facebookpixel

TISAX

Ska ni TISAX-certifiera er? Ta hjälp av oss genom hela TISAX-kedjan, från gap-analys till att bli redo för certifiering.

Boka ett möte
Hur går det till?

Med djup expertkunskap kan vi på JSC it-partner hjälpa er i alla aspekter kopplade till certifieringsarbetet.

TISAX

Er partner för cybersäkerhet vid TISAX-certifiering

Att certifiera sig mot TISAX (Trusted Information Security Assessment eXchange) är en nödvändighet för många leverantörer inom fordonsindustrin idag. Standarden gäller såväl rutiner och arbetssätt som tekniska beståndsdelar. Oavsett om ert företag omfattar endast information security eller även prototype security och data protection kan vi med vår breda expertis inom IT och informationssäkerhet vara er partner genom hela förloppet.

Varför anlita JSC?

JSC it-partner är ett företag med en heltäckande IT-leverans – från molntjänster till cybersäkerhet och verksamhetsapplikationer som ledningssystem och ärendehanteringssystem. Vi förstår hela den infrastruktur, processer och arbetssätt som omfattas av TISAX och hjälper bolag med alla aspekter av cybersäkerhet som omfattas av certifieringen.

Hur går en TISAX-certifiering till?

En TISAX-certifiering kan delas upp i ett antal steg. Vi kan vara med från början eller komma in i vilket skede som helst under processen:

Steg 1

Vilken TISAX-certifiering gäller för dig?

TISAX registrering

Det första steget är att ta reda på vilken typ av certifiering som du omfattas av. Detta val sker utifrån vilken typ av leverantör du är och vilken typ av information som du hanterar åt din kund/kunder. Är det extra skyddsvärd information du hanterar, hanterar du prototypdelar eller hela testbilar, lanseringsinformation för events etc. så påverkar det målbilden och nivån av certifieringen.
I bästa fall – och oftast – sker denna process tillsammans med eller baserad på krav från din kund/kunder. I detta läge behöver du också bestämma om ditt “scope” omfattar flera fysiska platser som behöver vara med. Omfattningen (scopet) kan du ändra under resans gång, så länge det görs innan din certifiering har gjorts klar. 

I samband med din registrering får du ett så kallat “TISAX Registry Excerpt” och en lista på vilka godkända certifieringsföretag du kan kontakta för att få en offert på certifieringsarbetet.

I samband med registreringen ska du genomföra och skicka in en Self-assessment AL1 (med hjälp av dokumentet ISA) som en startpunkt för mäta din nuvarande position och samtidigt få en bra grund för att planera och estimera vilka insatser som krävs för att komma i mål.

TISAX gap-analys

Steg 2

Välj audit provider

Välj vilket certifieringsföretag (audit provider) som ska göra certifieringsrevisionen hos er. Ta gärna in flera offerter inför detta val. Tillsammans med certifieringsföretaget du valt gör ni en övergripande tidsplan för när revisionen ska genomföras. Viktigt att tänka på är att du får inte välja ett företag som ni sedan tidigare haft en affärsrelation med, t.ex. i en konsultleverans.

Steg 3

Åtgärdsplan

Med självbedömningen som bas från steg 1, gör eventuella fördjupade/detaljerade bedömningar och påbörja arbeta med en åtgärdsplan för att stänga identifierade gap och börja implementera dessa i verksamheten.
TISAX tredjepartsbedömning
TISAX åtgärdsplan

Steg 4

Uppdatera self-assessment

När ni bedömer att ni är i mål med att implementera åtgärder i er organisation är det dags att förbereda er inför en revision. Genom att göra en uppdaterad “self-assessment” – som en internrevision inför den kommande slutrevisionen. I denna säkerställer ni eventuella kvarvarande gap samt förbereder information och dokumentation som visar på att den rutin eller process ni har på plats också efterlevs och fungerar i vardagen.

Steg 5

Extern revision

Extern revision med certifieringsföretaget ni valt. Revisorn kommer att ta kontakt med er för att få tillgång till er information och ert resultat av status och bedömningen ni gjort under steg 4.
TISAX implementera åtgärder
TISAX granska och uppdatera

Steg 6

Avvikelsehantering

Hantering av mindre avvikelser från revisionen (normalt 3 månader, men vid särskilda skäl kan tiden förlängas).
Efter godkänd hantering av avvikelserna får ni ett slutresultat och därefter er “TISAX LABEL”.

