworzeniu systemu ochrony informacji, inny może posiadać już bardzo rozbudowane struktury w tym obszarze, a oba podmioty mogą przystąpić do standardu. TISAX® jest bardzo elastycznym rozwiązaniem, które pozwala osiągnąć cel jakim jest ocena ryzyka bezpieczeństwa informacji w zakresie nawiązania współpracy z dostawcami. Standard ten promuje również ciągłe doskonalenia w obszarze bezpieczeństwa informacji. Ostatecznie należy podkreślić, że w obszarze wymiany informacji o wynikach audytów za każdym razem decyduje podmiot, który był audytowany, w tym jaki zakres informacji i komu zostanie udostępniony za pośrednictwem platformy ENX.

OEM, TIER 1, TIER 2, …

Sieć zależności w branży motoryzacyjnej potrafi być bardzo złożona. Z jednej strony są OEM (Original Equipment Manufacturer), czyli najczęściej producenci finalnego produktu, a z drugiej strony dostawcy np. gotowych podzespołów (TIER-1), czy dostawcy półproduktów (TIER-2) zwani również poddostawcami. Ostatecznie w łańcuchu dostaw pojawiają się jeszcze dostawcy surowców na potrzeby branży motoryzacyjnej (TIER-3 i 4). Pozornie struktura wydaje się prosta, jednak w praktyce okazuje się, że część podmiotów może być zarówno OEM jaki TIER.

Jeśli do tego dodamy różnych powiązanych kapitałowo ale nie organizacyjnie OEM i ich dostawców, którzy mogą być powiązani procesowo (bez elementów jednego, drugi nie może zrealizować dostawy) to mamy istny kłębek. Z punktu widzenia codziennej współpracy problemy organizacyjne występują raczej na stałym poziomie, jednak z punktu widzenia utrzymania bezpieczeństwa informacji w ramach wzajemnych relacji – jest już znacznie gorzej. Przykładowo, jeden dostawca podzespołów produkuje gotowe elementy dla dwóch różnych OEM, z czego jeden podzespół jest bardziej zaawansowany technologicznie, a drugi mniej. Problem pojawia się w momencie, gdy osoby odpowiedzialne za realizację obu zamówień nie będą w stanie dochować tajemnicy przedsiębiorstwa albo w wyniku niewystarczających zabezpieczeń (np. błędna adresacja poczty elektronicznej) jeden OEM wejdzie w posiadanie know how drugiego OEM. Głównym celem tworzenia, a kolejno utrzymania systemu bezpieczeństwa informacji jest właśnie ograniczenie ryzyka występowania powyższych zdarzeń.

Samoocena, audyt i dostosowanie

Głównym założeniem standardu TISAX® jest całkowita dobrowolność. Na każdym etapie uczestnik standardu może odstąpić od niego, oczywiście nie pozostanie to z pewnością bez wpływu na jego relacje biznesowe, ale przystąpienie do TISAX® nie jest tak naprawdę zobowiązaniem po stronie jego uczestnika.

Ścieżka standaryzacji jest dość prosta i z reguły składa się z 6 kroków

1. Ocena dojrzałości organizacji –pierwsze działanie jakie podejmuje uczestnik TISAX®, polegające na uzupełnieniu arkusza VDA, który określi jaki poziom bezpieczeństwa informacji powinniśmy zapewnić w oparciu o odpowiedzi na pytania kontrolne.
2. Rejestracja na platformie ENX –formalne działanie polegające na zarejestrowaniu organizacji na platformie wymiany informacji ENX oraz przydzieleniu konkretnego ID uczestnika standardu.
3. Audyt bezpieczeństwa informacji – wybór podmiotu, który będzie przeprowadzał audyt bezpieczeństwa informacji z listy akredytowanych podmiotów. Podmiot ten w zależności od informacji dostarczonych przez organizację proponuje konkretne metody przeprowadzenia audytu.
4. Raport z audytu i rekomendacje – po zakończeniu działań audytowych, przedstawiany jest Raport zgodności z przyjętymi kryteriami wraz z działaniami korygującymi i zapobiegawczymi, które organizacja musi podjąć.
5. Działania korygujące – organizacja realizuje plan doskonalenia systemu bezpieczeństwa informacji w oparciu o wyniki audytu i podmiot audytujący potwierdza ich realizację.
6. Sklasyfikowanie organizacji – po zrealizowaniu planu działań dostosowujących organizacja otrzymuje raport końcowy, który zostaje umieszczony na platformie ENX wraz z klasyfikacją poziomu bezpieczeństwa informacji, który spełnia organizacja.

W praktyce najwięcej trudności z reguły pojawia się na etapie dostosowania organizacji, gdyż etap ten może wymagać zasobów, które stanowią koszt dla organizacji. Przykładowo szkolenie personelu może wymagać poświęcenia przez nich czasu, co przy napiętych grafikach pracy może zaowocować spadkiem wydajności. Z drugiej strony bezpieczeństwo systemów informatycznych może wymagać doinwestowania albo w infrastrukturę sprzętową, albo w oprogramowanie. Ostatecznie utrzymanie systemu bezpieczeństwa informacji, a tym samym standardu TISAX® z reguły wymaga personelu nadzorującego ten obszar organizacji. Z drugiej strony powyższe obciążenia to tak naprawdę skutek rozwoju konkretnego podmiotu. Jeżeli organizacja planuje rozszerzać swoją działalność i nawiązywać współpracę z najczęściej większymi kontrahentami naturalną koleją rzeczy jest to że musi dostosować swoje standardy bezpieczeństwa informacji do odpowiedniego poziomu.

