TISAX® - 自動車セクターにおける情報セキュリティ
お問い合わせ
ご質問 ・ お問い合わせは、神戸事務所(本部)【 時間 (土日祝除く) 午前9:00 - 午後17:00 】078-291-1321
お問い合わせメール大きな変革期にある自動車業界では、これまで以上に、試作品などの機密情報やブランドイメージの保護、顧客の信頼を勝ち得る為の情報資産の安全な取り扱いが不可欠になっています。
複雑なサプライチェーンを持つ自動車業界は、「エコシステム」の情報セキュリティアプローチを求めています。 デジタル化の時代では、情報セキュリティのニーズは自動車部品のサプライヤーだけでなく、マーケティング、ナビゲーション、通信会社等、エコシステム参画されている様々な組織にまで及びます。
<主様な保護の対象>
・プロジェクトまたは設計情報、試作品または投資計画
・デジタル化の新概念、自動運転車開発にリンクされたビッグデータ/プロセスデータ
・サプライチェーンネットワーク内の相互接続、および顧客の個人データ
TISAX(Trusted Information Security Assessment eXchange)は、自動車業界のニーズを対象とした成熟度ベースの情報セキュリティ評価アプローチです。 主に第1層および第2層のサプライヤに適用できますが、より複雑なサプライチェーンに拡張できます。アセスメントは特定のOEMからの要求です。
なぜTISAXなのか?
TISAXは、自動車業界向けのグローバルな情報セキュリティ標準です。 DNVのような保証プロバイダーは、ENXコンソーシアムによって認定されています。
このスキームの目標は次のとおりです。
・自動車業界に共通のセキュリティレベルを確立する
・製造業者とサプライヤーのコスト、労力、複雑さを
軽減するために、評価の共通認識を確保する
・評価の比較可能性と品質を確保する
・ベストプラクティスと学んだ教訓を交換する
各参加者に、結果を公開する相手と詳細度を決定させます
TISAXは、ドイツ自動車工業会(VDA)の従来の情報セキュリティ規則(ISA)と、ISO / IEC 27001の付属書A(管理策)と、いくつかのプライバシー要件を組み合わせ たものです。
ベネフィット
TISAXの評価は、特定のメーカーからの取引要件であるだけでなく、サプライチェーンの信頼の構築にも貢献します。 参加しているサプライヤーは、次のようなメリットがあります。
・欧州の主要な自動車メーカーによって認められている。
・情報セキュリティ違反とサイバー攻撃の防止。
・顧客の信頼を得る
・リスクの特定と対処
・正当な情報セキュリティプロセスの認識を得る。
・ENX exchange を通じて評価結果を共有されます。
TISAX vs ISO/IEC 27001
どちらも情報セキュリティをカバーしていますが、TISAXは、情報セキュリティマネジメントシステム規格ISO / IEC 27001の主要な要素に基づいています。ただし、自動車業界に関連する要素に焦点を当てています。
主な違いは次のとおりです。
| ISO/IEC 27001 | TISAX |
| マネジメントシステム規格 | 自動車業界のパートナーに関連する情報セキュリティプロセスとパーツ |
| 適合性評価のアプローチ | 成熟度レベルのアプローチ |
| 認証範囲は組織が内部・外部の
課題を踏まえ決定 | 認証範囲はあらかじめ決定されている |
| 組織ベースのリスク分析 | VDA-ISA working groupベースのリスク分析 |
| 認証機関が認証書を発行 | TISAXがラベルと交換登録を発行 |
| 定毎年の定期監査と3年後の再認証監査 | 3年間有効で定期監査はなし |
評価方法について
プログラムに参加する企業は、参加者としてENXに登録する必要があります。 プロセスは段階的に設定されます。
1.初めにTISAXの要求事項を理解します。
2.準備
TISAXポータルに登録、監査プロバイダーを選択し監査の準備をします。
これにはコンプライアンス/準備状況測定するための自己評価が含みます。
3.アセスメント
監査の実施方法はリモート(レベル2)監査または物理的(レベル3)監査のどちらの資格があるかによって異なります。 監査自体は、 インタビュー、文書レビュー、調査結果の明確化と次へのステップで構成されています。
4.是正処置計画とフォローアップ
監査プロバイダーに提出された調査結果(ギャップ)をクローズするための是正措置計画(CAP)を準備します。CAPは、フォローアップ(または必要に応じてそれ以上)を通じて評価され、TISAXレポートを完成します。
5.結果の登録と公開
監査プロバイダーはTISAXレポートをプラットフォームにアップロードします。 監査を受けた会社は、結果を誰と共有するかを決定します。ENXはTISAXラベルを監査を受けた会社に発行します。
DNVによるサポート
DNVは、ENXの認定を受けたアセッサーとして、ローカルオフィスと監査人のネットワークを通じて、TISAXに対しグローバルにアセスメントを提供できます。 ENXは、監査プロバイダーの基準と評価要件(TISAX ACAR)を維持します。 監査プロバイダーを承認し、実装の品質と評価結果を監視します。 ENXは、メーカー、サプライヤー、協会の代表者で構成されるTISAX委員会によってサポートされています。