Jesteśmy firmą konsultingową, specjalizującą się w usługach SAP, outsourcingu IT i rozwoju oprogramowania. Wspieramy biznes naszych klientów. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP, światowego lidera w zakresie transformacji środowisk SAP

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

TISAX dla automotive

Nowy standard bezpieczeństwa informacji

Udostępnij
W związku z postępującym rozwojem technologicznym w branży motoryzacyjnej coraz ważniejszą rolę odgrywa bezpieczeństwo informacji. Skuteczna ochrona know-how – wzorów prototypów czy szczegółów procesów technologicznych – może zaważyć na sukcesie nowego modelu samochodu. Platforma TISAX zapewnia weryfikację branżowych kontrahentów. Jak dołączyć do grona najbezpieczniejszych firm automotive?
 

Problematyką bezpieczeństwa informacji w przemyśle motoryzacyjnym zajmuje się niemieckie stowarzyszenie Verband der Automobilindustrie (VDA). Jego wiodącym celem jest standaryzacja, prowadzenie badań i rozwój branży. Jest ono również gospodarzem International Motor Show Germany we Frankfurcie. Zrzesza producentów samochodów oraz wszystkich uczestników łańcucha dostaw. Członkami VDA są takie marki jak BMW, Volkswagen, Mercedes-Benz, Daimler oraz ponad 600 innych firm z branży motoryzacyjnej na całym świecie.

Wychodząc naprzeciw potrzebom rynkowym dotyczącym zapewnienia najwyższego poziomu ochrony i bezpieczeństwa informacji, VDA opracowało szczegółową listę kontrolną bezpieczeństwa informacji – Information Security Assessment (VDA ISA). Ankieta ta stanowi kompleksową podstawę do przeprowadzenia wewnętrznego i zewnętrznego audytu organizacji.

Geneza jej powstania związana jest z uniwersalnym podejściem do procesowego modelu ochrony informacji, jakie prezentuje norma ISO/IEC 27001. VDA ISA rozszerza jej zakres o zagadnienia specyficzne dla branży motoryzacyjnej. W ciągu dziesięciu lat od momentu uruchomienia przez VDA pierwszej grupy roboczej z zakresu bezpieczeństwa informacji, VDA ISA stało się nowym narzędziem oceny poziomu ...

Problematyką bezpieczeństwa informacji w przemyśle motoryzacyjnym zajmuje się niemieckie stowarzyszenie Verband der Automobilindustrie (VDA). Jego wiodącym celem jest standaryzacja, prowadzenie badań i rozwój branży. Jest ono również gospodarzem International Motor Show Germany we Frankfurcie. Zrzesza producentów samochodów oraz wszystkich uczestników łańcucha dostaw. Członkami VDA są takie marki jak BMW, Volkswagen, Mercedes-Benz, Daimler oraz ponad 600 innych firm z branży motoryzacyjnej na całym świecie.

Wychodząc naprzeciw potrzebom rynkowym dotyczącym zapewnienia najwyższego poziomu ochrony i bezpieczeństwa informacji, VDA opracowało szczegółową listę kontrolną bezpieczeństwa informacji – Information Security Assessment (VDA ISA). Ankieta ta stanowi kompleksową podstawę do przeprowadzenia wewnętrznego i zewnętrznego audytu organizacji.

Geneza jej powstania związana jest z uniwersalnym podejściem do procesowego modelu ochrony informacji, jakie prezentuje norma ISO/IEC 27001. VDA ISA rozszerza jej zakres o zagadnienia specyficzne dla branży motoryzacyjnej. W ciągu dziesięciu lat od momentu uruchomienia przez VDA pierwszej grupy roboczej z zakresu bezpieczeństwa informacji, VDA ISA stało się nowym narzędziem oceny poziomu dojrzałości systemów zarządzania bezpieczeństwem informacji (SZBI).

W maju 2016 roku powołano Trusted Information Security Assessment Exchange (TISAX), który odnotowuje istotny wzrost liczby uczestników, szczególnie wśród firm o rodowodzie niemieckim. Członkostwo w TISAX adresowane jest do producentów samochodów, dostawców części samochodowych, surowców i innych podmiotów z łańcucha dostaw, usługodawców, w tym szczególnie z zakresu IT. Potrzebę przynależności do TISAX zauważyli również inni dostawcy usług dla klientów, w tym duże sieci sprzedaży, leasingu, serwisu gwarancyjnego i pogwarancyjnego.

Członkami są także instytuty badawcze oraz wiele innych podmiotów związanych z branżą motoryzacyjną.

Firmy wskazują kilka podstawowych korzyści z przystąpienia do TISAX. Najważniejsze z nich to:

  • możliwość udowodnienia partnerowi biznesowemu określonego poziomu bezpieczeństwa informacji zgodnie z wymaganiami VDA ISA;
  • możliwość weryfikacji oceny poziomu bezpieczeństwa kontrahenta;
  • wiarygodność i obiektywizm standardu.