När ni fått klartecken och fått er label så gäller denna under 3 år innan ny revision krävs för att visa på er compliance.

Ett litet “men”

Att jobba systematiskt med informations- och it-säkerhet är inte ett projekt som har ett slut, utan är ett kontinuerligt arbete med att säkerställa en bra efterlevnad av det ledningssystem vi nu har på plats. Ett bra sätt att göra detta är att planera in internrevisioner minst årligen för att säkerställa att ni hanterar förändringar och rutiner runt säkerhetsfrågorna på rätt sätt.
Exempel på efterlevnad: 

  • Processrevisioner
  • Uppdaterade tillgångsregister och klassificeringar
  • Riskanalyser
  • Kontinuitetstester i verksamheten, återställningstester osv.

Vår roll i er certifiering innefattar bland annat att stötta er i uppförandet av ett ledningssystem för informationssäkerhet. Det involverar riskanalyser, policyarbete, kontinuitetsplanering, tekniska skyddsåtgärder samt informationsklassificering. Det kan även omfatta mer ämnesspecifik hantering av åtkomst och behörigheter, klientsäkerhet, backup och återläsning – med mera.

Vill du boka ett möte?

Fyll i formuläret nedan för att inleda en dialog eller kontakta oss direkt.

Vad är TISAX?

TISAX är en säkerhetsstandard som är framtagen av den tyska fordonsindustrins intresseförening, Verband der Automobilindustrie (VDA). Standarden lanserades år 2017 och har sedan dess blivit en central del av branschens säkerhetsprotokoll. Syftet med standarden är att säkerställa att leverantörer till den tyska fordonsindustrin har ett aktivt arbete inom informationssäkerhet och då med spetsfokuset på att skydda just fordonstillverkarnas information. TISAX utgör en mognadsbaserad bedömning av informationssäkerhet utifrån fordonsindustrins behov och krav.

TISAX omfattar tre olika delar, informationssäkerhet, personuppgiftsskydd (i två nivåer) samt prototyphantering. Precis som i arbetet med ISO27001, handlar standarden övergripande om att mappa risker mot informationstillgångar och utifrån det implementera rutiner och skyddsfunktioner som adresserar riskerna.
För att genomföra en TISAX-certifiering krävs ledningens stöd och en stark intern projektledning. Precis som med cybersäkerhet generellt, bygger det på riskmedvetenhet, riskanalyser samt konsekvensbedömningar. Dessutom handlar det om att ha god kontroll över företagets informationstillgångar. Detta innebär att man behöver sätta upp ett ledningssystem för informationssäkerhet. I praktiken handlar det alltså om såväl nya arbetssätt som investeringar i IT-säkerhetstekniska lösningar. En TISAX-certifiering är med andra ord inte en pappersprodukt utan ett iterativt arbete med att öka informationssäkerheten på företaget – dessutom på många olika nivåer av organisationen.

Fordonsindustrin är en föregångare i att såväl applicera effektiva processer med hjälp av IT, som att förstå riskerna. TISAX-registreringen täcker i hög grad det som EU nu inför i och med NIS2-direktivet. Leverantörskedjorna inom fordonsindustrin är kritiska verksamheter. Utöver säkerhetsområdet har fordonsindustrin sedan tidigare även egna kvalitetsregelverk (IATF) för att säkerställa kvaliteten och leveransförmågan.

Varför TISAX?

Enkelt förklarat handlar TISAX-certifieringen om att uppnå två centrala mål för fordonsindustrin:

  • Att säkerställa ett effektivt skydd av konfidentiell information som behöver utbytas i en komplex leverantörskedja. Det kan handlar om t ex projektinformation, investeringsplaner, prototyp och designinformation men också om personuppgifter.
  • Att säkerställa förmågan att kontinuerligt kunna leverera produkter och tjänster till utveckling och produktion inom fordonsindustrin utan avbrott. I detta fall handlar det t. ex. om att undvika stillestånd i produktion och leveranser genom att ha bra skydd mot hoten att bli utsatta för attacker som riskerar tillgängligheten till information, t. ex. en ransomware-attack. Tänk på att även era underleverantörer kan spela en viktig roll i er förmåga att leva upp till kraven från TISAX.

