ISO 27001 và TISAX có liên quan như thế nào?

 

ISO 27001 và TISAX có liên quan như thế nào?

Có lẽ bạn đã biết ISO 27001 là gì, đây là tiêu chuẩn quốc tế rất phổ biến trong lĩnh vực an toàn thông tin, giúp các tổ chức thuộc mọi lĩnh vực bảo vệ thông tin của mình. Tuy nhiên, bạn có biết rằng ngành công nghiệp ô tô cũng quan tâm đến bảo mật thông tin và thậm chí họ còn có các tiêu chuẩn bảo mật thông tin của riêng mình? Trong bài viết dưới , bạn sẽ tìm hiểu tất cả các khía cạnh chính của mối quan hệ giữa ISO 27001 và TISAX (Sàn giao dịch đánh giá an toàn thông tin đáng tin cậy), tiêu chuẩn bảo mật thông tin cho ngành ô tô.

Công nghệ thông tin và ô tô ngày nay không thể tách rời,

Hai mươi năm trước, một chiếc ô tô với bảng điều khiển kỹ thuật số tích hợp đã là một cuộc cách mạng lớn, vì hầu hết xe hơi đều có bảng điều khiển analog và đó là trải nghiệm đầu tiên của công nghệ kỹ thuật số trên xe hơi. Ngày nay, ô tô đã rất khác và không biết một chiếc ô tô hiện tại sẽ thế nào nếu không có một số loại công nghệ kỹ thuật số. Mặc dù vậy, công nghệ thông tin có lẽ là một trong những phần quan trọng nhất, vì hầu hết ô tô của chúng ta được quản lý bằng phần mềm và nó rất hữu ích, bởi vì hầu hết các hành động liên quan đến ô tô của chúng ta hiện nay đều được tự động hóa: áp suất lốp, giới hạn tốc độ, đỗ xe, v.v. .

Hệ thống cho máy tính trên xe hơi

Nếu bạn có một chiếc ô tô có kết nối Wi-Fi / Bluetooth, các ứng dụng, máy ảnh, v.v., thì về cơ bản, bạn có thể nói rằng bạn có một chiếc máy tính có bánh xe. Và, tất nhiên, nếu chiếc xe của bạn giống như một chiếc máy tính, thì các mối đe dọa liên quan đến bảo mật thông tin cũng áp dụng cho nó.

Đây là lý do tại sao các công ty trong lĩnh vực ô tô đã thực hiện đánh giá an toàn thông tin, không chỉ trong các hệ thống và quy trình của riêng họ mà còn trong hệ thống của các nhà cung cấp của họ. Nhưng vấn đề là không có một tiêu chuẩn chung, mỗi đánh giá có thể được thực hiện theo các tiêu chí khác nhau, và kết quả cũng có thể khác nhau.

Vì vậy, vào năm 2016, hiệp hội ENX (hiệp hội các nhà sản xuất, nhà cung cấp và tổ chức xe châu Âu) đã phát triển một tiêu chuẩn gọi là “TISAX”, bao gồm các yêu cầu từ VDA ISA (VDA là Hiệp hội Công nghiệp Ô tô Đức và ISA là từ viết tắt của “Information Security Assessment - Đánh giá An toàn Thông tin”). Thật kỳ lạ, tiêu chuẩn này rất giống với ISO 27001 và các biện pháp kiểm soát an ninh của Phụ lục A.

Kết quả đánh giá an toàn thông tin có thể được chia sẻ giữa các thành viên khác của TISAX; vì vậy, ví dụ: nếu công ty của bạn đang phát triển một số hệ thống hoặc một số phần mềm hoặc bất kỳ thứ gì khác cho một công ty ô tô (BMW, Mercedes, Renault hoặc bất kỳ hãng nào khác), bạn có thể chia sẻ kết quả đánh giá của mình với họ, tạo sự tin tưởng rằng bạn đã phù hợp với các yêu cầu của TISAX.

Yêu cầu

Như đã nói, thành phần quan trọng trong TISAX  đó chính là các yêu cầu VDA ISA (thực chất là các kiểm soát bảo mật), rất giống với Phụ lục A- các kiểm soát an ninh thông tin của ISO 27001, nhưng thêm các kiểm soát bảo mật cụ thể khi kết nối với bên thứ ba, bảo vệ nguyên mẫu, và bảo vệ dữ liệu.

