TISAX認証取得の流れ ~準備から認証取得までを一気に解説~
TISAX(Trusted Information Security Assessment Exchange)は、2017年に策定された自動車産業における情報セキュリティの評価と共有のための認証です。 TISAXは、情報セキュリティに関連するサプライヤーと顧客の間での信頼性を高めるために、ISO/IEC 27001に基づいて策定されました。
現在、ヨーロッパをはじめとした近年自動車業界で急速な広がりを見せており、日本企業であっても欧州の自動車メーカーと取引をおこなう際にはTISAXの認証取得を求められるケースが頻発しています。
一方、TISAX認証に関しては情報が少なく全体像が非常につかみづらくなっています。
TISAX認証の全体像を知りたい方はこちら:別記事「TISAX認証取得のための完全ガイド」>>
本記事では、TISAX認証を取得するまでの流れ、そして取得してから何をしなくてはいけないかを丁寧に解説します!
TISAX認証の無料相談をしに行く>>
目次
TISAX認証の概要と対象の事業者
TISAX(Trusted Information Security Assessment Exchange)は、2017年に策定された自動車産業における情報セキュリティの評価と共有のための認証です。 TISAXは、情報セキュリティに関連するサプライヤーと顧客の間での信頼性を高めるために、ISO/IEC 27001に基づいて策定されました。
現在、ヨーロッパをはじめとした近年自動車業界で急速な広がりを見せており、日本企業であっても欧州の自動車メーカーと取引をおこなう際にはTISAXの認証取得を求められるケースが頻発しています。
TISAXの対象となる事業者
TISAX認証は、自動車メーカーやサプライヤーなど、自動車業界における情報セキュリティに関与する事業者を対象としています。
具体的には、
・車両製造
・部品製造
・ソフトウェア開発
・テクノロジーサービス
・その他設計
等、自動車産業の様々なセクターで活動する事業者が含まれます。
TISAX認証の取得は、自動車産業における情報セキュリティの重要性を認識し、顧客やパートナーとのビジネス上の信頼を確立するために必要な認証です。 情報セキュリティの評価と認定により、自動車業界全体でセキュリティリスクを低減し、顧客の個人情報や重要なビジネスデータの保護を強化することが期待されています
取得の流れ
TISAX認証は第三者の認定審査機関によって実施されます。
TISAX認定審査機関は、情報セキュリティに関する審査を行い、結果を報告書として事業者へ提供します。この報告書によって、事業者は自社の情報セキュリティレベルを証明し自動車業界内での信頼性を高めることができます。
その審査を受けるにあたり、前後に多岐にわたる準備が必要です。
TISAX認証の導入には、情報セキュリティに関する内部組織の整備やポリシーの策定、セキュリティの脅威やリスクの評価などが必要です。
また、認証の取得後にも定期的な監査や改善活動も求められます。
認証の取得までは、大きく6ステップに分かれます。
STEP1:認証範囲の決定とENXポータルへの登録
まず初めに必要なのは、認証範囲の選択とENXポータル(TISAXが運営する共有ポータル)への登録です。
TISAX認証では、ISOのように認証を取得する範囲を組織ごとに選択することも可能です。
事業者にはセキュリティ管理、システム開発、サプライチェーン管理など、複数の領域がある場合も多くあると思います。
特定の自動車メーカーとの取引に関わる組織のみを対象とすることもできるため、認証の範囲をまずは選定をします。
この段階で、審査機関への直接相談などもすおすすめです。
その後、ENXポータルへの登録手続きを行います。
WEBサイトにアクセスし、必要な情報を提供して事業者として登録します。
実際のENXポータルはこちら>>
ENXポータルはTISAXにおける重要なプラットフォームで、このポータルを通じて
・審査機関への審査依頼,審査日程を調整
・審査の進捗状況を確認
・審査結果のレポート授受
を行います
▼▼▼ 少し宣伝です ▼▼▼