Gemensamt överenskomna “lägsta” säkerhetskrav i kombination med ett gemensamt erkännande av bedömningarna kan målen uppnås till en så kostnadseffektiv nivå som möjligt då det förenklar hanteringen i affärsdialogen mellan inblandade parter. Genom att vara en så kallad “TISAX-participant” så är du en del i nätverket och kan utbyta information och resultat med andra deltagare i nätverket.

Fördelarna med TISAX

I en digital värld där cyberhoten blir allt mer sofistikerade, står svenska industriföretag inför en ökad risk för informationssäkerhetsbrott. Konsekvenserna av att bli utsatt kan vara enorma.
För att skydda sina informationstillgångar krävs ett kontinuerligt arbete, vilket också speglas i TISAX-standarden. Den bygger på ISO/IEC 27001:s ramverk men är anpassad för att möta de unika behoven hos fordonsindustrins aktörer, inklusive leverantörer och tillverkare.
En TISAX-certifiering innebär med andra ord inte att man ”bara” tillgodoser yttre krav – det resulterar också i en höjning av cybersäkerheten i den egna organisationen. Har man genomgått en TISAX-certifiering är man alltså bättre rustad, i och med att det för med sig en mängd åtgärder och rutiner som syftar till att stärka säkerheten.
Även om TISAX ursprungligen utvecklades för fordonsindustrin, kan dess principer och metoder appliceras på andra industrisektorer. För svenska industriföretag som strävar efter att upprätthålla en hög nivå av informationssäkerhet, kan TISAX erbjuda en vägledning för att uppnå detta mål.

 

Genom säkerhetsåtgärder skapas en bättre förmåga att stå emot cyberattacker och skydda väsentlig information för att kunna upprätthålla leveransförmåga:
1. Robustare försvar mot cyberattacker genom att möta kraven inom informationssäkerhet.
2. Standardisering – Mäter mognadsgraden inom många olika säkerhetsområden som hjälper dig att bygga en effektivare och säkrare verksamhet genom bra standardiserade rutiner och skyddsåtgärder med ett förbättringstänk.
3. Konkurrensfördelar och “dörröppnare” för framtida affärer.

Fördelar med utvärdering

TISAX-bedömningar är inte bara ett krav från vissa tillverkare, utan bidrar också till att skapa förtroende i leveranskedjan. Deltagande leverantörer kan dra nytta av:

  • Erkänd certifiering av fordonstillverkare
  • Förhindrar brott mot informationssäkerheten och cyberattacker
  • Att vinna kundernas förtroende
  • Identifiering och hantering av risker
  • Få erkännande för goda informationssäkerhetsprocesser
  • Delning av bedömningsresultat genom ENX-utbytet.

Kritiska framgångsfaktorer TISAX

 

  • Ledningens aktiva stöd i processen. (“Walk the talk”)
  • Tydlighet och transparens om vad och varför vi jobbar med systematiskt arbete (och att vi väljer att certifiera oss)
  • Etablera några effektmål och KPI’er som går att mäta över tid.
  • Involvera rätt människor i organisationen redan från början (detta är inte ett IT-projekt)
  • Informera och utbilda internt:
  • Synliggör nyttan.
    – Gör det enkelt för alla medarbetare att hitta information och att agera utifrån våra arbetssätt och rutiner.
    – Kommunicera ofta och jobba med kulturen att “vi hanterar efterlevnaden”

Om oss

Vi älskar att se andra lyckas!

JSC it-partner är ett värderingsdrivet företag med rötter på småländska Höglandet. Med våra cirka 80 anställda hjälper vi företag i hela landet med smarta IT-lösningar som skapar tid till det som är viktigt i deras verksamhet. Vi förser våra kunder med allt från hårdvara till nätverk, hosting och applikationer. Cybersäkerhet är ett av våra prioriterade områden, där stöttning vid TISAX-certifiering har kommit att bli en alltmer efterfrågad tjänst.

Våra värderingar

Kunskap

Kunskap

Alltid i teknikens framkant
Ärlighet

Ärlighet

Vi erbjuder alltid våra kunder den lösning vi själva skulle köpa i deras läge.
Långsiktighet

Långsiktighet

Vi är en aktiv samarbetspartner – inte en passiv leverantör.
Läs mer om JSC