TISAX® - 자동차 정보보안 평가

혁신적인 산업환경에서 시제품 정보 및 브랜드 이미지 보호와 고객의 로열티 강화 등 성공적 사업운영을 위해 다양한 이해관계자와 정보 교환을 할 때 기밀 유지와 보안은 성공적인 사업을 위한 필수 요소입니다.

길고 복잡한 공급망을 갖춘 자동차 산업은 "공생적" 정보 보안 접근 방식을 요구합니다. 디지털 시대에 정보 보안 요구사항은 자동차 공급업체를 넘어 마케팅 회사 및 기타 관련 당사자에 이르기까지 다양하며 필수로 보호해야 할 주요 사항은 다음과 같습니다:

  • 프로젝트 또는 설계 정보, 시제품(prototype) 또는 기밀 투자 계획
  • 디지털화 시대의 새로운 개념
  • 자율주행차 개발과 연결된 빅데이터 및 프로세스 데이터
  • 공급망 네트워크 내 상호 연결 및 고객의 개인정보 보호.

TISAX(Trusted Information Security Assessment eXchange)는 자동차 산업의 요구사항을 대상으로 하는 성숙도 기반 정보보안 평가 접근 방식입니다. 주로 특정 OEM사의 요구에 의해 평가사 실시되며, 1차 및 2차 공급업체에 적용되지만 더 복잡한 공급망으로 확장할 수 있습니다.

 

TISAX인가요?

TISAX는 자동차 산업을 위한 글로벌 정보보안 표준이며, DNV는 인증기관으로써 ENX 컨소시엄의 인정 자격을 보유하고 있습니다. TISAX 표 군의 달성하고자 하는 목표는 다음과 같습니다.

• 자동차 산업을 위한 일관된 수준의 보안 설정

• 제조업체 및 공급업체의 비용, 노력 및 복잡성을 줄이기 위한 평가에 대한 공통된 인식 보장

• 평가 품질 및 비교 가능성 보장

• 모범 사례 및 경험 교환

• 각 참가자가 결과를 공개할 대상과 세부 정보의 정도를 결정하도록 함

TISAX는 독일 VDA(Verband der Automobilindustrie)의 이전 ISA(Information Security Rules)와 ISO/IEC 27001의 부록 A(기술 제어) 및 일부 개인 정보 보호 요구 사항을 결합합니다.

 

인증 취득의 이점

TISAX는 해외 주요 완성차 제조사와 거래를 위한 요구사항을 충족시키는 것을 넘어 신뢰할 수 있는 공급망을 구축하는데 기여합니다. 해당 인증을 획득하는 공급업체는 다음과 같은 혜택을 기대할 수 있습니다.

• 완성차 제조사 및 고객사의 신뢰와 인정

• 정보보안 침해 및 사이버 공격 방지

• 위험 식별 및 해결

• 적법한 정보 보안 프로세스에 대한 인지도 확대

• ENX 플랫폼을 통한 평가 결과 공유

 

TISAX® vs. ISO/IEC 27001 두 표준의 차이

두 인증 표준은 정보보안을 커버하며, TISAX는 정보보안  경영시스템 표준 ISO/IEC 27001의 핵심 요소들을 기반으로 특히 자동차 산업에 관련된 요소에 중점을 두고 있습니다. 

ISO/IEC 27001 TISAX
경영시스템 인증 표준 자동차 산업의 파트너와 관련된 정보보안 프로세스 및 부품을 커버함
On/off 방식 성숙도 방식
인증 전 정의된 범위 고정된 범위
회사 기반 리스크 분석 VDA-ISA 워킹그룹 기반 리스크 분석
인증기관에서 인증서 발행 TISAX에서 라벨 발행 및 등록 교환
매년 정기심사 및  3년 후 재인증 필요 3년간 유효, 정기심사 불필요

 

인증 심사 과정

심사를 받고자 희망하는 기업은 먼저 ENX를 통해 등록해야 합니다.

평가 절차는 아래와 같습니다:

  1. Attention (알아보기)

TISAX 요구 사항을 숙지합니다.

  1. Preparation (준비)

TISAX 포털에 등록한 후 심사 기관을 선택하여 심사를 준비합니다. 이때 규정 준수 및 준비 상태를 측정하기 위한 자가진단 평가를 실행합니다.

  1. Assessment (평가) 

심사 실행 방법은 귀사가 원격(Level 2) 심사 또는 현장(Level 3) 심사에 대한 적격성에 따라 다릅니다. 심사 프로세스는 인터뷰, 문서 검토, 발견 사항 및 이후 절차에 대한 설명으로 구성됩니다.

  1. Corrective action plan (CAP) and follow – up (시정 및 후속 조치 계획)

심사 제공자에게 제출된 모든 발견 사항(gap)을 해소하기 위해 시정 조치 계획(CAP)을 준비합니다. CAP은 후속 조치(또는 필요한 경우 그 이상) 팔로우업 과정 중 확인되며, TISAX 보고서를 완성하기 위한 마지막 단계입니다.

  1. Exchange of Results (결과공유)

심사 제공자는 TISAX 보고서를 플랫폼에 업로드합니다. 심사를 받은 회사는 결과를 누구와 공유할지 결정합니다. ENX는 ​​심사를 받은 기업에게 TISAX 라벨을 발행합니다.

 

DNV와 함께 인증 준비를 시작하세요.

ENX의 인정을 받은 인증기관인 DNV는 다양한 나라의 기업들을 글로벌 심사 운영 네트워크를 통해 세계 다양한 국가에 위치한 기업에 심도있는 TISAX 인증 서비스를 제공하고 있습니다.

ENX는 ​​심사 제공자 기준 및 평가 요구 사항(TISAX ACAR)을 관리하며, 인증기관을 승인하고 시행 품질 및 평가 결과를 모니터링합니다. ENX는 ​​제조사, 협력사 및 협회 대표들로 구성된 TISAX 위원회의 지원과 지지를 받고 있습니다.

More information

DNV Digital tools

DNV Digital tools

Lumina™,Self-assessment, Boost My Audit 등 DNV만의 디지털 서비스를 경험해보세요.