DNV.com.br

TISAX® - Segurança da informação no setor automotivo

TISAX_Info_Security_Automotive

Contate-nos

Como podemos te ajudar?

Solicite informações

Já sabe o que você precisa?

Solicite orçamento

Proteja informações confidenciais, como protótipos, proteja a reputação da marca e construa a fidelidade do cliente.

Em um ambiente extremamente inovador que depende de vários participantes para ter sucesso, a troca segura de informações é essencial. A indústria automotiva exige uma abordagem “ecossistêmica” de segurança da informação em suas longas e complexas cadeias de suprimentos.

Em nossa era digital, as necessidades de segurança da informação vão além dos fornecedores automotivos, passando por empresas de marketing e outras partes envolvidas. A necessidade primária é proteger:

  • Projetos ou informações de design, protótipos ou planos secretos de investimento;
  • Big data e process data, ligados aos novos conceitos de digitalização, o desenvolvimento de carros autônomos;
  • Interconexões dentro da rede da cadeia de abastecimento;
  • e os dados pessoais dos clientes.

Por que TISAX?

TISAX (Trusted Information Security Assessment eXchange) é uma norma global de segurança da informação para a indústria automotiva. Uma abordagem de avaliação de segurança da informação baseada na maturidade é direcionada às necessidades da indústria automotiva. Aplicável principalmente a fornecedores de 1ª e 2ª camadas, mas extensível a cadeias de suprimentos mais complexas, a avaliação é um requisito de certos OEMs.  

O objetivo da norma é:

  • estabelecer um nível comum de segurança para a indústria automotiva;
  • garantir o reconhecimento comum de avaliações para reduzir custos, esforços e complexidade para fabricantes e fornecedores;
  • garantir a comparabilidade e qualidade das avaliações;
  • troca de melhores práticas e lições aprendidas;
  • deixar cada participante decidir a quem os resultados serão revelados e o grau de detalhe.

O TISAX combina as antigas Regras de Segurança da Informação (Information Security Rules - ISA) do German Verband der Automobilindustrie (VDA) com a ISO/IEC 27001 Apêndice A (Technical Controls), bem como alguns requisitos de Privacidade. 

TISAX® versus ISO/IEC 27001

Embora ambos cubram a segurança da informação, o TISAX se baseia em elementos-chave da norma de sistema de gestão de segurança da informação ISO/IEC 27001. No entanto, ele se concentra nos elementos especificamente relevantes para o contexto da indústria automotiva.

As principais diferenças são:

ISO/IEC 27001TISAX
Norma de Sistema de GestãoAbrange processos de segurança da informação e peças relevantes para parceiros da indústria automotiva
Abordagem On/off Abordagem de nível de maturidade
Escopo definido antes da certificaçãoEscopo é fixo
Análise de risco baseada na empresaAnálise de risco baseada em grupo de trabalho VDA-ISA
O organismo de certificação emite certificadoTISAX emite etiqueta e registro de troca
Auditoria periódica e recertificação após 3 anosValidade de 3 anos, sem auditorias periódicas

Benefícios 

Além de ser um requisito de ingresso para o comércio de certos fabricantes, as avaliações TISAX contribuem para construir a confiança da cadeia de suprimentos. Os fornecedores participantes podem se beneficiar de:

  • Ser reconhecido por Fabricantes Automotivos;

  • Prevenir violações de segurança da informação e ataques cibernéticos;

  • Ganhar a confiança do cliente;

  • Identificar e abordar riscos;

  • Obter reconhecimento pelos devidos processos de segurança da informação;

  • Compartilhar resultados da avaliação por meio do intercâmbio ENX.

Como ser avaliado?

As empresas que entram no programa devem se registrar na ENX como participante.

O processo é configurado em etapas:

  1. Atenção 
    Conheça os requisitos do TISAX.
  2. Preparação
    Cadastre-se no portal TISAX, selecione seu órgão de auditoria e prepare-se para a auditoria. Isso inclui uma autoavaliação para medir sua conformidade e prontidão.
  3. Avaliação
    A forma como a auditoria é executada depende se você se qualifica para uma auditoria remota (Nível 2) ou física (Nível 3). A auditoria em si consiste em entrevistas, revisão de documentos, esclarecimento de possíveis descobertas e próximas etapas.
  4. Plano de ação corretiva e acompanhamento
    Prepare um plano de ação corretiva (CAP) para fechar quaisquer não conformidades (lacunas) que sejam enviadas ao provedor de auditoria. O CAP é avaliado por meio de um follow up (ou mais, se necessário) e preenche o relatório TISAX.
  5. Troca de resultados
    O provedor de auditoria carrega o relatório TISAX na plataforma. A empresa auditada decide com quem os resultados devem ser compartilhados. A ENX emite as etiquetas TISAX para a empresa auditada.

A DNV é um provedor de garantia aprovado pela Associação ENX. Por meio de nossa rede de escritórios e auditores locais, podemos fornecer avaliações à TISAX globalmente.

A ENX mantém os critérios do provedor de auditoria e requisitos de avaliação (TISAX ACAR). Ela aprova fornecedores de auditoria e monitora a qualidade da implementação, bem como os resultados da avaliação. A ENX é apoiada pelo Comitê TISAX, formado por representantes de fabricantes, fornecedores e associações.

Contate-nos

Como podemos te ajudar?

Solicite informações

Já sabe o que você precisa?

Solicite orçamento

Assuntos relacionados: