Внедрение и сертификация VDA и ENX TISAX®
Вам рекомендован Онлайн-мастер оценки соответствия VDA ISA и ENX TISAX®. Проверьте за 30 минут, насколько ваша компания соответствует VDA ISA и ENX TISAX®, а также что и сколько времени вам нужно для достижения полного соответствия и сертификации.
Главная страница об ENX TISAX®
Что такое VDA ISA и ENX TISAX®
Международный стандарт информационной безопасности VDA ISA разработан немецкой ассоциацией автомобильной промышленности VDA (Verband der Automobilindustrie) на основе стандартов ISO/IEC 27001 и 27002.
Стандарт VDA ISA (Оценка информационной безопасности) содержит строго структурированные критерии оценки информационной безопасности, KPI и дополнительные модули:
- Подключение к третьим сторонам
- Защита данных
- Защита прототипов
ENX TISAX® (Trusted Information Security Assessment Exchange, зарегистрированная торговая марка принадлежит ENX) является фреймворком (структурной основой) для VDA ISA, который позволяет независимым поставщикам обмениваться своими результатами сертификации и оценки со своими клиентами (обычно из автомобильной промышленности).
Наши сертификаты (CISSP, ISO 27001 Lead Auditor, CISA, OSCP, CEH и т. д.) позволяют нам охватить как формальные, так и практические аспекты соответствия безопасности и управления безопасностью.
При создании Системы Управления Информационной Безопасностью (СУИБ) мы опираемся не только на ISO 27001/27002, VDA ISA и ENX TISAX®, а активно используем также другие стандарты и фреймворки, если это целесообразно в данной конкретной организации, или если это в явном виде требуется нашими заказчиками или их партнёрами: ISO/TS 16949, ASPICE (Automotive Software Performance Improvement and Capability dEtermination), GDPR (General Data Privacy Regulation), и т. д.
Наш подход к реализации начинается с простых шагов, чтобы дать вам первую ценность бесплатно, чтобы познакомить вас с процессом и позволить вам четко понять суть работ по внедрению и вашу роль в них.
Определение области охвата и расстановка приоритетов
Мы готовим индивидуальные анкеты самооценки для наших клиентов, чтобы начать оценку текущего состояния СУИБ в соответствии с VDA ISA. Затем мы определяем и документируем область охвата и разрабатываем план проекта для первоначального аудита и анализа недостатков.
Определение области охвата имеет решающее значение для VDA ISA и ENX TISAX®. Любые ошибки на этом этапе могут привести к чрезмерным работам по внедрению и обслуживанию или к ошибочным результатам сертификации. Кроме того, мы выполняем первоначальную расстановку приоритетов для задач, чтобы максимально быстро получить максимальную безопасность.
Обычно область охвата включает в себя бизнес-процессы клиента, к которым применяются процессы физической и логической безопасности. Они включают следующие процессы, но не ограничиваются ими:
- Управление кадрами
- Стратегия и отношения с клиентами: маркетинг, управление отношениями с клиентами, управление лицензиями
- Приобретение клиентов: продажи и предпродажи
- Управление технологиями
- Выпуск и поставка продуктов/услуг
- Разработка продуктов
- Тестирование продуктов
- Служба поддержки: техническая поддержка
- Управление бухгалтерским учетом
- Финансовый анализ и управление капиталом
Мы выполняем этот этап для вас бесплатно. Когда вы понимаете, что заинтересованы в дальнейшей работе с нами, мы отправляем вам коммерческое предложение и подписываем договор оказания услуг.
Первоначальный аудит, анализ недостатков и детальное планирование проекта
Мы обычно проводим этот этап в течение 3-4 недель, в зависимости от утвержденной области охвата. Во время первоначального аудита мы проводим собеседования с сотрудниками заказчика, проверяем документы, оцениваем физическую безопасность, периметр и т. д.
Этот этап включает анализ исходного или текущего состояния процессов и средств управления информационной безопасностью, бизнес-процессов и технологических процессов; анализ физической безопасности помещений, персонала, ИТ-инфраструктуры и т. д. Результатом этого этапа является отчет о первичном аудите и анализе недостатков, а также подробный график внедрения средств контроля VDA ISA.
План реализации учитывает возможности клиента выполнять некоторую часть задач проекта своими силами.
Внедрение процессов и операций безопасности
Этот этап обычно выполняется в течение 4–9 месяцев в зависимости от утвержденной области охвата, исходного состояния, требований и результатов предыдущего этапа.