TISAX®, a inne standardy

Nie ulega wątpliwości, że posiadanie innych standardów zarządzania, konkretnymi obszarami działania organizacji znacznie pomaga usystematyzować również zgodność ze standardem TISAX®. Jednak należy pamiętać, że takie standardy jak ISO 9001, ISO 14000 czy ISO 45001 skupiają się z reguły na innych obszarach działalności organizacji. Metodyki są bardzo podobne, a niekiedy nawet takie same, ale cel jaki konkretny standard zarządzania ma zrealizować jest zupełnie inny. Istnieje przekonanie, że bezpieczeństwo informacji może zostać zrealizowane w ramach już funkcjonującego standardu. Niestety nic bardziej mylnego. Powierzanie nowych zadań osobom, które nie posiadają wystarczających kompetencji do pełnienia nadzoru nad standardem bezpieczeństwa informacji takim jak TISAX® często jest błędem. Finałem takiego działania są trudności w dostosowaniu do rekomendacji z Raportu albo nawet problemy ze zrozumieniem specyficznych koncepcji w obszarze bezpieczeństwa informacji. Należy pamiętać, że TISAX® zakłada również spełnienie wymogów prawa, a nie tylko zarządzania zasobami informacyjnymi czy środkami technicznymi i organizacyjnymi mającymi zabezpieczyć te zasoby. Równie dużym jeżeli nie większym ryzykiem dla kontrahentów jest korzystanie z usług dostawców, którzy nie spełniają wymogów prawa np. ochrony danych osobowych, cyberbezpieczeństwa czy po prostu zawartych umów o zachowaniu poufności.

TISAX®, a RODO

Standard TISAX® również uwzględnia (opcjonalnie) obszar bezpieczeństwa informacji jakim jest ochrona danych osobowych. Został on dodany w związku z rozpoczęciem obowiązywania RODO od 25 maja 2018r.

Formularz VDA wskazuje 4 obszary tematyczne w zakresie zgodności z RODO

1. Organizacja systemu ochrony danych osobowych oraz powołanie IOD (Inspektora Ochrony Danych) w organizacji.
2. Dokumentacja zgodności z RODO i realizacja tzw. zasad ogólnych ochrony danych osobowych.
3. Okresowe audyty wewnętrzne systemu ochrony danych osobowych i adekwatność środków technicznych i organizacyjnych.
4. Ostatecznie zarządzanie naruszeniami ochrony danych osobowych i realizacja praw osób, których dane dotyczą. Innymi słowy przystąpienia do standardu TISAX®, w którymś momencie (gdy np. OEM zwróci się o taki audyt) może oznaczać konieczność dostosowania do RODO, o ile jeszcze tego do tej pory nie zrobiliśmy. Obszar ten ma szczególne znaczenie w podmiotach, które świadczą usługi na rzecz konsumentów, czyli w relacji B2C. Najczęściej będą to sieci dealerskie oraz serwisy ASO, gdyż w tych przypadkach dochodzi do przetwarzania danych osobowych klientów indywidualnych.

W obszarze zgodności z RODO warto zauważyć, że branża motoryzacyjna już od pewnego czasu intensywnie wkracza w obszar IoT (Internet of Things), czyli internetu rzeczy. Komputery pokładowe w samochodach coraz częściej gromadzą informacje o ich użytkownikach zaczynając od najprostszych lokalizatorów GPS, a kończąc na prototypach w obszarze autonomicznych pojazdów czy automatach analizujących senność kierowcy. Zapewnienie bezpieczeństwa informacji nie tylko w obszarze zarządzania nim ale również w obszarze produktów lub półproduktów z pewnością będzie wyzwaniem, któremu pomoże sprostać standard TISAX®.

Otwarcie na rynek UE

Przystąpienie do standardu, który uwiarygodni naszą organizację w oczach pozostałych podmiotów przemysłu motoryzacyjnego z pewnością jest dobrym pomysłem. Jednak warto pamiętać o tym by się odpowiednio do tego procesu przygotować. Niektóre obszary dostosowania mogą być czasochłonne, dlatego warto z odpowiednim wyprzedzeniem zbudować lub zweryfikować istniejący system bezpieczeństwa informacji. Dostawcy lub spółki zależne producentów branży motoryzacyjnej w Polsce jak najbardziej mają możliwość przystępowania do standardu TISAX®. Warto podkreślić, że nie jest to tylko standard niemiecki, a zdecydowanie bardziej europejski. Przystąpienie do standardu TISAX® z pewnością jest właściwym krokiem, który może ułatwić wkroczenie na rynek europejski w szerszym zakresie niż robiła to do tej pory branża motoryzacyjna w Polsce.

*TISAX® – ang. Trusted Information Security Assessment Exchange

*TISAX® jest marką stowarzyszenia ENX. Bureau Veritas jest formalnie uznawane przez stowarzyszenie ENX do przeprowadzania oceny audytowej TISAX®

---

POTRZEBUJESZ PORADY CZY DODATKOWYCH INFORMACJI?
CHCIAŁBYŚ OTRZYMAĆ KOSZTORYS?