Wdrożenie systemu zarządzania bezpieczeństwem informacji

Przed przystąpieniem do TISAX każda organizacja musi wykonać wdrożenie (lub dostosowanie, np. rozszerzenie wdrożonego ISO/IEC 27001) własnego SZBI, wykorzystując publikowaną przez VDA dokumentację. Jednolite i spójne wymagania gwarantują funkcjonowanie i doskonalenie systemu we wszystkich podmiotach, które zdecydowały się na wdrożenie. Podobnie jak ma to miejsce przy wdrożeniach ISO/IEC 27001, przygotowanie do certyfikacji warto konsultować z ekspertami SNP, którzy pomogą zaprojektować lub rozszerzyć funkcjonujący już SZBI. Co ważne z perspektywy organizacji – dobrze zrealizowane wdrożenie gwarantuje zarówno zgodność z listą kontrolną ISA, jak również uwzględnia realia prowadzonego biznesu. Oznacza to, że nie da się dobrze wdrożyć systemu poprzez zastosowanie gotowych dokumentów lub bez przeszkolenia pracowników. Prawidłowo funkcjonujący SZBI wpływa na wysokość oceny końcowej przedsiębiorstwa.

Już po zakończonym wdrożeniu, w procesie ciągłego doskonalenia, konieczne jest monitorowanie jego funkcjonowania poprzez cykliczne audyty, weryfikację bezpieczeństwa IT, testy penetracyjne i socjotechniczne, zarządzanie hasłami oraz inne działania pozwalające zminimalizować ryzyko wystąpienia incydentu.

Wdrożony i zakorzeniony w organizacji system zarządzania bezpieczeństwem informacji podlega następnie akredytowanemu audytowi zewnętrznemu, po zakończeniu którego przedsiębiorstwo uzyskuje możliwość prezentacji własnego osiągnięcia swoim partnerom biznesowym.

Członkostwo w TISAX

Całość procesu składa się z trzech etapów:

  • rejestracji;
  • oceny;
  • wymiany.

Czas trwania poszczególnych etapów jest uzależniony od wielu czynników (np. wielkości całej organizacji, poziomu dojrzałości jej SZBI). Warto zatem mieć pewność, że przed formalnym rozpoczęciem akcesu członkowskiego organizacja została dostosowana do wymagań VDA ISA, aby bezproblemowo przejść przez wszystkie etapy, zwłaszcza audyt certyfikacyjny.

Rejestracja

Rejestracja odbywa się całkowicie online, za pośrednictwem formularza internetowego umieszczonego na stronie www.enx.com. W wyniku zaakceptowania ogólnych warunków uczestnictwa w TISAX („TISAX Participation General Terms and Conditions”) następuje zawarcie umowy. Głównym celem rejestracji jest zebranie informacji o firmie. Dla potrzeb instytucji audytującej zdefiniowany musi zostać zakres oceny. Obejmuje on wszystkie procesy i zaangażowane zasoby, np.: pracowników, systemy IT, usługi w chmurze, centra danych, sprzęt roboczy. W ramach tego ocenie podlegają wszelkie procesy, które obejmują zbieranie, przechowywanie, przetwarzanie informacji. Rejestrując organizację, należy wskazać fizyczną lokalizację należącą do zakresu oceny.

Ocena

Kolejnym krokiem jest wybór celu oceny spośród wskazanych przez TISAX. Cel oceny określa obowiązujące wymagania, które musi spełniać funkcjonujący SZBI – obecnie określonych jest 6 celów oceny (np. jeżeli firma zajmuje się prototypami swojego partnera o bardzo wysokim poziomie ochrony, to jej celem będzie cel nr 6 z tabeli – „Obsługa prototypów o bardzo wysokim poziomie ochrony”). Cele dotyczące bezpieczeństwa informacji są zawsze obowiązkowe, natomiast potrzeby biznesowe lub dodatkowe cele mogą wpływać na konieczną wysokość poziomu oceny.

W ramach tego etapu obowiązkowe jest także podanie danych kontaktowych osoby będącej pełnomocnikiem ds. bezpieczeństwa w zakresie współpracy z TISAX.

Ocena dokonywana jest w oparciu o listę kontrolną VDA ISA, a proces ten przebiega w dwóch fazach. Faza pierwsza polega na dokonaniu samooceny przez przedsiębiorstwo. Wynik samooceny podlega interpretacji, której celem jest uzyskanie odpowiedzi na pytanie, w jakim stopniu funkcjonujący w organizacji SZBI jest dojrzały i skuteczny, a w jakim stopniu wymaga wprowadzenia działań korygujących. Jeżeli w wyniku dokonanej samooceny organizacja uzna, że jest gotowa do właściwej oceny, następuje faza druga, czyli ocena przez akredytowanego audytora TISAX.