プライバシー認証コンサルのUPFなら、TISAX認証の審査機関選びはもちろん、
認証の範囲の相談も総合的にサポート可能です。
認証に関して少しでも不安に思われる場合、まずは是非お問い合わせいただけますと幸いです。
TISAX認証に関して相談をしてみる(無料)>>
▲▲▲ 宣伝終わり ▲▲▲
STEP2:自己評価
現時点での自社の情報セキュリティ状況を評価します。
これには、セキュリティポリシーや手順、技術的なセキュリティ対策などの確認が含まれており、TISAX認証の要求事項と自社の状況がどれだけGAP&FITしているかを確認します。
既存の規程類と評価シート「VDA-ISA」を照合する進め方がベターです。
VDA-ISAは下記のリンクからダウンロードが出来ます。
https://portal.enx.com/en-US/TISAX/downloads/
STEP3:改善と構築
自己評価の結果を基に、TISAXの要求事項を満たしていない部分に対し、今後どのような対策・ルール作りを行っていくかの改善提案をもとに計画し、対策の導入を行います。
改善と構築の具体的な流れは、煩雑で工数が多くかかる部分です。
具体的な流れは下記のように大きく8ステップもあります。
1.評価結果の分析
自己評価の結果を詳細に分析し、特定されたセキュリティ上の課題やリスクを明確にします。
ここで洗い出した課題は、セキュリティの強化ポイントを特定するため重要な財産となります。
2.改善計画の策定
分析結果に基づいて、セキュリティの改善計画を策定します。
改善計画は特定された課題に対処するための具体的な運用を含みます。
ただし、自社の実業務フローの範囲で実現可能・継続可能な運用を構築しなければ意味がありません。
3.優先順位付け
改善計画の運用を優先順位付けし、緊急性と影響を考慮して実行順序を決定します。重要なセキュリティ課題に優先的に対処します。
4.ポリシーと手順の改善
評価に基づいて、情報セキュリティポリシーと手順を改善しましょう。
この段階では、新しいポリシーや手順の策定、既存規程の更新、法令順守の向上が含まれます。
5.セキュリティの教育とトレーニング
従業員に対するセキュリティ教育とトレーニングを実施し、セキュリティ意識を高めます。社内のセキュリティ文化を強化していきましょう。
ただし、教育の対象はSTEP1で決定した対象範囲に所属している従業員のみで構いません。
6.管理の改善
リスク評価と管理プロセスを見直し、新しく特定されたセキュリティリスクに対処します。
7.コンプライアンス維持
TISAX評価基準は勿論ですが、法規制の順守を維持した上で最新のセキュリティ要件に合致しているかどうかを確認しましょう。
8.文書化と報告
改善プロセスや実施された変更点などを文書化し、適切に報告書を作成しましょう。
これは、その後の審査や監査のために必要な資料となります。
▼▼▼ 少し宣伝です ▼▼▼
プライバシー認証コンサルのUPFなら、TISAX認証の自己評価も完全にサポート可能です。
認証に際するあらゆる手続きをサポートし、担当の方の負担を軽減します。
TISAX認証に関して相談をしてみる(無料)>>
▲▲▲ 宣伝終わり ▲▲▲
STEP4:審査の実施
STEP4で、ようやく審査に入ります。
審査はTISAXの認定審査機関によって実施されます。
審査担当者は、事業者の施設を訪問して情報セキュリティに関する評価を行います。そこでは、ドキュメントの確認、インタビュー、セキュリティ対策の実地確認などが行われます。
尚、TISAXには3つの評価レベルがあり、審査方法がそれぞれ異なります
■ 評価レベル1(AL1)
自己評価のみで、審査員による審査は実施しない。
信頼レベルが低いため、基本的にTISAXでは使用されない。
■ 評価レベル2(AL2)
審査員によるオンラインインタビューを実施する。
■ 評価レベル3(AL3)
審査員による現地審査を実施する。
ただし、評価レベル2(AL2)に該当する評価目標は1つしか存在しないため、事業者は基本的に現地審査を受ける必要があります。
STEP5:指摘事項への是正と報告
審査の結果、評価項目の合否、改善すべきポイントなどが指摘されます。
