Ficomirrors: System Zarządzania Bezpieczeństwem Informacji zgodny z TISAX®
Wyszukiwarka

Wpisz szukane wyrażenie

Service desk Kontakt Szukaj
PL/EN
Polski English
Autor: Maciej Chwaliński, Michał Kasak
Publikacja: 2024, Lepszy Biznes
Ficomirrors

Bezpieczeństwo danych w automotive

System Zarządzania Bezpieczeństwem Informacji zgodny z TISAX® w Ficomirrors Polska

Standard bezpieczeństwa informacji TISAX staje się obowiązkowym elementem systemowego zarządzania dla firm działających w sektorze automotive. Najwięksi gracze chcą mieć pewność, że wszyscy dostawcy w łańcuchu gwarantują odpowiedni poziom bezpieczeństwa danych, ograniczając w ten sposób ryzyko przerw w produkcji spowodowanych utratą dostępności systemów czy danych partnera. Konsultanci All for One Poland wsparli Ficomirrors Polska, światowego lidera produkcji lusterek samochodowych, we wdrożeniu systemu, który pozwolił na osiągnięcie zgodności z TISAX i uzyskanie etykiety w portalu ENX.

Standard bezpieczeństwa informacji TISAX staje się obowiązkowym elementem systemowego zarządzania dla firm działających w sektorze automotive. Najwięksi gracze chcą mieć pewność, że wszyscy dostawcy w łańcuchu gwarantują odpowiedni poziom bezpieczeństwa danych, ograniczając w ten sposób ryzyko przerw w produkcji spowodowanych utratą dostępności systemów czy danych partnera. Konsultanci All for One Poland wsparli Ficomirrors Polska, światowego lidera produkcji lusterek samochodowych, we wdrożeniu systemu, który pozwolił na osiągnięcie zgodności z TISAX i uzyskanie etykiety w portalu ENX.

TISAX to standard opracowany w oparciu o normę ISO 27001 z uwzględnieniem specyficznych wymagań dla branży automotive. Aby uzyskać zgodność ze standardem, konieczne jest wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, który zagwarantuje odpowiedni, wymagany poziom ochrony poufności, dostępności i integralności danych, szczegółowo opisany w liście kontrolnej VDA ISA

Najpierw SZBI

Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji w Ficomirrors Polska to projekt, który był realizowany wspólnie z All for One. Pierwszym krokiem był przeprowadzony w 2017 r. audyt bezpieczeństwa, w kolejnych latach trwały prace zmierzające do wdrożenia standardów bezpieczeństwa, by wreszcie 1 marca 2023 r. SZBI wszedł w życie.

Kolejne kilka miesięcy upłynęło na jego stosowaniu i doskonaleniu. Prowadzono audyty wewnętrzne, uzupełniano zauważone usterki w politykach i procedurach, przeprowadzono przegląd zarządzania, realizowano szkolenia dla pracowników. Wszystkie te działania pozwoliły zapoznać pracowników z kluczowymi regulacjami podnoszącymi bezpieczeństwo, a przy okazji zgromadzić dowody niezbędne do certyfikacji Systemu.

TISAX® w Ficomirrors

Firmy działające w łańcuchach dostaw segmentu automotive coraz częściej są zobligowane do uzyskania zgodności z wymaganiami TISAX. Tak właśnie stało się z Ficomirrors Polska. Konsultanci All for One Poland wsparli Ficomirrors Polska w zakresie opracowania, wdrożenia i doskonalenia systemu. W efekcie firma przeszła niezależny audyt i uzyskała pożądaną w branży etykietę w portalu ENX, co stanowi potwierdzenie, że spełnia najwyższe standardy w zakresie zarządzania bezpieczeństwem informacji.

Tworzenie Systemu Zarządzania Bezpieczeństwem Informacji w Ficomirrors rozpoczęło się od podstaw, czyli utworzenia analizy ryzyka. Na tym etapie konsultanci All for One prowadzili szkolenia i warsztaty z pracownikami Ficomirrors, które pozwoliły na identyfikację zagrożeń i ryzyk dla informacji, a następnie utworzenie odpowiednich planów postępowania.

Analiza ryzyka bezpieczeństwa informacji to potężne narzędzie, które pozwala zidentyfikować problemy i faktyczne luki w zabezpieczeniach. Dotyczy całości organizacji, więc muszą być w nią zaangażowani wszyscy właściciele procesów. W ten sposób można zidentyfikować ryzyka, które często są niewidoczne w innych systemach zarządzania. Rozmawiając z pracownikami z poszczególnych działów, uzyskujemy pełny obraz zagrożeń, jakie w nich występują. Właśnie dlatego analiza ryzyka jest tak istotna dla całego SZBI.

