ENDERU

Впровадження та сертифікація VDA та TISAX

Будь ласка, прочитайте наш кейс з впровадження TISAX у компанії, яка розробляє автомобільні системи. Ми пишаємося тим, що завершили один з перших проектів сертифікації TISAX в Україні. Після цього ми використовували наш досвід в інших реалізаціях TISAX. Ми були першими та залишаємося кращими!

Також вам рекомендовано Онлайн-майстер оцінки відповідності ISO 27001. Перевірте за 10 хвилин, наскільки ваша компанія відповідає ISO 27001, а також що та скільки часу вам потрібно для досягнення повної відповідності та сертифікації.

Що таке VDA ISA та TISAX

VDA logotype Міжнародний стандарт інформаційної безпеки VDA ISA розроблено німецькою асоціацією автомобільної промисловості VDA (Verband der Automobilindustrie) на основі стандартів ISO/IEC 27001 та 27002.

Стандарт VDA ISA (Оцінка інформаційної безпеки) містить суворо структуровані критерії оцінки інформаційної безпеки, KPI та додаткові модулі:

TISAX logotype TISAX (Trusted Information Security Assessment Exchange) є фреймворком (структурною основою) для VDA ISA, який дозволяє незалежним постачальникам обмінюватися своїми результатами сертифікації та оцінки зі своїми клієнтами (зазвичай з автомобільної промисловості).

Наші сертифікати (CISSP, ISO 27001 Lead Auditor, CISA, OSCP, CEH, тощо) дозволяють нам охопити як формальні, так і практичні аспекти відповідності безпеки та управління безпекою.

При створенні Системи Управління Інформаційною Безпекою (СУІБ) ми спираємося не тільки на ISO 27001/27002, VDA ISA та TISAX, але й активно використовуємо також інші стандарти та фреймворки, якщо це доцільно у даній конкретній організації, або якщо це в явному вигляді вимагається нашими замовниками або їхніми партнерами: ISO/TS 16949, ASPICE (Automotive Software Performance Improvement and Capability dEtermination), GDPR (General Data Privacy Regulation), тощо.

Наш підхід до реалізації починається з простих кроків, щоб дати вам першу цінність безкоштовно, щоб познайомити вас з процесом і дозволити вам чітко зрозуміти суть робіт з впровадження та вашу роль у них.

Визначення області охоплення та розстановка пріоритетів

Метафора приоритетов Ми готуємо індивідуальні анкети самооцінки для наших клієнтів, щоб почати оцінку поточного стану СУІБ відповідно до VDA ISA. Потім ми визначаємо та документуємо область охоплення та розробляємо план проекту для початкового аудиту та аналізу недоліків.

Визначення області охоплення має вирішальне значення для VDA ISA та TISAX. Будь-які помилки на цьому етапі можуть призвести до надмірних робіт з впровадження та обслуговування або до помилкових результатів сертифікації. Крім того, ми виконуємо первинну розстановку пріоритетів для задач, щоб максимально швидко отримати максимальну безпеку.

Зазвичай область охоплення включає у себе бізнес-процеси клієнта, до яких застосовуються процеси фізичної та логічної безпеки. Вони включають такі процеси, але не обмежуються ними:

Ми виконуємо цей етап для вас безкоштовно. Коли ви розумієте, що зацікавлені у подальшій роботі з нами, ми відправляємо вам комерційну пропозицію та підписуємо договір надання послуг.

Початковий аудит, аналіз недоліків і детальне планування проекту

Ми зазвичай проводимо цей етап протягом 3-4 тижнів, у залежності від затвердженої області охоплення. Під час початкового аудиту ми проводимо співбесіди з співробітниками замовника, перевіряємо документи, оцінюємо фізичну безпеку, периметр, тощо.

Цей етап включає аналіз вихідного або поточного стану процесів і засобів управління інформаційною безпекою, бізнес-процесів і технологічних процесів; аналіз фізичної безпеки приміщень, персоналу, ІТ-інфраструктури, тощо. Результатом цього етапу є звіт про первинний аудит та аналіз недоліків, а також детальний графік впровадження засобів контролю VDA ISA.

План реалізації враховує можливості клієнта виконувати деяку частину завдань проекту своїми силами.

Впровадження процесів та операцій безпеки

Кибербезопасность Цей етап зазвичай виконується протягом 4-9 місяців у залежності від затвердженої області охоплення, вихідного стану, вимог і результатів попереднього етапу.

Цей етап включає в себе виконання наступних важливих кроків, але не обмежується ними:

Результатом цього етапу є не тільки набір документів і записів, які відповідають вашим справжнім процесам, але також нова культура безпеки вашої організації та високий ступінь готовності до офіційної сертифікації.

Процес сертифікації

Зразок сертификату TISAX

Процес сертифікації зазвичай триває 1-3 місяці, у залежності від затвердженої області охоплення. Цей етап включає вибір органу сертифікації, попередній аудит, коригувальні дії та сертифікаційний аудит.

Спочатку ми допомагаємо вам зареєструватися на аудит і заповнити анкету TISAX. Потім ми допомагаємо вам вибрати орган, що сертифікує, зі списку аудиторів TISAX, затверджених ENX. Ми консультуємося з цією організацією від вашого імені.

Потім ви укладаєте угоду з органом сертифікації безпосередньо, та ми починаємо попередній аудит і процес впровадження, що описано вище.

Коли настає дата офіційної сертифікації, ми представляємо вас і демонструємо, що ми створили для вас. Після цього аудитор аналізує результати, збирає докази та складає остаточний звіт. Ми постійно підтримуємо вас і допомагаємо отримувати докази, що запитує аудитор.

Нарешті, ви отримуєте сертифікат TISAX, статус офіційної відповідності та можете ділитися результатами оцінки зі своїми клієнтами через портал ENX.


Зв'яжіться з нами, щоб отримати безкоштовну консультацію з VDA ISA та TISAX:



Що далі?

Сертифікація TISAX дійсна протягом 3 років. Система Управління Інформаційною Безпекою (СУІБ) повинна бути постійно активна. Її слід розвивати, підтримувати та оптимізувати.

Ми забезпечуємо постійну підтримку СУІБ у повному обсязі протягом усього життєвого циклу СУІБ, включаючи, але не обмежуючись:

Ми забезпечуємо керовану відповідність TISAX і повну підтримку подальших підтверджень статусу відповідності TISAX.


Виберіть, будь ласка, що вам цікавіше — отримати допомогу з впровадження VDA/TISAX:


або безкоштовно оцінити відповідність вашої організації вимогам ISO 27001 онлайн за лічені хвилини:


Хто ми, що робимо та що пропонуємо.

Послуги впровадження відповідності вимогам безпеки.

Послуги розширення команди безпеки та віддаленого CISO.


Наші сертифікати:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI