VDA ISA (Information Security Assessment) jest podstawowym narzędziem zaprojektowanym w celu przeprowadzania kompleksowej oceny zarządzania bezpieczeństwem informacji w branży motoryzacyjnej. Tym samym odgrywa kluczową rolę w ocenie i ulepszaniu środków bezpieczeństwa przyjętych przez organizacje działające w sektorze motoryzacyjnym.
Współczesny rozwój cyfryzacji wpływa na wzrost gospodarczy i liczne innowacje na całym świecie. Nowe technologie cyfrowe, takie jak sztuczna inteligencja (AI), Big Data czy Internet rzeczy (IoT), umożliwiają tworzenie nowych produktów i usług, optymalizację procesów produkcyjnych czy analizę danych biznesowych. Przedsiębiorstwa chętnie wykorzystują te technologie, aby zwiększyć swoją konkurencyjność, doskonalić swoje strategie i rozwijać nowe modele biznesowe.
Jest to proces dynamiczny i nieustannie postępowy, który ma zarówno liczne korzyści, jak i wyzwania. Do takich wyzwań niezaprzeczalnie należą bezpieczeństwo informacji i cyberbezpieczeństwo – dwa niezwykle istotne tematy w dzisiejszym społeczeństwie cyfrowym.
Kontekst bezpieczeństwa informacji
Technologie cyfrowe mają coraz większy wpływ na współczesny rynek motoryzacyjny. Systemy zarządzania jakością, ryzykiem i oczekiwania klientów wymagają od dostawców zapewnienia bezpiecznego przetwarzania informacji. Celem nadrzędnym stało się zatem unikanie wycieków informacji, ataków cybernetycznych, a w konsekwencji utraty zaufania wśród klientów i partnerów biznesowych.
Ignorowanie zabezpieczania informacji może prowadzić do upadku projektów lub wykorzystania ich przez konkurencję. Stąd też dane związane z modelowaniem, testami, oprogramowaniem i prototypami muszą być chronione.
Nie można pominąć obecnego i przyszłego kierunku rozwoju inteligentnych pojazdów, które wykorzystując łączność internetową, będą narażone na rozmaite zagrożenia cybernetyczne. Nowoczesne samochody i wszystko, z czym wchodzą w interakcję, może paść ofiarą cyberprzestępców. Podejmowanie niezbędnych środków ochrony w odpowiednim czasie jest kolejnym istotnym problemem.
Wystarczy przywołać kilka przykładowych zagrożeń związanych z bezpieczeństwem nowoczesnych aut: włamanie do kluczyka, włamanie do OBD-II, kradzież zgromadzonych danych osobowych w pamięci pojazdu czy podatności w oprogramowaniu samochodu dostarczonym od dostawców.
Bezpieczeństwo informacji stało się również integralną częścią zarządzania jakością. Standard IATF 16949:2016 wskazuje na konieczność uwzględnienia cyberataków w analizach ryzyka. W dobie rosnących zagrożeń cyberbezpieczeństwa, organizacje muszą ocenić potencjalne ryzyka wynikające z cyberataków oraz podejmować skuteczne środki zaradcze.
Rys. 1. Analiza ryzyka w Systemie Zarządzania Bezpieczeństwiem Informacji
Firmy są zatem zobowiązane do opracowania i utrzymania procedur reagowania na incydenty bezpieczeństwa informacji, w tym procedur identyfikacji, oceny i reagowania na nie. Obecność wymogów dotyczących cyberbezpieczeństwa w standardzie IATF 16949:2016 przynosi dodatkową korzyść firmom, polegającą na podniesieniu świadomości o zagrożeniach wśród swoich pracowników.
VDA ISA – VDA Information Security Assessment
Przemysł motoryzacyjny, za pośrednictwem Niemieckiego Stowarzyszenia Przemysłu Motoryzacyjnego (VDA), podjął próbę zdefiniowania i wdrożenia standardu, który odpowiadałby specyficznej potrzebie, jaką jest zapewnienie bezpieczeństwa informacji dla tego obszaru. Wspólne prace ekspertów doprowadziły do powstania kwestionariusza obejmującego powszechnie akceptowane wymagania dotyczące bezpieczeństwa informacji dla branży motoryzacyjnej. Arkusz ten nosi nazwę VDA ISA (VDA Information Security Assessment) i jest narzędziem oceny w standardzie TISAX®. Kwestionariusz powstał w oparciu o międzynarodową normę ISO/IEC 27001.
Dokument VDA ISA pomaga spełnić wymagania bezpieczeństwa informacji i zyskać zaufanie klientów. Wspiera utrzymanie jakości, wiarygodnego wizerunku biznesowego i pomaga unikać potencjalnych zagrożeń.
W aktualnej wersji wymagań (5.1.0) znajdziemy trzy moduły pytań dotyczących systemu zarządzania bezpieczeństwem informacji, ochrony prototypów oraz ochrony prywatności danych. Poruszane kwestie dotyczą między innymi polityki i organizacji bezpieczeństwa informacji, zarządzania aktywami informacyjnymi, zarządzania ryzykiem i incydentami, kontynuacją biznesu, bezpieczeństwem fizycznym oraz zarządzaniu dostawcami. Lista jest obszerna i wymaga zapoznania się oraz interpretacji, aby je poprawnie wdrożyć w organizacji.
VDA ISA – czy Twoja organizacja jest gotowa na nową rewizję?
Od 1 kwietnia 2024 roku w życie wchodzi nowa wersja VDA ISA 6.0.1. VDA, chcąc dostosować wymagania TISAX® do nowych oczekiwań, trendów i podejścia na rynku, rozszerzyła ten kwestionariusz. Uwzględniła w nim między innymi system zarządzania niekorzystnych i kryzysowych zdarzeń w planach ciągłości działania biznesowego oraz wykorzystaniu kopii zapasowych.
Zaakcentowano również uwzględnienie usług IT jako części ogólnego programu mającego na celu osiągnięcie ciągłości operacji w zakresie misji organizacyjnej i funkcji krytycznych dla biznesu. Moduł ochrony danych doczekał się przebudowy, która porządkuje i wyjaśnia wymogi w sposób jeszcze bardziej zrozumiały niż dotychczas.
Podsumowując, firmy z branży automotive nie powinny zwlekać z wdrożeniem standardu TISAX®. Popłaci to wieloma korzyściami biznesowymi, wizerunkowymi i wzmocni procesy wewnątrz organizacji. Certyfikowane firmy skutecznie przyciągają uwagę klientów i partnerów biznesowych, demonstrując rygorystyczne podejście do kwestia bezpieczeństwa informacji.
Wdrożenie standardu poprzez skuteczne praktyki bezpieczeństwa poprawi wiele wewnętrznych procesów ochrony danych i informacji. Jednocześnie minimalizuje skutki ryzyka naruszeń lub incydentów bezpieczeństwa informacji.
Jeżeli Twoja organizacja planuje obecnie wdrożenie etykiety TISAX, to serdecznie zapraszamy na szkolenie TISAX – Efektywne wdrożenie dla branży motoryzacyjnej.
