Впровадження та сертифікація VDA та ENX TISAX®
Також вам рекомендовано Онлайн-майстер оцінки відповідності VDA ISA та ENX TISAX®. Перевірте за 30 хвилин, наскільки ваша компанія відповідає VDA ISA та ENX TISAX®, а також що та скільки часу вам потрібно для досягнення повної відповідності та сертифікації.
Головна сторінка про ENX TISAX®
Що таке VDA ISA та ENX TISAX®
Міжнародний стандарт інформаційної безпеки VDA ISA розроблено німецькою асоціацією автомобільної промисловості VDA (Verband der Automobilindustrie) на основі стандартів ISO/IEC 27001 та 27002.
Стандарт VDA ISA (Оцінка інформаційної безпеки) містить суворо структуровані критерії оцінки інформаційної безпеки, KPI та додаткові модулі:
- Підключення до третіх сторін
- Захист даних
- Захист прототипів
ENX TISAX® (Trusted Information Security Assessment Exchange, зареєстрована торгова марка належить ENX) є фреймворком (структурною основою) для VDA ISA, який дозволяє незалежним постачальникам обмінюватися своїми результатами сертифікації та оцінки зі своїми клієнтами (зазвичай з автомобільної промисловості).
Наші сертифікати (CISSP, ISO 27001 Lead Auditor, CISA, OSCP, CEH, тощо) дозволяють нам охопити як формальні, так і практичні аспекти відповідності безпеки та управління безпекою.
При створенні Системи Управління Інформаційною Безпекою (СУІБ) ми спираємося не тільки на ISO 27001/27002, VDA ISA та ENX TISAX®, але й активно використовуємо також інші стандарти та фреймворки, якщо це доцільно у даній конкретній організації, або якщо це в явному вигляді вимагається нашими замовниками або їхніми партнерами: ISO/TS 16949, ASPICE (Automotive Software Performance Improvement and Capability dEtermination), GDPR (General Data Privacy Regulation), тощо.
Наш підхід до реалізації починається з простих кроків, щоб дати вам першу цінність безкоштовно, щоб познайомити вас з процесом і дозволити вам чітко зрозуміти суть робіт з впровадження та вашу роль у них.
Визначення області охоплення та розстановка пріоритетів
Ми готуємо індивідуальні анкети самооцінки для наших клієнтів, щоб почати оцінку поточного стану СУІБ відповідно до VDA ISA. Потім ми визначаємо та документуємо область охоплення та розробляємо план проекту для початкового аудиту та аналізу недоліків.
Визначення області охоплення має вирішальне значення для VDA ISA та ENX TISAX®. Будь-які помилки на цьому етапі можуть призвести до надмірних робіт з впровадження та обслуговування або до помилкових результатів сертифікації. Крім того, ми виконуємо первинну розстановку пріоритетів для задач, щоб максимально швидко отримати максимальну безпеку.
Зазвичай область охоплення включає у себе бізнес-процеси клієнта, до яких застосовуються процеси фізичної та логічної безпеки. Вони включають такі процеси, але не обмежуються ними:
- Управління кадрами
- Стратегія та відносини з клієнтами: маркетинг, управління відносинами з клієнтами, управління ліцензіями
- Надбання клієнтів: продажі та передпродажі
- Управління технологіями
- Випуск і поставка продуктів/послуг
- Розробка продуктів
- Тестування продуктів
- Служба підтримки: технічна підтримка
- Управління бухгалтерським обліком
- Фінансовий аналіз та управління капіталом
Ми виконуємо цей етап для вас безкоштовно. Коли ви розумієте, що зацікавлені у подальшій роботі з нами, ми відправляємо вам комерційну пропозицію та підписуємо договір надання послуг.
Початковий аудит, аналіз недоліків і детальне планування проекту
Ми зазвичай проводимо цей етап протягом 3-4 тижнів, у залежності від затвердженої області охоплення. Під час початкового аудиту ми проводимо співбесіди з співробітниками замовника, перевіряємо документи, оцінюємо фізичну безпеку, периметр, тощо.
Цей етап включає аналіз вихідного або поточного стану процесів і засобів управління інформаційною безпекою, бізнес-процесів і технологічних процесів; аналіз фізичної безпеки приміщень, персоналу, ІТ-інфраструктури, тощо. Результатом цього етапу є звіт про первинний аудит та аналіз недоліків, а також детальний графік впровадження засобів контролю VDA ISA.
План реалізації враховує можливості клієнта виконувати деяку частину завдань проекту своїми силами.
Впровадження процесів та операцій безпеки
Цей етап зазвичай виконується протягом 4-9 місяців у залежності від затвердженої області охоплення, вихідного стану, вимог і результатів попереднього етапу.
