TISAX – speciális információbiztonsági rendszeraudit az autóipar számára

tisax

Megközelítőleg három évvel ezelőtt a HQSC (High Quality Support and Consulting) Kft. segítségét kérte a cég egyik partnere, mondván: magyarázzák már el neki, hogy mit jelent a vállalkozások körében egyre többször emlegetett, rejtélyes TISAX betűszó. A telefont akkor Révész Roland vette fel és hogy minél szakszerűbb választ adhasson, alaposan beleásta magát a témába. Az ismeretszerzés annyira jól sikerült, hogy ma már ő és csapata készítik fel a cégeket a TISAX auditra. Ennyi pedig épp elég volt nekünk ahhoz, hogy leüljünk vele beszélgetni a TISAX-ról.

A TISAX a hivatalos meghatározás szerint az autóipar számára kifejlesztett információbiztonsági követelményrendszer. Az közismert, hogy az autóipar a legtöbb területen kifejezetten igényes, de miért nem elégszik meg – ha már információbiztonságról van szó – az ISO 27001-gyel?

Mert megteheti. Az autóipar úgy döntött, hogy saját irányítási rendszer követelményekre van szüksége, és mivel igen komoly piaci szereplő, saját auditot fejlesztett ki. Egyébként az ISO 27001 egy általános információbiztonsági rendszer, hagyományos ISO audittal. Ehhez képest a beszélgetésünk tárgyát jelentő TISAX kifejezetten az iparági elvárásokra szabott követelmény rendszer. 
2018-ban hasonló változáson esett át az iparág, amikor az ISO TS-ről átváltottak lényegében a szektor igényeihez igazított minőségirányítási rendszerre, az IATF-re. 

Az IBIR-hez képest három további területre fókuszál a TISAX: a prototípus gyártásra, a harmadik féllel (vevők, beszállítók, szolgáltatók) folytatott kommunikációra és az adatvédelemre. 

Mintha az iparág e tekintetben egy kissé túlszabályozott lenne…

Érthető az óvatosság, hiszen az iparági szereplők között igen éles a konkurenciaharc.

Az autóipari konszernek versenyeznek egymással és az kerül lépéselőnybe, aki ütősebb újításokkal áll elő és adatait hatékonyabban képes védeni.

Korábban ennek nem tulajdonítottak ekkora jelentőséget, viszont a technikai fejlődés kikényszerítette. Életünk egyik alapeleme lett az információ, amire ma már fokozottan védendő értékként tekintünk.

A cél az, hogy a teljes beszállítói lánc magáévá tegye az információbiztonságot középpontba helyező szemléletet. Nem véletlen, hogy a híresen/hírhedten nagy elvárású német autóipari vállalatok kezdeményezték a TISAX bevezetését.

Menetét tekintve miben tér el a TISAX audit az általánosabb ISO 27001-től?

Alapjait tekintve a TISAX esetében is az IBIR-t kell kiépíteni, de előbbi követelményei némileg egzaktabbak. Azaz a követelmények sokkal inkább az iparág specifikumait veszik figyelembe és ennek megfelelően az audit is sokkal tárgyszerűbb. A TISAX kiépítésének nem feltétele az ISO 27001 tanúsítvány megléte, de mindenképpen jó kiindulási pont. Ha már rendelkezik ezzel a cég, akkor azt már csak cizellálni kell. Esetünkben ez azt jelenti, hogy minden esetben GAP elemzéssel kezdünk, vagyis ellenőrizzük a TISAX szempontjából kardinális fontosságú pontokat.

Mivel a két rendszer számos hasonlóságot mutat, ezért ott, ahol van ISO 27001, jóval könnyebb dolgunk van.

Nemcsak azért, mert kevesebb kiigazítanivalót találunk, de azért is, mivel az adott vállalkozás számára – ismerve a szabvány gondolkodásmódját –  az új elvárások nem lesznek testidegenek.

A TISAX kiépítése egy one man show? Azaz a vállalaton belül elég erre egyetlen embert ráállítani vagy inkább csapatmunkára kell számítani?

Célszerűbb egy információbiztonsági irányítási szervezetet kinevezni a célra, ahol mindenki tisztában van a hatáskörével. A vezetésnek feketén-fehéren rögzíteni szükséges a feladatokat és a felelősségi köröket.

Ha cégen belüli TISAX-felelős szervezetet említ, akkor az számomra azt jelenti, hogy a létszámuk okán a mikro- és kisvállalkozások kiesnek a TISAX körből…

Ez egyáltalán nem így van. Tudok olyan 10 fő alatti vállalkozásról, ahol minden gond nélkül megoldották a problémát. A kiindulási alapnak tekinthető ISO 27001 ugyanis olyan egyetemes szabvány és követelményrendszer, ami a kétszemélyes favágó bt-től kezdve a multinacionális cégekig mindenhol megállja a helyét.

Az előbb említette, hogy a német autóipari konszernek indították útjára a TISAX-ot. Ezek szerint a magyar autógyárak – Audi, BMW, Opel, Mercedes – beszállítóinál is előbb-utóbb elvárás lesz? Egyáltalán, kire vonatkozik majd a kötelező TISAX audit?

Nem túlzás azt mondani, hogy minden autóipari beszállítónak fel kell készülni erre. És belátható időn belül nemcsak a gyártók, de a szolgáltatók (pl. a munkaerő kölcsönző, IT szolgáltató vagy egyéb szolgáltatást nyújtók) is érintettek lesznek. Ők ugyanis valamennyien olyan információk birtokában lehetnek, amelyek a konkurencia számára igen sokat érhetnek.

Jövő időről beszél. Mennyire távoli ez a jövő?

Ha csak a saját munkáinkat nézem, kijelenthető, hogy az autóipari beszállítók körében egyre “divatosabb” a TISAX. Az utóbbi másfél-két évben jelentősen megnőtt az auditok száma.

És ez a kör csak bővülni fog, mivel a Volkswagen, a BMW és a Mercedes jelenlegi és jövőbeni beszállítóinak mindenképpen kötelező lesz, és ahhoz sem kell nagy jóstehetség, hogy lássuk, idővel a többi vállalatnál is csak ennek birtokába rúghat majd labdába egy cég. 

A HQSC Kft. munkájának a legjobb indikátora az, hogy milyen arányban tesznek sikeres auditot az Önök által felkészített vállalkozások. Hogy állnak e téren?

Nincs miért szégyenkeznünk: az általunk felkészített cégek 100%-a elsőre átment a tanúsításon nem megfelelőségek nélkül, legfeljebb – néhány esetben – fejlesztési javaslattal éltek az auditorok.

Van valami hasznos tipp ahhoz, hogy könnyebben menjen a TISAX elvárásaira való felkészülés?

Igen! Felejtsék el az excelt! Ma már vannak ennél sokkal korszerűbb, hatékonyabb eszközök. Mi is rendelkezünk egy saját fejlesztésű, felhőalapú szoftverrel, amely támogatja az információbiztonsági rendszer kialakítását, fenntartását, kezelését – legyen az ISO 27001 vagy TISAX. Általánosságban viszont a legfontosabb tanácsom az, hogy vegyék komolyan az információbiztonságot!