Этот этап включает в себя выполнение следующих важных шагов, но не ограничивается ими:
- Построение и автоматизация СУИБ с использованием соответствующих инструментов GRC (Стратегическое управление, Управление рисками и Соответствие требованиям). Это позволит классифицировать активы и назначить ответственных за них, построить матрицу рисков, провести самооценку для каждого актива с доказательствами для каждого объекта. Инструменты GRC также содержат отчеты о различных действиях, начиная от тренингов по повышению безопасности до независимых аудитов безопасности.
- Управление инцидентами безопасности с использованием некоторой системы управления задачами и отслеживания (Redmine, Jira и т. д.). Заказчик сможет проследить весь рабочий процесс от создания задачи, назначения ответственного лица для каждой задачи, мер реагирования, закрытия инцидента и отчетности.
- Управление изменениями. Любые существенные изменения в информационной системе клиента должны быть прозрачными и должны обрабатываться с использованием запросов на изменение.
- Реализация необходимых базовых мер и контролей безопасности, включая межсетевые экраны, VPN, ограничение прав доступа, разделение гостевой и внутренней беспроводных сетей и многое другое. Внедрение осуществляется ИТ-отделом заказчика под строгим контролем и руководством нашего персонала.
- Внедрение основных элементов жизненного цикла безопасной разработки программного обеспечения (SDLC) в рамках производственных процессов.
- Обучение сотрудников политикам и правилам безопасности на всех местах. Каждый сотрудник должен подписать обязательство соблюдения политики безопасности и ведомость по обучению в рамках программы осведомлённости по безопасности.
- Разработка и расчет KPI в соответствии с различными критериями и требованиями VDA ISA.
Результатом этого этапа является не только набор документов и записей, которые соответствуют вашим фактическим процессам, но также новая культура безопасности вашей организации и высочайшая степень готовности к официальной сертификации.
Процесс сертификации
Процесс сертификации обычно длится 1-3 месяца, в зависимости от утвержденной области охвата. Этот этап включает выбор органа сертификации, предварительный аудит, корректирующие действия и сертификационный аудит.
Вначале мы помогаем вам зарегистрироваться на аудит и заполнить анкету ENX TISAX®. Затем мы помогаем вам выбрать сертифицирующий орган из списка аудиторов TISAX®, утвержденных ENX. Мы консультируемся с сертифицирующей организацией от вашего имени.
Затем вы заключаете соглашение с органом сертификации напрямую, и мы начинаем предварительный аудит и процесс внедрения, описанный выше.
Когда наступает дата официальной сертификации, мы представляем вас и демонстрируем, что мы создали для вас. После этого аудитор анализирует результаты, собирает доказательства и составляет окончательный отчет. Мы постоянно поддерживаем вас и помогаем получать запрошенные доказательства.
Наконец, вы получаете сертификат ENX TISAX®, статус официального соответствия и можете делиться результатами оценки со своими клиентами через портал ENX.
Свяжитесь с нами, чтобы получить бесплатную консультацию по VDA ISA и ENX TISAX®:
Что дальше?
Сертификация ENX TISAX® действительна в течение 3 лет. Система управления информационной безопасностью должна быть постоянно активна. Её следует развивать, поддерживать и оптимизировать.
Мы обеспечиваем постоянную поддержку СУИБ в полном объеме на протяжении всего жизненного цикла СУИБ, включая, но не ограничиваясь:
- Ежемесячное/ежеквартальное обучение сотрудников на всех местах. Тренинг занимает 1 час и может проводиться для различных категорий сотрудников (общий персонал, разработчики программного обеспечения, системные администраторы, HR и т. д.).
- Мониторинг внедренных систем безопасности.
- Мониторинг уязвимостей.
- Ежеквартальное сканирование уязвимостей и пентесты (как автоматические, так и ручные).
- Регулярный аудит безопасности исходного кода.
- Продолжение внедрения политик и процедур безопасности с особым вниманием к дальнейшей плавной реализации требований безопасности к жизненному циклу разработки программного обеспечения (SDLC).
- Внедрение отчетности в инструменты GRC.
- Участие во всех рабочих процессах компании с точки зрения соответствия требованиям безопасности.
- Ежемесячные/ежеквартальные отчеты высшему руководству об инцидентах безопасности, если таковые имеются, а также об общем состоянии и прогрессе ИТ-безопасности.
Мы обеспечиваем управляемое соответствие ENX TISAX® и полную поддержку дальнейших подтверждений статуса соответствия ENX TISAX®.
Выберите, пожалуйста, что вам интереснее — получить помощь по внедрению VDA ISA и ENX TISAX®:
или бесплатно оценить соответствие вашей организации требованиям ISO 27001 онлайн за считанные минуты:
Главная страница об ENX TISAX®.
Кто мы, что делаем и что предлагаем.
Услуги внедрения соответствия требованиям безопасности.
Услуги расширения команды безопасности и удалённого CISO.
