Makay Computer Medical
Teljesítse velünk
TISAX követelményeit!

A TISAX követelményeit nem lehet szabályzatok legyártásával teljesíteni. A Szervezet teljes IT‑biztonságát fel kell fejleszteni.

Amazon Prime Day legjobb ajánlatai Kiváló technológiai ajánlatok Samsung és Sony tévé ajánlatok Deebot X11 OmniCyclone teszt Google Pixel Buds 2a teszt Ismerje meg a legújabb termékeket a kínálatunkban! Kövessen Minket a LinkedInen!
CybroAI

TISAX auditfelkészítés, tanácsadás, támogatás

Mit kínálunk?

Mit kínálunk Önöknek?

TISAX felkészítés, tanácsadás szolgáltatásunk segít a kibervédelmi szabályozás követelményeire való felkészülésben, az azoknak való megfelelés teljesítésében és általában a kiberbiztonsági fenyegetésekkel szembeni ellenállásban, hogy cégük és reputációjuk egyaránt megfeleljen a törény és az ügyfelek elvárásainak.

Mit tartalmaz?

Mit tartalmaz a szolgáltatás?

Segítséget nyújtunk az adminisztratív, logikai és fizikai védelmi feladatok elvégzésében. Ez kiterjed a (IBSZ, BCP, DRP stb.) szabályzatok és az eljárásrendek ellenőrzésére, a gyakorlatok ezeknek való megfelelésére, a biztonsági események kezelésére, a fejlesztések biztonságossá tételére, valamint az üzemeltetési folyamatokra is.

Miért válasszon?

Miért válasszon minket?

Fontosnak tartjuk, hogy az általunk elvégzett vizsgálat, tanácsadás és segítségnyújtás a lehető legnagyobb hasznot jelentse ügyfeleink számára. Ennek megfelelően Önök partnerünkként profitálnak a kiberbiztonsági auditokban és követelményrendszerekben szerzett sokéves tapasztalatunkból.

TISAX szolgáltatásaink

Auditfelkészítés Sérülékenységvizsgálat Védelmi megoldások beszerzése, beüzemelése és üzemeltetése Biztonságtudatossági oktatás és támadásszimulációk

Mi az a TISAX (Trusted Information Security Assessment Exchange)?

A TISAX (Trusted Information Security Assessment Exchange) az autóipari beszállítók és partnerek információbiztonsági követelményeit egységesítő, szabványosított értékelési és tanúsítási rendszer. Létrehozását az indokolta, hogy a nagy autógyártók (OEM-ek), mint például a Volkswagen vagy a BMW, sok esetben hasonló információbiztonsági elvárásokat támasztanak a beszállítóikkal szemben. Korábban ezek az elvárások külön-külön auditra kényszerítették a vállalkozásokat, ami jelentős erőforrást emésztett fel. A német autóipari szövetség (VDA) ezért egy egységes, átlátható rendszert dolgozott ki, amely a nemzetközi ISO/IEC 27001 szabvány alapjaira épül, de kifejezetten az autóipari igényekhez igazodik.

A TISAX rendszer célja az, hogy a vállalatok információbiztonsági szintjét egységesen lehessen értékelni, az eredményeket pedig hiteles módon lehessen megosztani a többi piaci szereplővel. A tanúsítás nem klasszikus „papíralapú oklevél”, hanem az ENX Association által működtetett biztonságos online platformon (ENX portálon) keresztül történő státuszmegosztás. Így ha egy vállalat eléri a TISAX-megfelelőséget, azonnal és ellenőrizhető módon tudja bizonyítani ezt meglévő és potenciális partnerei számára.

Kiket érint a TISAX?

A TISAX tanúsítás elsősorban azokat a vállalkozásokat érinti, amelyek valamilyen formában kapcsolatba kerülnek autóipari szereplőkkel, különösen az úgynevezett Tier-1 vagy Tier-2 beszállítói lánc részeként. Ez lehet szoftverfejlesztő cég, elektronikai komponenseket gyártó vállalat, mérnöki szolgáltatásokat nyújtó partner, vagy akár olyan logisztikai és irodai szolgáltató is, amely érzékeny, üzletileg kritikus információkhoz férhet hozzá.

