Het logo van Tisax.

Het TISAX®-label

Steeds meer bedrijven in de automobielsector publiceren het zogenaamde TISAX-label. Wat betekent dit beveiligingslabel en wat heb je er als organisatie aan?  De verschillen en overeenkomsten ten opzichte van de ISO 27001-normering worden in dit artikel benoemd.

Wat is TISAX?

TISAX is een securitystandaard, die binnen de Europese auto-industrie is ontwikkeld en waarmee organisaties kunnen aantonen hun informatiebeveiliging op orde te hebben. De afkorting TISAX staat voor ‘the Trusted Information Security Assessment eXchange’. Organisaties die dit label hebben behaald, kunnen veilig informatie uitwisselen met andere gecertificeerde ondernemingen die in of voor de auto-industrie werken. Het TISAX-label geeft de partijen een stuk zekerheid over elkaars beveiligingsniveau. Organisaties die een label hebben, kunnen deze in een afgeschermde omgeving aan elkaar inzichtelijk maken ofwel publiceren.

TISAX is te vergelijken met de bekende ISO 27001 norm. Beide bevorderen het veilig omgaan met informatie, maar het TISAX-label heeft vooral toegevoegde waarde voor bedrijven die werkzaam zijn in, of toeleverancier zijn aan, de auto-industrie, terwijl ISO 27001 toegepast kan worden binnen alle organisaties. Naast overeenkomsten zijn er ook belangrijke verschillen tussen de twee normeringen. Daarom betekent het hebben van een ISO-certificering niet automatisch dat ook de TISAX behaald kan worden en omgekeerd.

Industrie vs. Internationaal

Het TISAX-label is een industriestandaard, die in Europa door de VDA (Verband Der Automobilindustrie) is ontwikkeld voor de automobielsector. De ENX is gelieerd aan de VDA en accrediteert de TISAX-audit provider. Het houdt tevens bij wie er een label heeft en op welk niveau. De ISO 27001 is een volledig onafhankelijke standaard die voor alle bedrijven over de hele wereld kan gelden en door de International Organization for Standardization (ISO) wordt bijgehouden.

Maatregelen en de implementatie ervan

Een aantal maatregelen uit TISAX is te koppelen aan maatregelen die beschreven zijn in ISO 27001, ISO 27002 en ISO 27017. Echter, het TISAX-label bevat daarnaast ook aanvullende branche specifieke maatregelen, bijvoorbeeld voor het beschermen van prototypes of privacygevoelige informatie. Op sommige gedeeltes is TISAX dus smaller dan ISO 27001, op andere gebieden juist weer wat breder. Ook op het gebied van de implementatie van de maatregelen verschilt TISAX van ISO. De TISAX stelt bepaalde eisen waaraan volledig voldaan moet worden. De vrijheid om maatregelen op een andere manier te implementeren dan beschreven, is beperkt. Bij ISO 27001 is die vrijheid veel groter, waardoor een implementatie veel meer op de organisatie kan worden afgesteld.

De audit en geldigheid van het certificaat/label

Een ander belangrijk verschil tussen TISAX en ISO 27001 is het audit proces. Bij ISO 27001 wordt het managementsysteem bekeken, waarbij de vraag rijst of dat voldoende is. Daarna wordt de implementatie van de maatregelen getoetst door de auditor. Hierbij beoordeelt de auditor zelf in hoeverre maatregelen zijn geïmplementeerd. De TISAX-audit is gebaseerd op een self assessment door de eigen organisatie. De auditor beoordeelt vervolgens of deze self assessment naar waarheid (plausibel) is ingevuld en kijkt daarbij voornamelijk naar de onderbouwing die gegeven wordt.

In beide gevallen is het certificaat of het label 3 jaar geldig, maar bij een ISO-certificering komt de auditor jaarlijks langs voor een controle audit en bij TISAX niet. Daar is toetsing op de norm eenmalig, waarna het label voor drie jaar wordt afgegeven. Daarna moet het label opnieuw aangevraagd worden. Dit betekent dat de TISAX-auditor er, zonder tussentijdse controles, zeker van moet zijn dat hij het label ook voor deze periode kan uitgeven.

Sta je als organisatie aan de vooravond van een TISAX-implementatie, of wil je het behalen van het TISAX-label overwegen en wil je er meer van weten? Neem dan vrijblijvend contact met ons op om de mogelijkheden te bespreken.
-> Bekijk de mogelijkheden voor opdrachtgevers

Ben je geïnteresseerd in informatiebeveiliging en op zoek naar een nieuwe uitdaging? Neem dan zo snel mogelijk contact met ons op om te horen wat Ventus jou kan bieden.
-> Bekijk de mogelijkheden voor professionals