Podczas przeprowadzanego audytu sprawdzany jest poziom zgodności stanu faktycznego z wymaganiami określonymi w ankiecie VDA ISA. Wynikiem audytu jest stwierdzenie zgodności lub niezgodności (małej lub poważnej) z określonymi wymaganiami.

W przypadku pozytywnej oceny podmiot audytowany otrzymuje etykietę TISAX, w przypadku małej niezgodności – etykietę warunkową, a przy dużej niezgodności nie otrzymuje etykiety. Proces oceny dokonywany przez audytora dokumentowany jest w raporcie, którego wstępną wersję podmiot zlecający audyt otrzymuje do wglądu i wniesienia ewentualnych uwag. W sytuacji, gdy w wyniku audytu stwierdzona zostanie niezgodność, konieczne jest wdrożenie działań korygujących oraz naprawczych i zrealizowanie oceny uzupełniającej. Doprecyzować tu należy, że w ramach oceny rozróżniana jest tzw. niewielka niezgodność oraz poważna niezgodność. Ta pierwsza ma miejsce wtedy, gdy audytor nie kwestionuje ogólnej skuteczności SZBI, a niezgodność ta nie stwarza istotnego ryzyka bezpieczeństwa informacji. W tym przypadku można otrzymać tymczasowe etykiety TISAX do czasu rozwiązania wszystkich niezgodności. Przy stwierdzeniu poważnej niezgodności wzbudzającej wątpliwości co do ogólnej skuteczności SZBI lub powodującej znaczne ryzyko dla bezpieczeństwa informacji, konieczne jest najpierw rozwiązanie problemu. Audyt wdrożonego systemu w oparciu o kryteria ankiety VDA ISA zakończony jest oceną punktową.

Wynik tego sprawdzenia dostępny jest na platformie TISAX w postaci oceny zgodności (etykiety). Członkowie TISAX wzajemnie uznają oceny zrealizowane w oparciu o ankietę, pozwalając każdemu podmiotowi, będącemu uczestnikiem TISAX, w ramach potrzeby udowodnić dojrzałość swojego SZBI.

Rafał Grześkowiak, Lider Zespołu Projektów IT, SNP Poland

Kompleksowe usługi bezpieczeństwa od SNP

Na efekt „bezpieczeństwa informacji” w każdej organizacji składa się szereg powiązanych ze sobą elementów organizacyjnych i technicznych, a kluczem do sukcesu jest w równej mierze skuteczne wdrożenie SZBI, jak i jego ciągłe doskonalenie. Odpowiedzialny za system oficer bezpieczeństwa (np. w randze pełnomocnika Zarządu) ma za zadanie m.in.: stosowanie w organizacji regulacji zawartych w dokumentacji SZBI; realizację audytów; organizację szkoleń; koordynowanie prac Forum Zarządzania Bezpieczeństwem Informacji i doskonalenie systemu.

Z oficerami bezpieczeństwa współpracujemy nie tylko w trakcie trwania projektu wdrożeniowego, ale również w późniejszym procesie utrzymania. Wspieramy ich w tych zadaniach, które z różnych powodów nie mogą być zrealizowane wewnętrznymi zasobami organizacji, a które tworzą cały ekosystem bezpieczeństwa informacji, np.:

  • merytoryczne wsparcie w inwentaryzacji aktywów i zarządzaniu ryzykiem,
  • współpraca w opracowaniu dokumentacji systemowej,
  • bezpieczeństwo danych osobowych,
  • szkolenia dla pracowników,
  • testy penetracyjne i audyty IT,
  • bezpieczeństwo przetwarzania w chmurach (AWS, Azure),
  • hardening konfiguracji systemów,
  • wdrożenia rozwiązań z zakresu bezpieczeństwa sieci,
  • monitoring dostępności, wydajności i incydentów,
  • zarządzanie hasłami i dostępami,
  • architektury wysokiej dostępności.

Rafał Grześkowiak, Lider Zespołu Projektów IT, SNP Poland

Wymiana

Po wydaniu końcowego raportu następuje przesłanie go przez audytora do platformy wymiany, co otwiera ostatni już, trzeci etap przystępowania do TISAX. Wynik oceny będzie możliwy do udostępniania uczestnikom TISAX tylko w przypadku stwierdzenia przez audytora pełnej zgodności. W systemie można publikować ogólne fragmenty ocen do wglądu dla wszystkich członków TISAX, a także udostępniać pełne lub wybrane części ocen konkretnym odbiorcom.

