What is TISAX?

ปัจจุบันปฏิเสธไม่ได้ว่า  “ข้อมูล” ได้กลายมาเป็นส่วนประกอบสำคัญในการดำเนินธุรกิจ ไม่ว่าจะเป็นการทำงานของบริษัทเองหรือการทำงานร่วมกับบริษัทคู่ค้า (Partner) หากต้องทำงานร่วมกันก็จะต้องมีการส่งต่อข้อมูลระหว่างกัน ในจุดนี้เองบริษัทเจ้าของข้อมูลได้ให้ความสำคัญในการปกป้องข้อมูลเป็นอย่างมาก และก็คาดหวังว่าบริษัทคู่ค้าที่ได้รับข้อมูลของบริษัทไปนั้น จะต้องดูแลข้อมูลดังกล่าวนี้อย่างดีที่สุด เนื่องจากบางข้อมูลที่ส่งต่อระหว่างกันนั้น เป็นข้อมูลที่มีความสำคัญอย่างมาก หากหลุดไปยังผู้ไม่ประสงค์ดี หรือถูกใช้อย่างไม่เหมาะสม อาจจะส่งผลกระทบที่รุนแรงต่อบริษัทที่เป็นเจ้าของข้อมูลในหลายด้าน ไม่ว่าจะเป็นด้านการเงิน หากข้อมูลหลุดไปยังคู่แข่ง ด้านความเชื่อมั่นของลูกค้าในการรักษาข้อมูล เป็นต้น

ในปัจจุบันเองก็มีมาตรฐานจากหลายสถาบันที่เป็นมาตรฐานที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ และความมั่นคงปลอดภัยทางไซเบอร์ เช่น ISO/IEC 27001, NIST CSF, SOC, CSA STAR และ PCI DSS เป็นต้น ในอุตสาหกรรมยานยนต์ก็มีมาตรฐานฉบับหนึ่งที่ถูกกำหนดขึ้นจากทางฝั่งยุโรป เป็นมาตรฐานที่ให้ความสำคัญกับข้อมูลที่มีระดับชั้นความลับสูงของบริษัทที่เป็นเจ้าของข้อมูล มาตรฐานนั้นคือ TISAX (Trusted Information Security Assessment Exchange) เป็นมาตรฐานสำหรับการประเมินความมั่นคงปลอดภัยในการแลกเปลี่ยนและดูแลข้อมูลระหว่างบริษัทเจ้าของข้อมูล และบริษัทคู่ค้า มาตรฐานฉบับนี้ถูกพัฒนาขึ้นจากความร่วมมือของ VDA (German Association of the Automotive Industry) และ ENX (Association of European Vehicle Manufacturers) เพื่อสร้างความเชื่อมั่นให้กับอุตสาหกรรมยานยนต์ ในการปกป้องข้อมูลสำคัญที่ใช้ทำงานร่วมกัน โดยมาตรฐานฉบับนี้ถูกพัฒนาต่อยอดมาจากมาตรฐาน ISO/IEC 27001 อย่างไรก็ตามตัว TISAX เอง ก็มีความแตกต่างจาก ISO/IEC 27001 อยู่พอสมควร เนื่องจาก TISAX ให้ความสำคัญกับหลักการ Maturity base ในการกำหนดความจำเป็นของการดำเนินการตามข้อกำหนดต้องไม่ต่ำกว่า level 3 “Established” ซึ่งหมายความว่าในทุกมาตรการควบคุม “Controls” ต้องมีกระบวนการที่ถูกกำหนดไว้ในรูปแบบเอกสารที่ชัดเจน และต้องมีหลักฐานยืนยันการปฏิบัติตามกระบวนการดังกล่าว

