TISAX®
Sicurezza delle informazioni nell’industria automobilistica
In un ambiente innovativo il cui successo dipende da più fattori, la sicurezza nello scambio di informazioni è fondamentale. L’industria automobilistica richiede un approccio “ecosistemico” alla sicurezza delle informazioni all’interno delle sue lunghe e complesse catene di approvvigionamento.
Nell’era digitale le esigenze di sicurezza delle informazioni vanno oltre i fornitori automobilistici, includendo società di marketing e le altre parti coinvolte. La necessità principale è quella di proteggere:
- progetti o informazioni relative alla progettazione, prototipi o piani di investimento segreti;
- big data e process data, legati ai nuovi concetti di digitalizzazione, sviluppo di auto autonome;
- interconnessioni all’interno della rete di filiera;
- i dati personali dei clienti e degli utenti finali.
Cos’è TISAX?
TISAX® (Trusted Information Security Assessment eXchange) è un approccio di valutazione sulla sicurezza delle informazioni basato su un modello di maturity e orientato esplicitamente alle esigenze del settore automobilistico.
La certificazione è applicabile principalmente ai fornitori di primo e secondo livello, ma estendibile a supply chain più complesse, dove la valutazione dell’approccio alla sicurezza (e quindi TISAX®) è un requisito di alcuni OEM.
L’obiettivo dello standard è:
- definire un livello comune di sicurezza per il settore automobilistico (il modello si basa sulla VDA-ISA);
- garantire il riconoscimento delle valutazioni per ridurre costi, sforzi e complessità per produttori e fornitori (i risultati degli assessment possono essere condivisi con i potenziali clienti senza necessità di effettuarli ripetute volte);
- garantire la comparabilità e la qualità delle valutazioni;
- condividere best practice e lezioni apprese;
- permettere ai partecipanti di decidere a chi possono essere rivelati i risultati e il grado di dettaglio degli stessi.
Gli step di GRCteam
Gap Analysis
Formazione e Consulenza
Sviluppo di Documentazione
Audit interno
Pianificazione Audit
Affiancamento costante
Gestione di non conformità
Mantenimento del certificato
TISAX® vs ISO / IEC 27001
Sebbene entrambi riguardino la sicurezza delle informazioni, TISAX si basa sugli elementi chiave dello standard ISO/IEC 27001; si concentra però più sugli elementi specificamente rilevanti per il contesto dell’industria automobilistica.
Le principali differenze sono:
ISO/IEC 27001 |
TISAX |
Standard del sistema di gestione |
Copre i processi di sicurezza delle informazioni e le parti rilevanti per i partner dell’industria automobilistica |
Approccio On/off |
Approccio maturity level |
Scopo definito prima della certificazione |
Scopo prestabilito |
Analisi dei rischi basata sull’azienda |
Analisi dei rischi basata sul gruppo di lavoro VDA-ISA |
L’ente di certificazione rilascia il certificato |
TISAX emette attestato (label) e scambio di registrazione |
Audit periodico e ricertificazione dopo 3 anni |
Validità triennale, no audit periodici |
I vantaggi della certificazione TISAX