Etykiety TISAX utrzymują swoją ważność przez trzy lata. Termin ważności biegnie od daty wstępnej oceny, jeszcze przed otrzymaniem raportu od audytora. Okres ważności może się skrócić w sytuacji, gdy nastąpią istotne zmiany dotyczące zakresu oceny (np. zmiana lokalizacji lub profilu działalności). Odnowienie etykiet wymaga ponownego przejścia wszystkich trzech etapów procesu.

Uproszczony zostaje jedynie pierwszy etap rejestracji, gdzie nie ma już konieczności przedstawiania organizacji, jednak ponownie wymagane jest określenie zakresu oceny. TISAX rekomenduje, aby czynności związane z ponownym uzyskaniem etykiety rozpocząć w terminie co najmniej roku przed upływem ważności aktualnej oceny.

Korzyści

Pomimo, że przedstawiony proces przystępowania do TISAX może wydawać się skomplikowany, niewątpliwie jego przejście i przystąpienie do TISAX niesie dla firmy wiele korzyści. Dostosowanie przedsiębiorstwa do standardu określonego przez VDA ISA (a tym samym w dużej mierze do ISO/IEC 27001) owocuje aktywnym zarządzaniem ryzykiem w organizacji i redukuje potencjał strat. Członkowie TISAX wzajemnie honorują otrzymane oceny i działają w ramach standardu ustalającego równy poziomu ochrony danych, co niweluje konieczność wzajemnego audytowania się. W sytuacji żądania przedstawienia swojej oceny przez kontrahenta, wcześniejsza przynależność do TISAX przyspiesza nawiązanie współpracy. Uczestnictwo w TISAX stanowi niepodważalną przewagę nad niecertyfikowaną konkurencją. Ocena TISAX dowodzi dojrzałości organizacji i skuteczności wdrożonego SZBI.

 

Bartosz Frankowski, Konsultant IT w Zespole Projektów IT, SNP Poland

Różnice TISAX vs ISO 27001

Stowarzyszenie VDA powołało własny zespół ds. bezpieczeństwa informacji już ponad dekadę temu. Postawiono przed nim zadanie opracowania standardu przemysłowego, uwzględniającego specyfikę branży motoryzacyjnej. Kierując się pragmatyzmem, oparto się o istniejące, sprawdzone rynkowo doświadczenia w zakresie bezpieczeństwa informacji. Postanowiono budować na wcześniejszych kompetencjach i dobrych praktykach, unikając w ten sposób ryzyka, jakim bywają obarczone nowe, niedojrzałe projekty.

Na fundament nowego autorskiego standardu wybrano normę ISO/IEC 27001 (System Zarządzania Bezpieczeństwem Informacji), którą rozszerzono o zagadnienia szczególnie ważne dla branży motoryzacyjnej, tj. kwestie ochrony prototypów, zarządzania kontaktami z podmiotami zewnętrznymi oraz problem jednolitej polityki klasyfikacji informacji. W ten sposób, zachowując trzon wynikający bezpośrednio z ISO/IEC 27001 i 27002, opracowano listę kontrolną VDA ISA (Information Security Assessment).

Budowanie systemu zarządzania bezpieczeństwem informacji, zarówno w oparciu o normy ISO, jak i zalecenia VDA ISA, często wymaga wprowadzenia w organizacji szeregu zmian, zorientowanych na ochronę aktywów ocenionych jako wrażliwe. Jednakże, z uwagi na wspólne korzenie, implementacja SZBI na podstawie kryteriów z dowolnego z tych dwóch słowników prowadzi do powstania wysoce zbieżnych rozwiązań.

Tym samym, organizacja posiadająca certyfikat ISO/IEC 27001, niewielkim dodatkowym dostosowaniem, jest w stanie osiągnąć wysokie oceny w ramach celów zdefiniowanych przez VDA ISA. Komplementarnie, organizacja posiadająca wysoką ocenę VDA ISA (poziom 4-5), minimalnym nakładem pracy jest w stanie osiągnąć gotowość do certyfikacji ISO/IEC 27001.

Ankieta VDA ISA w zakresie ochrony informacji i relacji z dostawcami pozostaje w bezpośrednim powiązaniu z załącznikiem A1 do ISO/IEC 27001 i jedynie zalecenia odnośnie do ochrony prototypów oraz wspólnej klasyfikacji informacji w niewielkim stopniu wykraczają ponad oczekiwania ISO.

Bartosz Frankowski, Konsultant IT w Zespole Projektów IT, SNP Poland

Uzyskaj dostęp do Poradników

Pełne teksty poradników są dostępne po zalogowaniu.

Zaloguj się Zarejestruj się

Zobacz ten poradnik w innym języku

Ta sama treść jest dostępna w serwisie w innym języku:

Zobacz poradnik - angielski

Udostępnij

Polecana oferta

Case studies

Poradniki

Chcesz przeczytać cały artykuł?

Zaloguj się do Lepszego Biznesu!

609
PORADNIKÓW
9197
UŻYTKOWNIKÓW

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00