자동차 공급망의 정보 보안

TISAX®는 Trusted Information Security Assessment Exchange(신뢰할 수 있는 정보 보안 평가 교환) 의 약자입니다. TISAX®는 자동차 업계에서 정보 보안 평가를 상호 인정할 수 있도록 지원하며, 민감한 정보를 파트너 회사들과 안전하게 공유하여 자동차 공급망 전체에 신뢰를 제고하도록, 공통의 평가 및 교환 메커니즘을 제공합니다.

TISAX®는 자동차 산업 보안 전문가가 개발하고 ISO/IEC 27001과 같은 정보보호 경영시스템(ISMS) 국제 표준을 기반으로 하며, 자동차 공급망에 특화된 정보 보안의 가상적, 물리적, 사회적 측면을 다루는 요구사항 카탈로그를 제공합니다. 이 카탈로그를 정보보안평가(ISA, Information Security Assessment)라고 하며, TISAX®의 공인 심사 수행 기관인 BSI가 실시하게 될 평가의 기초를 구성합니다.

OEM(Original Equipment Manufacturers)사들이 TISAX® 라벨 자체가 조직의 정보 보안 요구사항 준수를 증명하는 것으로 점차 인식하게 되면서, 이를 통해 자동차 공급망 전반에 걸쳐 정보 보안을 보장하는 데 도움이 될 수 있습니다.

현재 전 세계적으로 거의 6,000여 곳에 걸쳐 3,000여 명의 TISAX® 참가 기업들(OEM사 및 TISAX® 인증 받은 공급사)이 있습니다. 여기에는 차량 부품 공급사에서 기술 서비스 공급사에 이르기까지 OEM과 협업하는 다양한 조직들이 모두 포함됩니다.

조직은 고객에게 정기적으로 정보 보안과 관련된 표준화되고 구체적인 요구사항을 준수하고 있음을 입증하는 것이 중요합니다. TISAX® 및 ISO/IEC 27001 모두 이 목표를 지원합니다.

TISAX®는 ISO/IEC 27001과 긴밀하게 연계되어 있지만, 특별히 공급망에 초점을 맞춘 자동차 산업에 특화된 몇 가지 추가 요구사항이 있습니다. 예를 들어, 개발 프로세스에서 설계 데이터를 교환하거나, 네트워크로 연결된 생산 시스템 간의 자동화된 데이터 교환이 이에 해당합니다. 또한 생산의 가용성과 신뢰성은 TISAX® 평가를 통해 보다 구체적으로 다루어집니다.

ISO/IEC 27001 표준의 주요 조항은 ISA 전반에 걸쳐 참조되고 있으므로, 공급망 내의 보안 관리에 대해 조직 전반에 활용되는 ISO/IEC 27001 정보보호 경영시스템과 쉽게 연계할 수 있습니다.

1. TISAX® 등록하기: 고객이 ENX 포털 사이트에 등록하여 평가 범위를 정합니다.
2. TISAX® 평가받기: 고객은 TISAX® 평가 제공자(예: BSI)가 실시하는 평가를 받습니다.
3. TISAX® 라벨 획득: 평가를 성공적으로 완료하면 ENX는 TISAX® 라벨을 제공하여, 획득 기관이 모든 TISAX® 참가자 또는 엄선된 비즈니스 파트너와 결과를 공유할 수 있게 합니다.

TISAX® 평가 레벨은 다음과 같이 세 가지입니다. 등록 단계에서 적절한 레벨을 선택하게 됩니다.

• AL 1: 피 심사자의 자체 평가. 피 심사자가 기존 자가 선언에 대한 평가 진행
• AL 2: 근거의 평가와 전문가 인터뷰에 국한된, 자체 평가의 신뢰성 점검만 진행
• AL 3: 증거 평가, 현장 검사 및 전문가 인터뷰를 포함한 전체 평가 진행

TISAX®는 ENX Association의 브랜드 자산입니다. BSI는 ENX Association에서 TISAX® 심사 평가를 수행할 수 있는 기관으로 공식적으로 인정되었습니다.