GKN Automotive: TISAX napędza automotive
GKN Automotive

TISAX napędza automotive

GKN: Lokalny oficer bezpieczeństwa w globalnej organizacji

Nawet najlepszy zespół zaangażowany w bezpieczeństwo informacji może zmierzyć się z nie lada problemem, jeśli zostanie zobligowany do udziału w audycie certyfikującym. Jeśli w dodatku na przygotowanie ma niewiele czasu, najlepszym rozwiązaniem jest pomoc doświadczonego konsultanta w roli Oficera Bezpieczeństwa Informacji. Z takiej opcji skorzystała firma GKN Automotive, przygotowując się do audytu i pozyskania etykiety TISAX®. Partnerem projektu było All for One Poland.

Nawet najlepszy zespół zaangażowany w bezpieczeństwo informacji może zmierzyć się z nie lada problemem, jeśli zostanie zobligowany do udziału w audycie certyfikującym. Jeśli w dodatku na przygotowanie ma niewiele czasu, najlepszym rozwiązaniem jest pomoc doświadczonego konsultanta w roli Oficera Bezpieczeństwa Informacji. Z takiej opcji skorzystała firma GKN Automotive, przygotowując się do audytu i pozyskania etykiety TISAX®. Partnerem projektu było All for One Poland.

GKN Automotive to jeden z największych na świecie dostawców układów jezdnych dla branży automotive, zatrudniający 25 tysięcy osób w 46 placówkach zlokalizowanych w 21 krajach. W Polsce posiada dwa zakłady produkcyjne zlokalizowane w podwrocławskiej Oleśnicy. Firma tej wielkości musi każdego dnia mierzyć się z niezliczonymi wyzwaniami i zagrożeniami dla bezpieczeństwa informacji, dlatego też stawia duży nacisk na zintegrowane zarządzanie w tym obszarze.

W 2023 r. GKN Automotive przeprowadziło projekt wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z VDA ISA TISAX®, który obejmował audyt zerowy pod kątem zgodności z normą, przeprowadzenie dostosowań organizacyjnych i procesowych, uruchomienie SZBI oraz pozytywne przejście audytu certyfikującego. Parterem w projekcie była firma All for One Poland.

Zarządzanie bezpieczeństwem informacji na poziomie ogólnofirmowym ma wiele zalet i pozwala na standaryzację procesów oraz ich właściwe skalowanie. W GKN działa globalne biuro bezpieczeństwa. Przy takiej organizacji procesów jedna funkcja wdrożona centralnie może wspierać wiele placówek w kilku krajach.

Nadal jednak konieczne jest zaangażowanie lokalnego zespołu, który na miejscu właściwie zidentyfikuje specyficzne zagrożenia oraz wdroży globalne procesy. W przypadku standardów takich jak VDA ISA TISAX® dodatkowo konieczne jest zadbanie o bezpieczeństwo fizyczne obiektów (jak systemy kontroli dostępu, zabezpieczenie obszaru dostaw czy szkolenia pracowników), co jest praktycznie niemożliwe bez zaangażowania pracowników z danej lokalizacji.

W GKN Automotive Poland taki korporacyjny zespół został powołany w zakładzie w Oleśnicy. W jego skład wchodzą kluczowi pracownicy z lokalnego zespołu IT oraz maintenance, którzy dzięki odpowiedniej wiedzy i doświadczeniu mogli sprawnie wdrożyć poszczególne wymagania opisane w dokumentacji globalnej. Wyzwaniem okazały się jednak odpowiednia interpretacja tych wymagań oraz ich wdrożenie w praktycznych zastosowaniach.

Rozwiązaniem, na które postawiło GKN Automotive, jest zaangażowanie Lokalnego Oficera Bezpieczeństwa Informacji. W tej roli występuje konsultant All for One Poland, firmy, która była partnerem we wdrożeniu wymagań TISAX® w organizacji. Jako członek lokalnego zespołu wnosi on doświadczenie związane z wymaganiami TISAX®, a także systemowym zarządzaniem bezpieczeństwem informacji i przygotowaniem do audytu certyfikującego.

Systemowe zarządzanie bezpieczeństwem informacji wymaga specyficznych kompetencji. Nawet osoby na co dzień realizujące zadania z takich obszarów, posiadające wiedzę i doświadczenie, mogą mieć problem z interpretacją wymagań czy zastosowaniem procedur. W przypadku TISAX® jest to szczególnie problematyczne, ponieważ standard podaje przykłady konkretnych zabezpieczeń, jak np. instalacja drzwi w standardzie RC2. W skali całego zakładu koszty takiej operacji byłyby ogromne, a wpływ na poziom bezpieczeństwa – znikomy. Jednak nie wszystkie obszary wymagają zastosowania drzwi w takim standardzie.

Zaangażowanie doświadczonego konsultanta pozwoliło GKN ograniczyć niepotrzebne wydatki i skupić się na najważniejszych działaniach, co zaowocowało sprawnym przejściem audytu certyfikującego zewnętrznej jednostki i uzyskaniem certyfikatu TISAX®.

Konsultant All for One stał się stałym członkiem lokalnego zespołu bezpieczeństwa informacji GKN Automotive Poland. W 2024 r. kontynuowane są prace nad uzyskaniem certyfikatu w drugiej lokalizacji w Polsce.

