Mối liên hệ giữa ISO 27001-TISAX

5/5 - (1 bình chọn)

ISO 27001-TISAX là hai tiêu chuẩn về Hê thống quản lý an toàn thông tin. Vậy mối liên hệ giữa chúng là gì và có điểm nào khác biệt?

Table of Contents

ISO 27001-TISAX CÓ XÂY DỰNG DỰA TRÊN NHAU KHÔNG?

Kể từ năm 2017, TISAX được lấy từ ISO 27001 như một danh mục các tiêu chí và câu hỏi về bảo mật thông tin vì nó liên quan đến các nhà cung cấp trong ngành công nghiệp ô tô. Điều này làm cho bảng câu hỏi TISAX, một loại tự đánh giá về an toàn thông tin và các lĩnh vực được đánh giá là sự kế thừa trực tiếp của tiêu chuẩn ISO. Tuy nhiên, các tiêu chuẩn ngày càng khác nhau theo từng phiên bản mới của TISAX. Quá trình tự đánh giá hiện đang ở lần lặp thứ năm – trong khi thoạt nhìn, những điểm tương đồng không còn rõ ràng như trước đây, tuy nhiên mối quan hệ giữa cả hai hệ thống vẫn rõ ràng.

→ Xem thêm Tiêu chuẩn ISO 27001

ĐỐI TƯỢNG TƯƠNG ỨNG ĐƯỢC ĐÁNH GIÁ THEO ISO 27001-TISAX LÀ GÌ?

Cả hai tiêu chuẩn ISO 27001 và TISAX đều xác định các yêu cầu mà hệ thống quản lý an toàn thông tin (ISMS) phải đáp ứng. Vì vậy, xét một cách tổng quát, cả hai đều giải quyết cùng một nhóm vấn đề.

Tiêu chuẩn ISO 27001 được xuất bản bởi Tổ chức Tiêu chuẩn Quốc tế (International Organization for Standard Organization) hay còn gọi là ISO có thể áp dụng cho mọi tổ chức ở mọi lĩnh vực.
Tiêu chuẩn công nghiệp TISAX (viết tắt của Trusted Information Security Assessment Exchange) xác định các yêu cầu dành riêng cho những nhà cung cấp trong ngành ô tô. TISAX được phát triển dưới sự hướng dẫn của Hiệp hội Công nghiệp Ô tô Đức (VDA), TISAX cũng là một phần nền tảng thương mại của Hiệp hội ENX.

Nói một cách đơn giản, sự khác biệt chính giữa ISO 27001 và TISAX là lĩnh vực có thể áp dụng hoặc hợp lệ.

→ Xem thêm Tiêu chuẩn TISAX

PHẠM VI CHỨNG NHẬN CỦA ISO 27001-TISAX LÀ GÌ?

Trong trường hợp chứng nhận ISO 27001, các công ty có thể tự xác định phạm vi, trong các giới hạn nhất định. Tiêu chuẩn ISO 27001 mô tả những yêu cầu chung đối với việc giới thiệu, triển khai, vận hành, giám sát, kiểm soát, duy trì và cải tiến liên tục của hệ thống ISMS. Nó cũng cho phép người tham gia chọn lĩnh vực mà họ muốn chứng nhận. Điều đó có nghĩa là các công ty có thể lựa chọn để có một cơ sở nhất định, các dòng sản phẩm riêng lẻ hoặc dịch vụ được chứng nhận theo ISO 27001 – hoặc thậm chí toàn bộ công ty, nếu họ chọn như vậy.

Tiêu chuẩn TISAX không giống như vậy. Thay vào đó, TISAX xem xét toàn bộ cấu trúc công ty và các quy trình bảo mật thông tin của nó.

KẾT QUẢ ĐẦU RA CỦA ĐÁNH GIÁ ISO 27001 VÀ TISAX LÀ GÌ?

Một sự khác biệt quan trọng khác: Bạn sẽ thường nghe thấy từ “chứng nhận” được sử dụng cho cả ISO 27001 và TISAX. Nhưng về mặt kỹ thuật, không có thứ gì gọi là chứng chỉ TISAX, trong khi chũng ta có chứng chỉ ISO 27001.