A tanúsítás gyakorlati jelentősége abban rejlik, hogy egyre több autógyártó kizárólag TISAX-minősített beszállítókkal hajlandó együttműködni, különösen, ha prototípusokat, új fejlesztéseket, vagy személyes adatokat is érintő projektekről van szó. Tehát ha egy vállalkozás versenyképes akar maradni az autóiparban, a TISAX nem előny, hanem gyakorlatilag elvárás. A megfelelés nemcsak a nagyvállalatokra vonatkozik – sok kis- és középvállalkozás is érintett, főként azok, akik fejlesztési vagy adatkezelési szolgáltatásokat nyújtanak autóipari ügyfeleknek.

Milyen területek szabályozását követeli meg a TISAX a szervezetben és azok folyamataiban?

A TISAX a VDA ISA (Information Security Assessment) kérdőíven alapul, amely az ISO/IEC 27001 szabványból indul ki, és azt három fő szakterület mentén egészíti ki: általános információbiztonság, személyes adatok védelme, valamint prototípusvédelem. Ezek közül nem mindegyik kötelező minden szervezet számára – az adott vállalkozás tevékenysége, az általa kezelt adatok és együttműködések típusa határozza meg, hogy mely modulokra terjed ki az értékelés.

Információbiztonság

A rendszerek és adatok védelme a jogosulatlan hozzáféréstől, adatszivárgástól, illetéktelen módosítástól vagy egyéb káros eseménytől. Ide tartoznak például az hozzáférés-vezérlési intézkedések, tűzfalak, behatolásérzékelés, naplózás és más olyan kontrollok, melyek biztosítják, hogy csak az arra felhatalmazottak férjenek hozzá érzékeny adatokhoz.

Adatvédelem

A személyes adatok kezelésére vonatkozó elvek betartása, beleértve az adatok gyűjtését, felhasználását, megőrzését és törlését a vonatkozó adatvédelmi jogszabályokkal és az érintetteknek tett ígéretekkel összhangban.

Prototípusvédelem

A fejlesztés alatt álló (prototípus kategóriába sorolható) hardver- és szoftverkomponensek adminisztratív, logikai és fizikai védelme azok illetéktelen módosítása, megkárosítása, másolása és ellopása, valamint az ipari kémkedés ellen.

Az általános információbiztonsági követelmények magukban foglalják például a hozzáférés-kezelést, az adatmentési politikákat, a hálózatbiztonsági intézkedéseket, a fizikai védelem szintjét, az incidenskezelés szabályait, valamint az alkalmazottak oktatását. A személyes adatok védelme – különösen az EU-s GDPR elvárásai szerint – az adatkezelési jogalapok, adatfeldolgozói szerződések, adat-hozzáférési szabályok és adatvédelmi incidensek kezelésének vizsgálatát jelenti. A prototípusvédelem az autóipar egyik legkritikusabb pontja: ide tartozik a fejlesztés alatt álló járművekkel vagy alkatrészekkel kapcsolatos információk fizikai és logikai védelme, például ki férhet hozzá, milyen feltételek mellett, és hogyan kerül nyilvántartásba minden prototípussal kapcsolatos tevékenység.

Milyen szintjei vannak a TISAX-nak? AL1, AL2, AL3

A TISAX értékelési rendszere három különböző “Assessment Level”-t, azaz értékelési szintet különböztet meg: AL1, AL2 és AL3. Ezek nem a megfelelés mértékét, hanem a vizsgálat mélységét és szigorúságát tükrözik. Az, hogy melyik szint szükséges egy adott vállalkozás számára, a partneri elvárásoktól és az érzékeny információk kezelésének típusától függ.