Od audytu zerowego do certyfikacji

Współpraca z firmą All for One Poland rozpoczęła się w połowie roku 2023 od audytu zerowego, podczas którego konsultant firmy miał okazję poznać oraz ocenić nasze procesy na poziomie lokalnym i globalnym. Na podstawie uzyskanych wyników rozpoczęliśmy proces dalszego wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z wymaganiami VDA ISA. Wdrożenie obejmowało powołanie lokalnego Zespołu ds. Zarządzania Bezpieczeństwem Informacji, współpracę z zespołem globalnym, wymianę doświadczeń z innymi zakładami GKN Automotive na świecie oraz dostosowanie wymagań systemu wewnątrz naszej organizacji, tak by spełniały naturalnie istniejące wymagania korporacyjne. Uruchomiony w efekcie SZBI przeszedł pełną pozytywną ocenę podczas audytu w lutym bieżącego roku. Osiągnięty sukces był w głównej mierze zasługą współpracy z konsultantem All for One, którego pełne zaangażowanie, kompetencje i doradztwo we wszystkich obszarach przyczyniły się do pozyskania etykiety TISAX®.

Obecnie kontynuujemy współpracę z konsultantem wiodącym w celu przygotowania do certyfikacji kolejnej lokalizacji GKN Automotive Poland.

Katarzyna Turska, Lider ds. Technicznych, GKN Driveline Polska

Coraz więcej firm jest zobligowanych do wdrożenia SZBI przez wymagania prawne – w tym NIS2.

Rafał Grześkowiak, Manager ds. Projektów IT, All for One Poland

SZBI – decyzja biznesowa i wymagania prawne

Wdrożenia i późniejsze doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji w organizacjach międzynarodowych stanowią obecnie znaczną część naszych projektów. Centralizacja i ujednolicenie aspektów związanych z regulacjami bezpieczeństwa (polityki, procedury), jak również ze standaryzacją rozwiązań technicznych w zakresie cyberbezpieczeństwa ułatwiają przedsiębiorstwom monitorowanie i zarządzanie w skali całej grupy kapitałowej. Różnice dla poszczególnych spółek w ramach grupy często są niewielkie i w dużej mierze ograniczone do uwarunkowań lokalowych (bezpieczeństwo fizyczne) oraz prawnych (specyficzne krajowe prawodawstwo). Wspierając klientów we wdrożeniach, musimy doradzić zarówno w odpowiednim zaimplementowaniu regulacji „ramowych” narzuconych w ramach grupy kapitałowej, jak i w opracowaniu regulacji specyficznych dla danej spółki, przy zachowaniu zgodności z wymaganiami danej normy.

Istotną część wdrożenia systemu stanowią także prace w obszarze IT. Począwszy od diagnostyki (audyt, skanowanie podatności, testy penetracyjne), przez wdrożenie rozwiązań w zakresie analityki i wizualizacji zdarzeń w środowisku IT, po budowę dużych rozwiązań wspierających bezpieczeństwo – ochrona sieci, rozwiązania wysokiej dostępności, zapasowe data center.

Zwieńczeniem wielomiesięcznego projektu jest SZBI – zbudowany całkowicie indywidualnie według specyfiki danej organizacji. Po pewnym czasie pracy w środowisku SZBI zwykle firmy decydują się na poddanie go certyfikacji przez akredytowaną jednostkę.

Wdrożenie SZBI nie zawsze musi wynikać z decyzji czysto biznesowej. Niemalże identycznym wdrożeniom, dodatkowo rozbudowanym o aspekty związane z ciągłością działania, podlega coraz szersze grono firm zobligowanych do tego poprzez narzucone wymagania prawne – kilka lat temu NIS/KSC, a obecnie w rozszerzonym zakresie – NIS2. Podmiotami zobowiązanymi są wybrane firmy działające w branżach: energetyki, transportu, finansów, ochrony zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, zarządzania usługami teleinformatycznymi, przestrzeni kosmicznej, a także podmioty administracji publicznej.

Rafał Grześkowiak, Manager ds. Projektów IT, All for One Poland

GKN Automotive Poland

to część międzynarodowej korporacji, lidera w dziedzinie systemów napędowych. Jest dostawcą dla większości światowych firm motoryzacyjnych. Na świecie zatrudnia ponad 25 tys. pracowników w 46 placówkach zlokalizowanych w 21 krajach. W Polsce firma jest obecna od 1996 r. W dwóch zakładach produkcyjnych w Oleśnicy zatrudnia 1600 osób i zarządza ponad 90 liniami produkcyjnymi.

VDA ISA TISAX®

VDA ISA TISAX® to standard bezpieczeństwa informacji w branży automotive. Obejmuje trzy główne obszary, jakie mogą znaleźć się w zakresie certyfikacji: bezpieczeństwo informacji (Information security), ochronę prototypów (prototype protection) oraz ochronę danych osobowych (data protection). W ramach przygotowania do wdrożenia standardu TISAX® All for One wspiera firmy w następujących obszarach: przygotowanie polityki i organizacja bezpieczeństwa informacji, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i ciągłość działania, zarządzanie tożsamością i dostępami, bezpieczeństwo IT i cyberbezpieczeństwo, bezpieczeństwo w relacjach z dostawcami oraz zgodność z przepisami, normami i wymaganiami (compliance).

Napisz do nas Zadzwoń Wyślij email






    1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
    2. Administratorem Danych Osobowych jest All for One Poland sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: iod@all-for-one.com.
    3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
    4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
    5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
    6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
    7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy All for One Poland sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. All for One Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

    61 827 70 00

    Biuro jest czynne
    od poniedziałku do piątku
    w godz. 8:00 – 16:00 (CET)

    Kontakt ogólny do firmy
    office.pl@all-for-one.com

    Pytania o produkty i usługi
    info.pl@all-for-one.com

    Pytania na temat pracy i staży
    kariera@all-for-one.com

    This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.