ภาพรวมกระบวนการขึ้นทะเบียนมาตรฐาน TISAX

รูปที่ 1: ภาพรวมกระบวนการขึ้นทะเบียน TISAX อ้างอิง “TISAX-Participant-Handbook”
  • ขั้นตอนที่ 1: ลงทะเบียนแจ้งข้อมูลบริษัท และขอบเขตของการประเมินตามมาตรฐาน TISAX
  • ขั้นตอนที่ 2: ทำการจัดตั้งระบบและประเมินตามมาตรฐาน TISAX และประเมินกับทางผู้ตรวจรับรองมาตรฐาน TI SAX-Accredited Audit Providers เพื่อขอรับรองมาตรฐาน Assessment level (AL) AL 2, AL 3
  • ขั้นตอนที่ 3: ทำการแลกเปลี่ยนข้อมูลสำคัญขององค์กรกับบริษัทคู่ค้าที่ได้รับการรับรองมาตรฐาน

TISAX กำหนดวัตถุประสงค์ในการประเมินดังต่อไปนี้

รูปที่ 2: วัตถุประสงค์สำหรับการประเมิน TISAX อ้างอิง “TISAX-Participant-Handbook”

โดยประกอบด้วยหัวข้อหลักดังต่อไปนี้

  • Information Security: การปกป้องข้อมูลในระดับ high และ very high โดย 2 ระดับนี้จะถูกกำหนดโดยบริษัทผู้เป็นเจ้าของข้อมูลว่า บริษัทคู่ค้าจะต้องประเมินมาตรการควบคุมในระดับใด
  • Connection to 3rd: การเชื่อมต่อกับบริษัทผู้ให้บริการ (3rd parties) ** ทั้งนี้ใน Information Security Assessment-ISA เวอร์ชันล่าสุด (5.1) ข้อนี้จะถูกรวมอยู่กับข้อ (Information Security)
  • Prototype Protection: การปกป้องข้อมูลต้นแบบ (Prototypes)
  • Data Protection: การปกป้องข้อมูลส่วนบุคคล (ถ้ามี) การส่งต่อข้อมูลส่วนบุคคลไปยังบริษัทคู่ค้า

โครงสร้างมาตรฐาน TISAX

มาตรฐาน TISAX ประกอบด้วยหัวข้อหลัก 3 หัวข้อดังต่อไปนี้

  1. Information Security: ความมั่นคงปลอดภัยข้อมูลสารสนเทศ
  2. Prototype Protection: การปกป้องข้อมูลยานยนต์ต้นแบบ
  3. Data Protection: การปกป้องข้อมูลส่วนบุคคล

ทั้งนี้ในรายละเอียดของแต่ละหัวข้อหลักมีข้อมูลดังนี้

  1. Information Security: ความมั่นคงปลอดภัยข้อมูลสารสนเทศ ประกอบด้วยหัวข้อย่อย 7 หัวข้อดังต่อไปนี้
    1.1 IS Policies and Organization นโยบายด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศและโครงสร้างด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร
    1.2 Human Resources ความมั่นคงปลอดภัยด้านทรัพยากรบุคคล
    1.3 Physical Security and Business Continuity การป้องกันด้านกายภาพและความต่อเนื่องทางธุรกิจ
    1.4 Identity and Access Management การระบุตัวตนและการควบคุมการเข้าถึงระบบสารสนเทศ
    1.5 IT Security / Cyber Security ความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์
    1.6 Supplier Relationships การบริหารจัดการผู้ให้บริการภายนอก
    1.7 Compliance การปฏิบัติตาม
  2. Prototype Protection: การปกป้องข้อมูลยานยนต์ต้นแบบ
    2.1 Physical and Environmental Security ความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม
    2.2 Organizational Requirements การบริหารจัดการการใช้งานข้อมูลยานยนต์ต้นแบบ
    2.3 Handling of vehicles, components and parts การใช้งานข้อมูลยานยนต์ต้นแบบ (ยานยนต์, ส่วนประกอบยานยนต์ และชิ้นส่วนยานยนต์)
    2.4 Requirements for trial vehicles การปกป้องข้อมูลยานยนต์ทดสอบ
    2.5 Requirements for events and shootings การปกป้องข้อมูลสำหรับการจัด event หรือการถ่ายทำโฆษณา
  3. Data Protection: การปกป้องข้อมูลส่วนบุคคล
    3.1 การปกป้องข้อมูลส่วนบุคคล

