In molti ormai, appartenenti al settore Automotive, avranno sentito parlare dello Standard Tisax, relativo alla Sicurezza delle Informazioni per il settore, o si saranno trovati di fronte a delle richieste da parte dei clienti, di certificazione secondo tale standard, “pena” l’esclusione dell’organizzazione dalla catena di fornitura.
Rifacendoci a quanto già detto in precedenza, lo standard è accreditato dal Consorzio ENX (è un’organizzazione che raggruppa produttori di automobili, fornitori di filiera e associazioni nazionali dell’industria automobilistica) e promosso dai suoi membri dal 2018. E’ applicabile principalmente ai fornitori di primo e secondo livello, ma estendibile a supply chain più complesse, dove la valutazione dell’approccio alla sicurezza è un requisito di alcuni OEM (Original Equipment Manufacturer).
Ma nel concreto, quali sono gli step da seguire per ottenere una Label Tisax?
Cerchiamo di riassumere e fare chiarezza in questo breve focus.
Definizione dell’ambito di valutazione
Descrive l’ambito della valutazione della sicurezza delle informazioni. In termini semplici, ogni parte della tua azienda che gestisce le informazioni riservate del tuo partner fa parte dell’ambito di valutazione. Detta ciò che il fornitore di audit deve valutare. Se l’azienda ha una certificazione ISO/IEC 27001: la definizione dell’“ambito di valutazione TISAX” e la definizione dell’ambito richiesta per la certificazione ISO/IEC 27001 sono simili. La differenza è che in TISAX l’ambito è predefinito. I possibili ambiti di valutazione sono:
-Ambito Standard
-Ambito Esteso
-Ambito Ristretto
Definizione degli Obiettivi di valutazione
Individua le informazioni che saranno oggetto della valutazione, in base al grado di protezione richiesto e ai contenuti delle stesse
1. Informazioni con elevate esigenze di protezione
2. Informazioni con esigenze di protezione molto elevate
3. Protezione di parti e componenti prototipo
4. Protezione dei prototipi di veicoli
5. Movimentazione di veicoli di prova
6. Protezione dei prototipi durante eventi e riprese cinematografiche
7. Protezione dei dati Ai sensi dell’articolo 28 (“responsabile del trattamento”) del Regolamento generale europeo sulla protezione dei dati (GDPR)
8. Protezione dei dati con categorie speciali di dati personali Ai sensi dell’articolo 28 (“Responsabile del trattamento”) con categorie speciali di dati personali come specificato all’articolo 9 del Regolamento generale europeo sulla protezione dei dati (GDPR) Dati speciali
Definizione del Livello di Assessment
In base agli obiettivi di valutazione, dovrà essere svolto un assessment di livello variabile
Livello di valutazione 1 (AL 1): Le valutazioni al livello 1 sono principalmente a fini interni, viene svolta sostanzialmente un’autovalutazione
Livello di valutazione 2 (AL 2): Per una valutazione al livello 2, l’auditor fa un controllo di plausibilità sull’autovalutazione (per tutte le posizioni all’interno dell’ambito di valutazione). Lo sostiene controllando le prove e conducendo interviste con il personale aziendale.
Livello di valutazione 3 (AL 3): Per una valutazione al livello 3, l’auditor fa tutti i controlli come per una valutazione a livello 2. Tuttavia, tutti i controlli saranno più completi e verificherà a fondo il risultato dell’autovalutazione in un’ispezione approfondita in loco e colloqui face to face.
Livello di Maturità del Sistema di Gestione della Sicurezza delle Informazioni
In base ai risultati dell’assessment, verrà definito un livello di maturità del sistema di gestione della sicurezza delle informazioni. I livelli di maturità definiti dallo standard sono 6. Per poter ottenere una etichetta TISAX, è necessario avere almeno un livello di maturità 3.
Ottenere quindi una certificazione TISAX, comporta un lavoro approfondito a più livelli dell’Organizzazione, necessitando di un supporto di consulenza esterna qualificata e di affiancamento durante l’audit certificativo.
Contattaci per saperne di più e per essere affiancato nell’implementazione del sistema.