事業者は、指摘に対して審査実施から9か月以内に改善を実施し報告書を提出しなければいけません。
STEP6:認証の取得
指摘事項への是正を認められたら、認証は取得となります。
TISAX認証の有効期間は3年間であり、更新する場合は再度審査を受ける必要があります。
認証の取得後は、それを継続できるよう、ここまでで構築した運用は常にブラッシュアップしていきましょう。
▼▼▼ 少し宣伝です ▼▼▼
プライバシー認証コンサルのUPFなら、TISAX認証の機関選びはもちろん、
認証に際するあらゆる手続きをサポートし、担当の方の負担を軽減します。
TISAX認証に関して相談をしてみる(無料)>>
▲▲▲ 宣伝終わり ▲▲▲
TISAX認証取得のサポートのご相談なら一度ご連絡ください
最後までお読みいただきありがとうございました。
TISAX認証は取得の意義が高い分、取得工程が事業者のみなさまの負荷になる場合もあります。
円滑に取得をするためのパートナーとして、株式会社UPFではコンサルティングサービスを展開しております。
https://upfsecurity.co.jp/tis/
最後に、認証を取得したい事業者のみなさまにUPFができることをご紹介します。
・リスクマネジメントの制度設計
国内外問わず、様々な規格の認証支援・構築支援を経てきたからこそ、多角度からのリスクを考慮して、その事業者に最もフィットする制度設計を提案します。
VDA-ISAをもとに、現状の組織体制やルール、TISAXの要求事項とのギャップ調査、具体的な取り組みの可否をチェックします。 評価結果をもとに現在の状況を正しく把握し、各組織に合わせたルールの構築や対策を計画・導入します。
・審査機関との調整&担当のサポートや代行
事業者のみなさまと審査機関の間で円滑なコミュニケーションと調整を行います。審査スケジュールの調整や情報の提供、質問への回答など、審査プロセスにおける円滑な進行をサポートします。
・指摘事項に対するスピーディな対応
指摘事項があった場合、是正事項に対して9か月以内に再度審査員による評価を受ける必要があります。その際、UPFからは是正事項に対する計画、対応方法をご説明いたします。 時間をかけすぎると9か月のリミットに到達してしまう可能性があるため、迅速に最適な対応方法をご提案します。
下記URLからお問合せいただくか、担当の赤間まで直接ご連絡くださいませ。
https://upfsecurity.co.jp/tis/
TISAX担当・赤間(あかま)直通:megumi_akama@upf-group.co.jp
東京本社電話番号:03-6661-0846
※ 「TISAXの件」とお伝えください
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
7/23・24『第3回バックオフィスDXPO東京’24【夏】』に出展します
2024年7月23・24日、東京ビックサイト西1・2ホールにて開催の、 管理部門の業務効率化・DX推進のための展示会 第3回バックオフィスDXPO東京’24【夏】に出展します。 ご […]
BPO業者選びは情報セキュリティー対策の有無【Pマーク、ISMS】
最近、ビジネス・プロセス・アウトソーシング(BPO)がどんどん広まってきています。業務の一部を外部に任せることで、コストを削減したり効率化したりできるのは確かに魅力的です。 しかし […]
-
本日より仕事始めです。
皆さま、新年あけましておめでとうございます! 2024年1月4日、本日より弊社も仕事はじめとなります。 旧年中は大変お世話になりました。 本年もよろしくお願いします! […]
年末年始休暇のご案内
平素は格別のお引き立てをいただき厚くお礼申し上げます。 弊社では、誠に勝手ながら年末年始休業日を下記のとおりとさせていただきます。 【年末年始休業期間】 2023年12月28日(木 […]
TISAX認証取得の流れ ~準備から認証取得までを一気に解説~
TISAX(Trusted Information Security Assessment Exchange)は、2017年に策定された自動車産業における情報セキュリティの評価と共 […]