Zidentyfikowane ryzyka zostały następnie ocenione i zaadresowane. Jest to moment trudnych decyzji. Niektóre zmiany mogą wymagać dużych inwestycji, poświęcenia czasu i zasobów, a wymagania VDA nie zawsze są jednoznaczne – pozostawiają organizacji znaczną swobodę w zakresie doboru środków technicznych i organizacyjnych. Wsparcie doświadczonego konsultanta jest w tym miejscu na wagę złota, ponieważ pozwala ograniczyć nadmierne koszty i wybrać optymalne rozwiązania.

Nieodzowną częścią każdego systemu zarządzania jest dokumentacja. Zbiór polityk, procedur i instrukcji w obszarze bezpieczeństwa informacji odgrywa szczególną rolę, ponieważ łączy wiele obszarów, jak zasady bezpieczeństwa fizycznego, kontrola dostawców czy cyberbezpieczeństwo. Dokumentacja musi być zrozumiała dla wszystkich pracowników, a jednocześnie realizować wymagania własne organizacji i samego TISAX. Podczas wdrożenia systemu w Ficomirrors konsultanci All for One dostosowywali już istniejące dokumenty, a także wypracowywali nowe. Indywidualne podejście daje pewność, że procedury i polityki odpowiadają faktycznym procesom i pomagają w ich realizacji.

SZBI wymaga także implementacji zabezpieczeń technicznych. Także w tym zakresie Ficomirrors skorzystał z kompetencji konsultantów All for One. Na przykład wdrożenie systemu oznaczania informacji dla środowiska Office 365 (Azure Information Protection) zostało zrealizowane przez All for One we współpracy z konsultantem wiodącym TISAX, integrując rozwiązanie techniczne z założeniami formalnymi przyjętymi w Systemie Zarządzania, co znacznie ułatwiło i przyśpieszyło prace. W ramach projektu wdrożono także inne funkcjonalności IT wpływające m.in. na większe bezpieczeństwo danych biznesowych, jak również przetwarzanie danych osobowych

Uzyskana etykieta TISAX potwierdza zachowanie wymaganego stopnia poufności w wymianie informacji z kooperantami w branży automotive. Wdrożenie tego standardu zrealizowaliśmy wspólnie z All for One Poland

Michał Kasak, Dyrektor ds. Systemów Informatycznych i Bezpieczeństwa Informacji, Ficomirrors Polska

Audyt

Audyt certyfikacyjny formalnie rozpoczął się w sierpniu 2023 r. i zakończył w grudniu 2023 r. Uzyskana etykieta TISAX jest ważna do 2026 r.

Każdy, kto brał udział w audycie certyfikującym dowolnego systemu zarządzania, wie, jak istotne jest przygotowanie pracowników do spotkania z audytorem. Nawet najlepszy system musi być odpowiednio zaprezentowany, dlatego ważne jest, aby wymagania w danym obszarze były znane i rozumiane przez pracowników. W przypadku TISAX konieczne jest również opracowanie dowodów, które są przesyłane do jednostki certyfikującej. Etap przygotowania do audytu jest podsumowaniem kilku lat prac nad systemem, wymaga doświadczenia i przewidywania oczekiwań audytora. Wiedza i kompetencje konsultantów All for One biorących udział w audycie były pomocne w jego bezproblemowym i sprawnym przebiegu.

Od SZBI do etykiety TISAX®

Projekt wdrożeniowy Systemu Zarządzania Bezpieczeństwem Informacji w Ficomirrors Polska realizowaliśmy wspólnie z All for One Poland przez kilka lat. Pierwotnie naszą potrzebą biznesową było uzyskanie certyfikacji na zgodność z normą ISO/IEC 27001, jednak dynamicznie zmieniające się otoczenie biznesowe i oczekiwania naszych kontrahentów spowodowały – już w trakcie projektu – zmianę naszego celu na uzyskanie labelki TISAX jako bardziej pożądanej w branży automotive.

Ze względu na naszą międzynarodową strukturę i istniejące regulacje korporacyjne dużym wyzwaniem organizacyjnym było skorelowanie opracowywanej w takcie projektu dokumentacji systemowej z politykami bezpieczeństwa Grupy FICOSA, do której należymy, mającej centralę w Hiszpanii i koordynującej pracę zakładów w 16 krajach.