AL1 szint

Az AL1 szint egy belső önértékelést jelent, amelyhez nem szükséges külső auditor bevonása. Ez akkor lehet elegendő, ha a vállalat nem kezel különösebben érzékeny adatokat, és nincs ilyen irányú partnervállalati elvárás sem.

AL2 szint

Az AL2 szint már egy akkreditált auditáló szervezet általi értékelést jelent, de jellemzően távoli (remote) audit formájában történik, dokumentum- és folyamatvizsgálattal, valamint interjúkkal. Ez a szint már sok autóipari együttműködés esetén kötelező.

AL3 szint

Az AL3 a legmagasabb értékelési szint, amely helyszíni auditot igényel, és különösen akkor szükséges, ha a vállalat prototípusokat kezel, vagy kiemelten bizalmas információkkal dolgozik. Ebben az esetben a fizikai biztonsági intézkedések részletes vizsgálatára is sor kerül.

Mi a felkészülés menete?

A TISAX-megfelelésre való felkészülés egy átgondolt, strukturált folyamat, amely során a szervezet fokozatosan megteremti és dokumentálja az elvárt biztonsági intézkedéseket. A folyamat első lépése az ENX portálon történő regisztráció, ahol a vállalat meghatározza az úgynevezett “Scope”-ot, vagyis az értékelés hatókörét: mely telephelyre, tevékenységre, adatkezelési formára vonatkozzon az audit.

Ezután következik a gap-analízis, amely során az aktuális állapotot hasonlítjuk össze a TISAX követelményeivel. Ez a fázis segít azonosítani a hiányosságokat és a megfelelés akadályait. A Makay Kiberbiztonsági Kft. ebben a szakaszban alapos dokumentum- és folyamatfelmérést végez, és világos, priorizált feladatlistát ad az ügyfél kezébe.

A következő szakasz a kontrollok, szabályzatok és folyamatok kialakítása vagy aktualizálása. Ebbe beletartozik az információbiztonsági politika, a hozzáférési szabályok, a munkavállalói tudatosságfejlesztés, az incidenskezelés, és minden olyan terület, amelyet az adott scope megkövetel. Amint ezek elkészültek, és bevezetésre kerültek, megkezdődhet az audit előkészítése, beleértve a belső auditot, próbainterjúkat, és az auditori kommunikáció elősegítését.

TISAX megfelelés fenntartása

A TISAX tanúsítás nem örök érvényű – az értékelés háromévente megújítandó, ami azt jelenti, hogy a vállalatnak nemcsak egyszer kell teljesítenie a követelményeket, hanem tartósan fenn kell tartania azokat. Ez nemcsak dokumentáció szinten, hanem a gyakorlatban is folyamatos odafigyelést igényel: rendszeres belső auditokat, frissített oktatási anyagokat, kockázatértékeléseket, valamint az új technológiai és üzleti kihívások figyelembevételét.

A megfelelőség fenntartásában fontos szerepet kap az információbiztonsági irányítási rendszer (ISMS) folyamatos fejlesztése. A változó üzleti környezet, új partnerek vagy termékek, új adatkezelési formák mind indokolhatják az irányelvek és védelmi intézkedések időszakos újragondolását. A Makay Kiberbiztonsági Kft. ügyfelei számára olyan támogatást nyújt, amely nemcsak az első audit sikeres teljesítésére koncentrál, hanem az azt követő évek tudatos és fenntartható biztonsági működését is támogatja – akár belső auditokkal, oktatásokkal, vagy célzott biztonsági tanácsadással.

Tanácsadás

IT biztonsági tanácsadás, audit-felkészítés

Szakértőink lépésről lépésre végigvezetik partnereinket a teljes megfelelési folyamaton: a kezdeti gap-analízistől és a kontrollkörnyezet kialakításától kezdve egészen a hivatalos audit előkészítéséig. A szolgáltatás során nem csupán a technikai és adminisztratív kontrollokat fejlesztjük, hanem kiemelt figyelmet fordítunk a dokumentáció, a biztonságtudatosság és a kockázatkezelési gyakorlatok megerősítésére is.