Цей етап включає в себе виконання наступних важливих кроків, але не обмежується ними:
- Побудова та автоматизація СУІБ з використанням відповідних інструментів GRC (Стратегічне управління, Управління ризиками та Відповідність вимогам). Це дозволить класифікувати активи та призначити відповідальних за них, побудувати матрицю ризиків, провести самооцінку для кожного активу з доказами для кожного об'єкта. Інструменти GRC також містять звіти про різні дії, починаючи від тренінгів з підвищення безпеки до незалежних аудитів безпеки.
- Управління інцидентами безпеки з використанням деякої системи управління завданнями та відстеження (Redmine, Jira, тощо). Замовник зможе простежити весь робочий процес від створення завдання, призначення відповідальної особи для кожного завдання, заходів реагування, закриття інциденту та звітності.
- Управління змінами. Будь-які істотні зміни в інформаційній системі клієнта повинні бути прозорими та повинні оброблятися з використанням запитів на зміну.
- Реалізація необхідних базових заходів і контролів безпеки, включаючи міжмережеві екрани, VPN, обмеження прав доступу, поділ гостьової та внутрішньої безпровідних мереж та багато іншого. Впровадження здійснюється ІТ-відділом замовника під суворим контролем і керівництвом нашого персоналу.
- Впровадження основних елементів життєвого циклу безпечної розробки програмного забезпечення (SDLC) в рамках виробничих процесів.
- Навчання співробітників політикам і правилам безпеки на всіх місцях. Кожен співробітник повинен підписати зобов'язання дотримання політики безпеки та відомість з навчання в рамках програми обізнаності з безпеки.
- Розробка та розрахунок KPI відповідно до різних критеріїв і вимог VDA ISA.
Результатом цього етапу є не тільки набір документів і записів, які відповідають вашим справжнім процесам, але також нова культура безпеки вашої організації та високий ступінь готовності до офіційної сертифікації.
Процес сертифікації
Процес сертифікації зазвичай триває 1-3 місяці, у залежності від затвердженої області охоплення. Цей етап включає вибір органу сертифікації, попередній аудит, коригувальні дії та сертифікаційний аудит.
Спочатку ми допомагаємо вам зареєструватися на аудит і заповнити анкету ENX TISAX®. Потім ми допомагаємо вам вибрати орган, що сертифікує, зі списку аудиторів TISAX®, затверджених ENX. Ми консультуємося з цією організацією від вашого імені.
Потім ви укладаєте угоду з органом сертифікації безпосередньо, та ми починаємо попередній аудит і процес впровадження, що описано вище.
Коли настає дата офіційної сертифікації, ми представляємо вас і демонструємо, що ми створили для вас. Після цього аудитор аналізує результати, збирає докази та складає остаточний звіт. Ми постійно підтримуємо вас і допомагаємо отримувати докази, що запитує аудитор.
Нарешті, ви отримуєте сертифікат ENX TISAX®, статус офіційної відповідності та можете ділитися результатами оцінки зі своїми клієнтами через портал ENX.
Зв'яжіться з нами, щоб отримати безкоштовну консультацію з VDA ISA та ENX TISAX®:
Що далі?
Сертифікація ENX TISAX® дійсна протягом 3 років. Система Управління Інформаційною Безпекою (СУІБ) повинна бути постійно активна. Її слід розвивати, підтримувати та оптимізувати.
Ми забезпечуємо постійну підтримку СУІБ у повному обсязі протягом усього життєвого циклу СУІБ, включаючи, але не обмежуючись:
- Щомісячне/щоквартальне навчання співробітників на всіх місцях. Тренінг займає 1 годину та може проводитися для різних категорій співробітників (загальний персонал, розробники програмного забезпечення, системні адміністратори, HR, тощо).
- Моніторинг впроваджених систем безпеки.
- Моніторинг вразливостей.
- Щоквартальне сканування вразливостей та пентести (як автоматичні, так і ручні).
- Регулярний аудит безпеки вихідного коду.
- Продовження впровадження політик і процедур безпеки з особливою увагою до подальшої плавної реалізації вимог безпеки до життєвого циклу розробки програмного забезпечення (SDLC).
- Впровадження звітності в інструменти GRC.
- Участь у всіх робочих процесах компанії з точки зору відповідності вимогам безпеки.
- Щомісячні/щоквартальні звіти вищому керівництву про інциденти безпеки, якщо такі є, а також про загальний стан і прогрес ІТ-безпеки.
Ми забезпечуємо керовану відповідність ENX TISAX® і повну підтримку подальших підтверджень статусу відповідності ENX TISAX®.
Виберіть, будь ласка, що вам цікавіше — отримати допомогу з впровадження VDA ISA та ENX TISAX®:
або безкоштовно оцінити відповідність вашої організації вимогам ISO 27001 онлайн за лічені хвилини:
Хто ми, що робимо та що пропонуємо.
Послуги впровадження відповідності вимогам безпеки.
Послуги розширення команди безпеки та віддаленого CISO.