Czas do kolejnego audytu TISAX będziemy przeznaczać na dalsze doskonalenie wdrożonych regulacji i szkolenia pracowników. Planujemy także inwestycje w cyberbezpieczeństwo, by być lepiej przygotowanym na pojawiające się zagrożenia. Musimy też odpowiadać na nowe wymagania kontrahentów. Zmiany będą również dotyczyć procesów biznesowych, z uwagi na ewolucję checklisty VDA ISA.

SZBI daje naszej organizacji konkretną wartość dodaną w zakresie zarządzania bezpieczeństwem. Uzyskaliśmy mechanizmy regulacji i kontroli pozwalające mierzyć skuteczność stosowanych rozwiązań. Rozwijamy się w przekonaniu, że dzięki implementacji uznanego międzynarodowego standardu nasza organizacja stała się jeszcze lepszym partnerem biznesowym dla klientów i dostawców.

Michał Kasak, Dyrektor ds. Systemów Informatycznych i Bezpieczeństwa Informacji, Ficomirrors Polska

 Ficomirrors Polska (FMP) to spółka wchodząca w skład grupy Ficosa International. Jest wiodącym producentem lusterek samochodowych, zbiorników do systemów spryskiwaczy szyb w Europie Środkowo-Wschodniej. Fabryka FMP powstała w 2001 r. w Dąbrowie Górniczej. Grupa Ficosa działa od 1949 r., a jej główna siedziba znajduje się w Barcelonie. Jest obecna w 19 krajach w Europie, Ameryce Północnej, Ameryce Południowej i Azji. Zatrudnia ponad 7 tys. pracowników i jest oficjalnym dostawcą, a także partnerem technologicznym dla większości firm produkujących samochody na całym świecie, w tym takich marek jak Fiat, Alfa Romeo, Lancia, Iveco, VW, Ford, Skoda, BMW, Audi, GM, KIA, VW, Ford.

Wiecej o Ficomirrors

TISAX®

TISAX® (Trusted Information Security Assessment Exchange) to międzynarodowy standard stosowany w branży automotive, definiujący warunki zachowania wymaganego stopnia poufności podczas wymiany informacji z kooperantami. Wymagania normy w zakresie ochrony mogą dotyczyć kilku poziomów i obszarów działania organizacji.

Podstawowe trzy sekcje to:

  • Information security – podstawowy poziom stanowiący bazę systemu, zawiera wymagania związane z zarządzaniem, ryzykiem, kontrolą zmian, bezpieczeństwem cybernetycznym czy zgodnością z przepisami i normami;
  • Prototype protection – przeznaczony dla firm, które działają w zakresie tworzenia, rozwoju czy produkcji prototypów. W tej sekcji znajdziemy specyficzne wymagania związane np. z maskowaniem komponentów, rozdzieleniem linii produkcyjnych, prowadzeniem testów czy nawet organizacją sesji zdjęciowych i nagrań;
  • Data protection – odnoszący się do wymagań RODO i ochrony danych osobowych. Uzyskując zgodność z wymaganiami z tej sekcji, możemy ograniczyć konieczność wypełnienia dodatkowych ocen przy powierzeniu danych osobowych.

Wymagania w sekcjach podzielone są na kategorie „must”, które muszą być zrealizowane bezwzględnie, „should”, które również są konieczne, ale w uzasadnionych sytuacjach mogą być wyłączone, oraz dodatkowe wymagania dla wyższych poziomów ochrony (High protection needs, Very high protection needs). To, jaki zakres jest konieczny do wdrożenia, wynika najczęściej z wymagań klienta.

Polecana oferta

Wsparcie wdrożenia TISAX® Doradztwo w zakresie standardów VDA ISA i TISAX
Napisz do nas Zadzwoń Wyślij email






    1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
    2. Administratorem Danych Osobowych jest All for One Poland sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: iod@all-for-one.com.
    3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
    4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
    5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
    6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
    7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy All for One Poland sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. All for One Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

    61 827 70 00

    Biuro jest czynne
    od poniedziałku do piątku
    w godz. 8:00 – 16:00 (CET)

    Kontakt ogólny do firmy
    office.pl@all-for-one.com

    Pytania o produkty i usługi
    info.pl@all-for-one.com

    Pytania na temat pracy i staży
    kariera@all-for-one.com

    This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.