Trên thực tế, TISAX là một nền tảng được hỗ trợ bởi các hiệp hội sản xuất ô tô từ các quốc gia châu Âu khác nhau. Các công ty muốn hoạt động với tư cách là nhà cung cấp cho ngành cần đăng ký nền tảng và đáp ứng các yêu cầu của TISAX. Ngành công nghiệp ô tô muốn giữ thông tin về những người đáp ứng các yêu cầu của TISAX chỉ là thông tin giữa những người tham gia.

Vì lý do này, các công ty không được quảng cáo công khai rằng họ đáp ứng các yêu cầu của TISAX. Vì vậy mà sẽ chỉ có báo cáo TISAX (TISAX Report) chứ không có chứng chỉ TISAX. Việc trao đổi kết quả đánh giá trong TISAX chỉ dành riêng cho những tổ chức cũng tham gia TISAX mà thôi.

TISAX CÓ YÊU CẦU CHỨNG NHẬN ISO 27001 KHÔNG?

Không có kết nối chính thức cũng như không có bất kỳ sự phụ thuộc lẫn nhau nào giữa ISO 27001 và TISAX. Các tiêu chuẩn hoạt động hoàn toàn độc lập với nhau. Các công ty có thể đáp ứng các yêu cầu của TISAX và cũng có chứng nhận ISO 27001. Hoặc họ có thể chỉ đáp ứng một trong hai tiêu chuẩn.

TISAX không yêu cầu chứng nhận ISO 27001, tuy nhiên vẫn có những thuận lợi nhất định: Bất kỳ công ty nào đã trải qua thành công cuộc đánh giá ISO 27001 trên toàn công ty sẽ gặp ít khó khăn hơn khi đánh giá TISAX.

CÓ THỂ KẾT HỢP CẢ HAI CUỘC ĐÁNH GIÁ ISO 27001-TISAX KHÔNG?

Mặc dù có những điểm tương đồng giữa hai hệ thống chứng nhận, nhưng không thể thực hiện một cuộc đánh giá kết hợp chứng nhận cả hai tiêu chuẩn. Điều này là do mỗi cuộc kiểm toán giả định một quan điểm khác nhau về cơ bản.

Với ISO 27001, đánh giá viên xem xét các rủi ro và các biện pháp liên quan đến an toàn thông tin từ quan điểm của chính công ty.
TISAX hướng tới việc đảm bảo chuỗi cung ứng an toàn cho các OEM (Original Equipment Manufacturer – Nhà sản xuất thiết bị gốc) mong đợi các quy trình quản lý tuân thủ TISAX từ các nhà cung cấp. Ở đây, quan điểm là của khách hàng cuối cùng.

CHỨNG NHẬN ISO 27001-TISAX – CÁI NÀO KHÓ ĐẠT ĐƯỢC HƠN?

Không có câu trả lời rõ ràng cho câu hỏi này. Mức độ khó khăn và thách thức của mỗi hệ thống nên được xem xét trên cơ sở cá nhân. Cả hai cuộc đánh giá về cơ bản đều chạy cùng một mô hình thử nghiệm. Trong mỗi trường hợp, cả hai đều kiểm tra:

Những biện pháp nào mà một công ty tuyên bố đã thực hiện để đảm bảo an toàn thông tin?
Các biện pháp đã được thực hiện như thế nào?
Những bằng chứng nào có thể được cung cấp để hỗ trợ?

Ban quản lý là đối tượng chịu trách nhiệm trả lời cho cả 3 câu hỏi trên. Có nghĩa là, bảo mật thông tin vẫn luôn là một nhiệm vụ quản lý – cho dù công ty của bạn đang được đánh giá theo ISO 27001 hay TISAX.

Tuy nhiên, vẫn có những điểm khác biệt đáng nói:

Các đánh giá viên của TISAX sẽ chỉ hỏi ban quản lý và nhiều nhất là nhân viên bảo mật thông tin của công ty.
Trong khi đó, khi chứng nhận ISO 27001, tổ chức đánh giá có thể hỏi nhân viên về các biện pháp và quy trình cụ thể. Do đó, nỗ lực cần thiết để chuẩn bị cho nhân viên của bạn sẵn sàng với cuộc đánh giá sẽ lớn hơn một chút.

Chứng nhận ISO 27001 thường bao gồm nhiều quy trình bảo mật thông tin hơn so với TISAX. Điều này có nghĩa là các câu hỏi không quá sâu. Nếu một biện pháp có thể được chứng minh là đã được thực hiện, câu hỏi sẽ được đánh dấu chọn ra khỏi danh sách. Mặt khác, các cuộc kiểm toán của TISAX cũng xem xét mức độ hiệu quả của một biện pháp nhất định.