Tổng quan chung, các yêu cầu của VDA ISA có thể được xếp thành bốn nhóm:

+Bảo mật thông tin (tương tự như các biện pháp kiểm soát bảo mật trong Phụ lục A của ISO 27001)

+ Kết nối với các bên thứ ba

+ Bảo vệ dữ liệu

+ Bảo vệ nguyên mẫu

Cấp độ đạt ngưỡng (an toàn thông tin)

Đối với mỗi yêu cầu, TISAX sử dụng Cấp độ đạt ngưỡng (an toàn thông tin) để chỉ ra hiệu quả và hơn nữa, Tisax xác định sự đáo hạn mục tiêu cho mỗi yêu cầu. Vì vậy, về cơ bản, nếu bạn muốn triển khai các yêu cầu của VDA ISA và tuân thủ TISAX, bạn cần thực hiện tất cả các yêu cầu với cấp độ đạt ngưỡng tối thiểu.

Với ISO 27001, khái niệm về cấp độ đạt ngưỡng (an toàn thông tin) không tồn tại, bởi vì bạn chỉ cần thực hiện các biện pháp kiểm soát bảo mật mà bạn cần cho các rủi ro được xác định trong quá trình đánh giá rủi ro. Do đó, bạn chỉ cần thực hiện các kiểm soát bảo mật cần thiết cho các rủi ro được xác định và bạn không cần xác định Cấp độ đạt ngưỡng (an toàn thông tin). Nhưng với kinh nghiệm đánh giá, khái niệm này rất hữu ích, bởi vì nó có thể giúp bạn cải thiện hệ thống an toàn thông tin mỗi năm.

Ví dụ: nếu bạn có các biện pháp kiểm soát bảo mật trong năm nay với mức độ trưởng thành của "2 - được quản lý", thì rõ ràng, bạn có thể cải thiện hệ thống quản lý an toàn thông tin của mình vào năm tới nếu các điều khiển bảo mật này đạt đến mức "3 – đã thiết lập".

Để biết thêm thông tin về các mô hình đạt ngưỡng an toàn thông tin, chúng tôi sẽ để cập ở bài viết sau, hẳn là sẽ rất thú vị với bạn.

PDCA trong ISO 27001 và Tisax

Trong TISAX, PDCA không bắt buộc như trong ISO 27001. Bạn chỉ cần tập trung vào các yêu cầu của VDA ISA, mặc dù, bằng cách xác định rõ ràng một PDCA, bạn có thể cải thiện việc tuân thủ các yêu cầu này, bởi vì bạn có thể xác định một hệ thống quản lý bảo mật thông tin chính thức để cải tiến liên tục.

Và, mặc dù đã tham khảo "Control" trong bảng cấp độ đạt ngưỡng (an toàn thông tin), bạn cũng có thể sử dụng cấp độ đạt ngưỡng (an toàn thông tin) cho các quy trình, điều đó có nghĩa là bạn có thể sử dụng chúng để cải thiện quy trình quản lý rủi ro hoặc quy trình đánh giá nội bộ hoặc đánh giá quản lý quá trình, vv

Tóm lại, như bạn có thể thấy trong bài viết này, TISAX và ISO 27001 rất giống nhau và một trong những khái niệm quan trọng nhất của TISAX, đó là các Cấp độ đạt ngưỡng (an toàn thông tin), nó tương thích với ISO 27001 và có thể giúp bạn cải thiện ISMS của mình. Và, tất nhiên, nếu bạn đứng về phía TISAX, PDCA của ISO 27001 cũng có thể giúp bạn cải thiện tổ chức của mình.

Vì vậy, về cơ bản, cả hai tiêu chuẩn đều tương thích và chúng có thể làm việc cùng nhau để giúp tổ chức của bạn cải thiện cả quy trình và kiểm soát bảo mật của bạn.

#TISAXDQS #IATFDQS #ISO27001DQS #WeareDQS

DQS Việt Nam sưu tầm và lược dịch