โดยหากนับรวมทั้งหมดแล้วจะประกอบไปด้วย 13 หัวข้อย่อย และหากนับเป็นจำนวนมาตรการควบคุมตามแต่ละระดับ และระดับปกป้องสูงสุด (Information Security Very High) ก็จะมีมาตรการควบคุมทั้งหมดมากกว่า 300 มาตรการควบคุม

การตรวจรับรอง และระดับการรับรองมาตรฐาน TISAX

โดยการตรวจรับรองและระดับการรับรองมาตรฐานมีรายละเอียดดังต่อไปนี้

รูปที่ 3: ระดับการตรวจและรูปแบบการตรวจ TISAX อ้างอิง “TISAX-Participant-Handbook”

จากรูปข้างต้นจะเห็นว่าการตรวจประเมินถูกแบ่งออกเป็น 3 ระดับ โดยสามารถสรุปใจความสำคัญดังต่อไปนี้

  • Assessment level 1 (AL 1) เป็นการประเมินตนเองของบริษัท ไม่มีการส่งหลักฐานหรือการสัมภาษณ์จากผู้ตรวจสอบภายนอก
  • Assessment level 2 (AL2) เป็นการตรวจประเมินโดยผู้ตรวจสอบภายนอกที่ได้รับการรับรองผ่านทางออนไลน์ และมีการนำส่งหลักฐานให้กับผู้ตรวจสอบภายนอกเพื่อประเมิน
  • Assessment level 3 (AL3) เป็นการตรวจทั้งหลักฐานและการสัมภาษณ์ โดยผู้ตรวจสอบภายนอกที่ได้รับการรับรอง ซึ่งจะเป็นการตรวจในรูปแบบ On-site หรือการตรวจที่สถานที่ปฏิบัติงานจริง

ทั้งนี้หากต้องการ label บนใบรับรองที่ระดับ AL2 หรือ AL3 ในทุกหัวข้อการตรวจนั้น จะต้องผ่านระดับ Maturity level ที่อย่างน้อย level 3 ทุกข้อ

รูปที่ 4: ระดับ Maturity ที่ต้องการขั้นต่ำสำหรับการรับรอง AL2 หรือ AL3 อ้างอิง “TISAX-Participant-Handbook”

จากข้อมูลที่กล่าวมาทั้งหมดนั้น มาตรฐาน TISAX ให้ความสำคัญในการปกป้องข้อมูลตลอดการทำงานที่เกี่ยวข้องกับข้อมูลสำคัญ ไม่ว่าจะเป็น การส่งต่อ การจัดเก็บ การใช้งาน และการทำลาย เพื่อมั่นใจว่าตลอดวงจรชีวิตของข้อมูล ได้ถูกปกป้องดูแล ดังนั้นเองจะส่งผลให้การทำงานกับข้อมูลไม่ว่าจะเป็นข้อมูลที่เกี่ยวข้องกับยานยนต์ หรือข้อมูลส่วนบุคคล ภายในอุตสาหกรรมยานยนต์ มีความน่าเชื่อถือเป็นอย่างมาก สร้างความเชื่อมั่นต่อผู้มีส่วนได้ส่วนเสียทั้งหมด ว่าข้อมูลที่เป็นข้อมูลในระดับชั้นความลับสูงได้ถูกดูแลเป็นอย่างดีและมีมาตรการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และความมั่นคงปลอดภัยทางไซเบอร์ที่เหมาะสมและสามารถตรวจสอบได้

            ข่าวดี!! เร็ว ๆ นี้ บริษัท ACinfotec จะจัด Webinar ให้เข้าฟังกันแบบฟรี ๆ สำหรับมาตรฐาน TISAX เพื่อเจาะลึกมาตรการควบคุมและกลยุทธ์ในการจัดตั้งระบบ รวมถึงการดำเนินการระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ เพื่อให้สอดคล้องกับข้อกำหนดและผ่านการรับรองตามมาตรฐานในระดับ AL 3 !!!

สอบถามรายละเอียดบริการที่ปรึกษาหรือตรวจประเมินระดับความสอดคล้องในปัจจุบันของบริษัท หรือบริการอื่น ๆ

ท่านสามารถติดต่อทีม Sales ได้ที่เบอร์ 02-670-8980-3 หรืออีเมล [email protected]