TISAX CÓ ƯU TIÊN BẢO VỆ DỮ LIỆU HƠN ISO 27001 KHÔNG?

ISO 27001 chỉ chứa một đoạn ngắn đề cập rõ ràng về bảo vệ dữ liệu. Mặt khác, TISAX mô tả các yêu cầu về bảo vệ dữ liệu ở một trong ba danh mục tiêu chí của nó. Về cơ bản, TISAX có một danh mục các tiêu chí tập trung vào bảo mật thông tin chung, một danh mục về bảo vệ nguyên mẫu và thứ ba về bảo vệ dữ liệu.

Điểm độc đáo của các cuộc kiểm tra TISAX là OEM xác định xem cả ba danh mục sẽ là trung tâm cho nhà cung cấp được kiểm toán hay là một tập hợp con. Sau đó OEM có thể chỉ định mức độ hoàn thành cần thiết của quy trình bảo mật thông tin. Đánh giá chia thành 3 cấp độ (levels) 1,2,3 từ “bình thường” đến “rất cao”.

Nói cách khác, nếu một công ty được kiểm toán theo danh mục tiêu chí bảo vệ dữ liệu ở cấp độ 3 của TISAX, các yêu cầu sẽ cao hơn đáng kể so với đánh giá ISO 27001. Khi nói đến TISAX, các bài đánh giá cấp độ 3 luôn đòi hỏi một quy trình đánh giá tại chỗ chuyên sâu, trong khi cấp độ 2 có thể đánh giá từ xa và cấp độ 1 chỉ cần tự đánh giá.

CÁC NHÀ CUNG CẤP Ô TÔ HOÀN THÀNH ĐÁNH GIÁ TISAX THÀNH CÔNG CÓ NÊN TIẾP TỤC ĐẠT ĐƯỢC CHỨNG NHẬN ISO 27001 KHÔNG?

Câu trả lời chắc chắn là “Có”. Bạn nên làm như vậy vì nó rất có ích cho mục đích quảng bá. Khi đạt được chứng nhận ISO 27001, các công ty được phép xuất bản chứng chỉ ISO 27001. Họ có thể đăng chứng chỉ lên trang web hoặc treo ở công ty của mình để chứng minh mức độ bảo mật thông tin và vị thế của họ trên thị trường. Như đã nêu ở trên, trường hợp này không xảy ra nếu bạn vượt qua thành công cuộc kiểm tra TISAX.

Tuy vậy, các nhà cung cấp ô tô không nhất thiết phải chứng nhận ISO 27001 để hoạt động như một phần của chuỗi cung ứng trong ngành. Về mặt này, đánh giá TISAX thôi cũng là đủ.

AI THỰC HIỆN KIỂM TOÁN 27001-TISAX? CÁC CƠ QUAN CÓ THẨM QUYỀN ĐỐI VỚI CẢ HAI TIÊU CHUẨN NÀY CÓ GIỐNG NHAU KHÔNG?

Mặc dù có các nhà cung cấp dịch vụ chứng nhận thực hiện đánh giá theo cả hai tiêu chuẩn, nhưng trách nhiệm đối với tiêu chuẩn ISO 27001 và TISAX hoàn toàn không chồng chéo.

Hiệp hội ENX hoàn toàn chịu trách nhiệm về kết quả đánh giá được công nhận cho các cuộc kiểm tra TISAX. Về phần mình, Hiệp hội ENX công nhận các nhà cung cấp dịch vụ chứng nhận thực hiện các cuộc đánh giá TISAX. Hiện có 15 nhà cung cấp dịch vụ kiểm toán được công nhận cho TISAX trên toàn thế giới.
Các trách nhiệm liên quan đến ISO 27001 được cấu trúc theo cách tương tự. Tổ chức ISO sẽ là cơ quan công nhận năng lực đánh giá của các tổ chức chứng nhận

—————————————————————————————————————————————————–

Để biết thêm thông tin về tiêu chuẩn ISO 27001 hoặc TISAX, Quý Doanh nghiệp vui lòng liên hệ với Chúng Tôi theo thông tin dưới đây:

Số hotline: 0969.555.610 / 0914.791.188
Địa chỉ: Tầng 12A Ladeco Building, 266 Đội Cấn, Ba Đình, Hà Nội
Email: sales@sps.org.vn
Website: https://sps.org.vn/