ISO/IEC 27001 vs. TISAX

I veckan fick jag frågan från en av Knowits kunder; om man innehar en certifiering för ISO 27001, efterlever man även informationssäkerhetsstandarden TISAX? I texten nedan kan du läsa om mina efterforskningar och vad jag kom fram till.

Vad är ISO/IEC 27001?
ISO 27001 är den mest erkända standarden för ledningssystem när det gäller informationssäkerhet. ISO 27001 fastställer de krav som en organisation behöver uppfylla när det gäller ledningssystem för informations- och cybersäkerhet. Att arbeta i ett ledningssystem gör att organisationen får ett systematiskt och transparant sätt att arbeta på. Att du dessutom använder en ISO-standard när du bygger ditt ledningssystem ger dig ett kvitto på att du arbetar med beprövade metoder då ISO är världens största utvecklare av internationella standarder. Förlagan till SO/IEC 27000-serien har dessutom funnits sen mitten av 90-talet och har utvecklats och förbättrats i många olika omgångar.

Vad är TISAX?
TISAX (Trusted Information Security Assessment Exchange) är en standard för informationssäkerhet som tagits fram av bilindustrin. TISAX regleras av ENX Association på uppdrag av tyska VDA (Verband der Automobilindustrie) och ska bedöma informationssäkerheten hos leverantörer, fordonstillverkare och andra parter som stödjer bilindustrin. TISAX togs fram i början av 2017 och sedan dess har ett stort antal biltillverkare och leverantörer till den tyska bilindustrin krävt en TISAX-etikett av sina samarbetspartners.

TISAX har tagit grunden för ISO 27001 och gjort justeringar för att göra den mer fordonsspecifik, dock följer TISAX huvudprinciperna för ISO 27001. Kraven är utökade för att omfatta ytterligare områden som är särskilt relevanta för fordonsindustrin. Standarden är indelad i tre huvudområden.

• Informationssäkerhet är det största området och innehåller 41 krav. Alla krav är kopplade mot ett eller flera krav i ISO 27001.

• Skydd av fordonsprototyper innehåller 22 krav, bland annat för att säkerställa att kundspecifika säkerhetskrav för presentationer och evenemang samt för film- och fotoupptagningar (innehållandes fordon, komponenter eller andra delar som klassificerats som skyddsvärda), är kända och dokumenterade.

• Den tredje området är Dataskydd och innehåller fördjupande frågor om dataskydd för att fastställa leverantörens lämplighet enligt dataskyddsförordningen.

Skillnaden mellan ISO 27001 och TISAX
En certifiering enligt bägge dessa standarder visar på att information hanteras på ett säkert sätt. Processen är samma; organisationen bedöms utefter en lång uppsättning krav för att utreda om kraven uppfylls eller inte.

Det finns skillnader mellan ISO 27001 och TISAX. En är att omfattningen av en ISO-certifiering definieras innan själva certifieringen och med TISAX är tillämpningsområdet fastställt. En annan är att TISAX specifikt definierar vad "säker" innebär när det gäller information inom fordonsindustrin, medan ISO 27001 är öppen för en viss grad av tolkning.

En annan skillnad mellan de två är bedömningsmetoden. ISO 27001 kräver en årlig revision, medan TISAX bedömning är giltig i tre år. Från ISO erhålls också ett certifikat, medan TISAX ger en etikett.

Slutsats
Fördelarna med att inneha en informationssäkerhetscertifiering är många. Du kan visa upp bevis för dina kunder och andra parter att din organisation hanterar information på ett säkert sätt. I många fall kräver företagen att du som leverantör ska inneha en certifiering, för att få göra affärer med dem. Läs mer om varför du bör certifiera din organisation här. 

Både TISAX och ISO 27001 eftersträvar samma sak; att visa för intressenter att känsliga uppgifter hanteras systematiskt och fackmannamässigt.

Så för att svara på den fråga som jag fick; nej, man efterlever inte TISAX per automatik om man innehar en certifiering mot ISO 27001. Men den goda nyheten är att steget mot en TISAX-etikett inte är långt. Både ISO 27001 och TISAX är kompatibla: om du är certifierad mot den ena, kan du enkelt bli certifierad mot den andra. Genom att arbeta med båda standarder tillsammans kan du skapa synergier och hjälpa din organisation förbättra sitt säkerhetsarbete.