Bli TISAX certifierad
Erik Orrsjö
TISAX är globalt erkänt, och flera stora aktörer i branschen, främst i den tyska fordonsindustrin, ställer krav på att deras samarbetspartners har en så kallad “TISAX label”. Främsta skälet är att de vill skydda sin känsliga information, till exempel den som är kopplad till prototyper.
Har ni en verksamhet med kunder som ställer krav på TISAX, eller bedömer ni att ni kommer få TISAX-krav på er inom de närmsta åren? Bodforss har erfarenheten som gör att er väg till certifiering underlättas.
Vårt råd är att göra den inledande analysen i god tid innan ni behöver vara certifierade! Moment ett är en genomgång av det befintliga ledningssystemet för informationssäkerhet. Har ni inget sådant blir det en del av implementeringen av TISAX att skapa ett. Omfattningen är beroende på hur mogen organisationen är i sitt säkerhetsarbete, en gap-analys utförs för att definiera den.
För att bli certifierad måste man ha uppnått en viss mognadsgrad i sina processer, vilket innebär att arbetssättet behöver ha varit på plats en tid. Hela tiden leds arbetet av oss och med vårt stöd kommer ni till slut att klara en certifiering.
Bodforss hjälpte en kund genom hela certifieringsresan. I och med att det var ett omfattande arbete som höll på i mer än ett år, så drevs det i projektform för att underlätta planering och övrig administration som krävdes. Arbetet var en utmaning ur vissa perspektiv, då det involverar de flesta delarna av företaget och dessutom tar mycket av ledningens tid. Man behöver vara tydlig med det när arbetet inleds.
Först definierades omfattningen och ”assessment objective”. Detta är helt baserat vilken typ av partnerns data som företaget hanterar. (Helst meddelar din partner dig vilka ”assessment objectives” som behöver uppnås, men det kan vara nödvändigt att göra en egen bedömning.)
Det utfördes en gap-analys för att få en nulägesbild av informationssäkerheten och mognadsgraden i det befintliga verksamhetssystemet. Baserat på detta uppskattades insatsen som krävdes, en tidplan sattes upp, nyckelpersoner identifierades och resursbehovet bedömdes. Vi tog tidigt kontakt med olika revisionsbyråer och valde ut en. I nuläget finns det få revisorer som kan granska enligt TISAX, så det rekommenderas att vara ute i god tid här.
Då det tidigare inte fanns något ledningssystem för informationssäkerhet (LIS) på företaget, utvärderades även verktyg för det. Att ha ett sådant underlättar det framtida arbetet med LIS. Man bör dock i samband med det fundera på hur det lämpligen integreras med befintligt verksamhetssystem, då ett antal policys kommer vara gemensamma. I detta fall valde man att köpa in ett nytt systemstöd för LIS. I det kan man även hantera informationstillgångar, risker, revisioner mm.
Arbetet löpte sedan på med att upprätta nya policys och rutiner inom IT, HR, utveckling, leverantörshantering med mera. Ledningen var hela tiden delaktig, tog beslut och godkände nya policys. Där behov fanns kompletterades med nya IT-verktyg.
Själva revisionen startade med en kick-off där revisorn gavs en bild av läget. Ungefär två månader senare genomfördes revisionen. Då ett fåtal punkter fick mindre avvikelser, fick man först en “temporary label”. Denna omvandlades efter sex månader till en permanent TISAX-label efter att de kvarstående punkterna åtgärdats. Hela processen tog ungefär 1,5 år.