A felkészítés során ügyfeleink igényeihez igazítjuk a vizsgált bizalmi kritériumokat (pl. biztonság, rendelkezésre állás, adatvédelem), és segítünk a megfelelő audit típus (AL1, AL2 és AL3) kiválasztásában. Célunk, hogy ne csak az audit sikerüljön, hanem a bevezetett intézkedések hosszú távon is megbízhatóan szolgálják az információbiztonsági és üzleti célokat.

Sérülékenységvizsgálat

Sérülékenységvizsgálat és penetrációs teszt

A Makay Kiberbiztonsági Kft. a TISAX közvetlen és közvetett követelményeinek megfelelően átfogó sérülékenységvizsgálat szolgáltatást nyújt informatikai rendszereikre. A vizsgálat során azonosítjuk azokat a technikai gyengeségeket, amelyek kockázatot jelentenek az üzletmenetre, az adatok sértetlenségére vagy bizalmas jellegére. A vizsgálat magában foglalja a hálózati infrastruktúra, webalkalmazások, végponti eszközök és belső szolgáltatások ellenőrzését, modern automatizált eszközök és manuális technikák kombinálásával.

Az eredményekről részletes, magyar/angol/német nyelvű szakmai jelentést készítünk, amely tartalmazza a beazonosított sérülékenységeket, azok súlyosságát, valamint konkrét javaslatokkal is szolgál azok javítására.

Biztonságtudatosság

Biztonságtudatossági oktatás

A TISAX hangsúlyozza az emberi tényező szerepét a kiberbiztonságban, ezért kiemelten fontos a munkatársak felkészítése. Cégünk testre szabott biztonságtudatossági oktatásokat kínál, amelyek célja, hogy a dolgozók felismerjék a leggyakoribb támadási formákat – például adathalászat, rosszindulatú mellékletek, social engineering – és megtanulják a megfelelő válaszreakciókat. Az oktatások során gyakorlati példákon keresztül mutatjuk be a tipikus kockázatokat, emellett interaktív elemekkel (például szimulált támadásokkal) is segítjük a fejlődést.

Technológiák

Technológiák beszerzése és üzemeltetése

A Makay Kiberbiztonsági Kft. nemcsak a TISAX követelményeinek maradéktalan teljesítésének felkészítésében segít, hanem azon védelmi technológiák (antivírusok, tűzfalak, biztonsági mentő megoldások, naplógyűjtés, sérülékenységvizsgálók stb.) beszerzésében, beüzemelésében és üzemeltetésében is, amik elengedhetetlenek ahhoz, hogy az Önök által kezelt adatok a legnagyobb biztonságban legyenek, szükség esetén pedig folyamatos szakértői felügyeletet élvezzenek.

Kapcsolódó minősítéseink

CEH
OSCP
CISA
ISO 27001 Lead Auditor
eJPT
CBBH
CPTS
PNPT

CEH OSCP CISA ISO 27001 Lead Auditor

eJPT CBBH CPTS PNPT

Honnan kérhetek segítséget?

Kérjen segítséget a Makay Kiberbiztonsági Kft.-től a felkészülésben az Ajánlatkérés gombbal és előzze meg a milliós károkat okozó kiberbiztonsági incidensek bekövetkezését!

Threat-Led Penetration Testing – TLPT szolgáltatás Webes, hálózati és rendszerszintű sérülékenységvizsgálat Social engineering vizsgálat és biztonságtudatossági oktatás ManageEngine IT üzemeltetési, felügyeleti és biztonsági megoldások

Hírek, események, termékek és riasztások

Hírek, események, termékek és riasztások

Iratkozzon fel hírlevelünkre és ne maradjon le a legfontosabb kiberbiztonsági hírekről, eseményekről, termékekről és riasztásokról!

FELIRATKOZÁS
Ajánlatkérés