DNVGL.com.br

TISAX® - Segurança da informação no setor automotivo

TISAX_Info_Security_Automotive

Contate-nos

Precisa de mais informações?

Sim, por favor.

Em um ambiente extremamente inovador que depende de vários participantes para ter sucesso, a troca segura de informações é essencial para proteger as informações confidenciais, como protótipos, proteger a reputação da marca e construir a fidelidade do cliente.

Com uma cadeia de suprimentos longa e complexa, a indústria automotiva exige uma abordagem “ecossistêmica” de segurança da informação. Em nossa era digital, as necessidades de segurança da informação vão além dos fornecedores automotivos, passando por empresas de marketing e outras partes envolvidas. A necessidade primária é proteger:

  • projetos ou informações de design, protótipos ou planos secretos de investimento,
  • big data e process data, ligados aos novos conceitos de digitalização, o desenvolvimento de carros autônomos,
  • interconexões dentro da rede da cadeia de abastecimento,
  • e os dados pessoais dos clientes

O TISAX (Trusted Information Security Assessment eXchange) é uma abordagem de avaliação de segurança da informação baseada na maturidade voltada para as necessidades da indústria automotiva. Aplicável principalmente a fornecedores de 1ª e 2ª camadas, mas extensível a cadeias de suprimentos mais complexas, a avaliação é um requisito de certos OEMs.

Por que TISAX?

O TISAX é uma norma de segurança da informação para a indústria automotiva.  Provedores de garantia, como a DNV GL, são acreditados pelo ENX Consortium. O objetivo da norma é:

  • estabelecer um nível comum de segurança para a indústria automotiva
  • garantir o reconhecimento comum de avaliações para reduzir custos, esforços e complexidade para fabricantes e fornecedores
  • garantir a comparabilidade e qualidade das avaliações
  • troca de melhores práticas e lições aprendidas
  • deixar cada participante decidir a quem os resultados serão revelados e o grau de detalhe

O TISAX combina as antigas Regras de Segurança da Informação (Information Security Rules - ISA) do German Verband der Automobilindustrie (VDA) com a ISO/IEC 27001 Apêndice A (Technical Controls), bem como alguns requisitos de Privacidade. 

Benefícios 

Além de ser um requisito de ingresso para o comércio de certos fabricantes, as avaliações TISAX contribuem para construir a confiança da cadeia de suprimentos. Os fornecedores participantes podem se beneficiar de:

  • Ser reconhecido por Fabricantes Automotivos;
  • Prevenir violações de segurança da informação e ataques cibernéticos;
  • Ganhar a confiança do cliente;
  • Identificar e abordar riscos;
  • Obter reconhecimento pelos devidos processos de segurança da informação;
  • Compartilhar resultados da avaliação por meio do intercâmbio ENX.

TISAX® versus ISO/IEC 27001

Embora ambos cubram a segurança da informação, o TISAX se baseia em elementos-chave da norma de sistema de gestão de segurança da informação ISO/IEC 27001. No entanto, ele se concentra nos elementos especificamente relevantes para o contexto da indústria automotiva.

As principais diferenças são:

ISO/IEC 27001TISAX
Norma de Sistema de GestãoAbrange processos de segurança da informação e peças relevantes para parceiros da indústria automotiva
Abordagem On/off Abordagem de nível de maturidade
Escopo definido antes da certificaçãoEscopo é fixo
Análise de risco baseada na empresaAnálise de risco baseada em grupo de trabalho VDA-ISA
O organismo de certificação emite certificadoTISAX emite etiqueta e registro de troca
Auditoria periódica e recertificação após 3 anosValidade de 3 anos, sem auditorias periódicas

Como ser avaliado?

As empresas que entram no programa devem se registrar na ENX como participante.

O processo é configurado em etapas:

  1. Atenção 
    Conheça os requisitos do TISAX.
  2. Preparação
    Cadastre-se no portal TISAX, selecione seu órgão de auditoria e prepare-se para a auditoria. Isso inclui uma autoavaliação para medir sua conformidade e prontidão.
  3. Avaliação
    A forma como a auditoria é executada depende se você se qualifica para uma auditoria remota (Nível 2) ou física (Nível 3). A auditoria em si consiste em entrevistas, revisão de documentos, esclarecimento de possíveis descobertas e próximas etapas.
  4. Plano de ação corretiva e acompanhamento
    Prepare um plano de ação corretiva (CAP) para fechar quaisquer não conformidades (lacunas) que sejam enviadas ao provedor de auditoria. O CAP é avaliado por meio de um follow up (ou mais, se necessário) e preenche o relatório TISAX.
  5. Troca de resultados
    O provedor de auditoria carrega o relatório TISAX na plataforma. A empresa auditada decide com quem os resultados devem ser compartilhados. A ENX emite as etiquetas TISAX para a empresa auditada.

Como a DNV GL pode ajudar?

Como um avaliador credenciado pela ENX, a DNV GL pode fornecer avaliações à TISAX globalmente, por meio de nossa rede de escritórios e auditores locais.

A ENX mantém os critérios do provedor de auditoria e requisitos de avaliação (TISAX ACAR). Ela aprova fornecedores de auditoria e monitora a qualidade da implementação, bem como os resultados da avaliação. A ENX é apoiada pelo Comitê TISAX, formado por representantes de fabricantes, fornecedores e associações.

Contate-nos

Precisa de mais informações?

Sim, por favor.

Assuntos relacionados: