TISAX Nedir? Otomotiv Bilgi Güvenliği Değerlendirmesi
TISAX (Trusted Information Security Assessment Exchange), otomotiv endüstrisi için geliştirilmiş ortak bir bilgi güvenliği değerlendirme ve sonuç paylaşımı mekanizmasıdır. Bir tedarikçinin bilgi güvenliği olgunluğu akredite denetçiler tarafından bir kez değerlendirilir; ortaya çıkan sonuç, otomobil üreticileri (OEM'ler) ve diğer iş ortakları arasında karşılıklı olarak tanınır. Böylece her müşterinin aynı tedarikçiyi tekrar tekrar denetlemesi gereği ortadan kalkar.
Özetle: TISAX, otomotiv tedarik zincirine özel bir bilgi güvenliği değerlendirmesidir. ENX Association tarafından yönetilir ve VDA ISA (Verband der Automobilindustrie — Information Security Assessment) soru setine dayanır. Temelde ISO/IEC 27001'e benzer; ancak prototip koruması (fiziksel güvenlik) ve veri koruma (KVKK/GDPR) gibi otomotive özgü ek kapsamlar içerir. En önemli özelliği, bir kez yapılan değerlendirmenin sonuçlarının ENX değişim platformu üzerinden paylaşılması ve tüm taraflarca karşılıklı tanınmasıdır.
TISAX Neden Var?
Otomotiv tedarik zinciri son derece karmaşıktır. Bir OEM, binlerce tedarikçiyle çalışır ve bu tedarikçiler arasında prototip tasarımları, CAD verileri, fiyatlandırma bilgileri ve kişisel veriler dolaşır. Geçmişte her üretici, çalıştığı tedarikçinin bilgi güvenliği seviyesini kendi başına denetliyordu. Bu yaklaşım hem tedarikçiler için tekrar eden denetim yükü hem de OEM'ler için yüksek maliyet anlamına geliyordu.
TISAX bu sorunu, "bir kez değerlendir, çok kez paylaş" ilkesiyle çözer. Alman Otomotiv Endüstrisi Birliği'nin (VDA) hazırladığı ISA katalog/soru seti standart bir ölçüt sunar; ENX Association ise denetçilerin akreditasyonunu ve sonuçların güvenli biçimde paylaşıldığı değişim platformunu yönetir. Sonuçta tedarikçi tek bir değerlendirmeyle birden fazla müşterisine güvence verebilir.
TISAX ile ISO/IEC 27001 Arasındaki Fark
TISAX, ISO/IEC 27001'in bilgi güvenliği yönetim sistemi mantığını temel alır; fakat amacı, kapsamı ve sonucu açısından ondan ayrışır. Aşağıdaki tablo iki yaklaşımı karşılaştırır.
| Özellik | TISAX | ISO/IEC 27001 |
|---|---|---|
| Sektör | Otomotive özgü | Sektör bağımsız |
| Dayandığı çerçeve | VDA ISA soru seti | ISO/IEC 27001 standardı |
| Yöneten kurum | ENX Association | Akredite belgelendirme kuruluşları |
| Çıktı türü | Değerlendirme sonucu ve label (etiket) | Sertifika |
| Ek kapsamlar | Prototip koruması, veri koruma | Standart kapsamı içinde opsiyonel |
| Sonuçların paylaşımı | ENX platformunda karşılıklı tanıma | Müşteriye sertifika ibrazı |
| Geçerlilik | Genellikle 3 yıl | 3 yıl (yıllık gözetim ile) |
Kısacası ISO 27001 bir sertifika verirken, TISAX bir değerlendirme sonucu üretir ve bu sonucu sektör içinde paylaşılabilir hale getirir. ISO 27001'e sahip bir kuruluş, TISAX hazırlığında önemli ölçüde avantajlı başlar; çünkü kontrollerin büyük kısmı örtüşür.
TISAX Kapsam Alanları
TISAX değerlendirmesi tek bir konuyla sınırlı değildir. Değerlendirilecek varlıkların ve risklerin türüne göre farklı kapsam alanları seçilir. Bu alanlar değerlendirmenin "neyi koruduğunu" belirler.
| Kapsam Alanı | Neyi Kapsar | Tipik Senaryo |
|---|---|---|
| Bilgi güvenliği | Genel bilgi güvenliği kontrolleri, gizlilik ve erişim yönetimi | Tüm tedarikçiler için temel kapsam |
| Prototip koruması | Fiziksel güvenlik, gizli araç/parça koruması, fotoğraf ve erişim kontrolü | Test araçları ve prototip parça üreten tedarikçiler |
| Veri koruma | Kişisel verilerin işlenmesi (KVKK/GDPR uyumu) | Müşteri/çalışan kişisel verisi işleyen kuruluşlar |
Bir tedarikçi, hangi tür veriyle çalıştığına bağlı olarak bu kapsamlardan birini, birkaçını veya tamamını seçer. Örneğin yalnızca yazılım geliştiren bir firma için bilgi güvenliği kapsamı yeterli olabilirken, gizli prototip parçaları üreten bir firma için prototip koruması da zorunlu hâle gelir.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
TISAX Değerlendirme Seviyeleri (Assessment Levels)
TISAX değerlendirmesinin derinliği, korunması gereken bilginin hassasiyetine göre değişir. Bunun için üç değerlendirme seviyesi (Assessment Level — AL) tanımlanmıştır. Seviye yükseldikçe denetimin kapsamı ve titizliği artar.
| Seviye | Değerlendirme Yöntemi | Tipik Kullanım |
|---|---|---|
| AL 1 | Öz değerlendirme (self-assessment); genellikle paylaşılmaz | İç amaçlı, düşük koruma ihtiyacı |
| AL 2 | Belge incelemesi ağırlıklı, kanıta dayalı; uzaktan görüşme ile desteklenir | Yüksek koruma ihtiyacı taşıyan bilgiler |
| AL 3 | Yerinde denetim, kapsamlı kanıt ve mülakat; en titiz seviye | Çok yüksek koruma ihtiyacı ve gizli prototipler |
Hangi seviyenin gerekli olduğunu genellikle tedarikçinin işlediği bilginin koruma ihtiyacı ve müşteri talebi belirler. Çoğu ticari paylaşım, en az AL 2 seviyesinde bir değerlendirme gerektirir; gizli prototip içeren işler ise AL 3'e yükselir.
TISAX Süreci Nasıl İşler?
TISAX, baştan sona belirli bir akış izler. Süreci ana hatlarıyla şu adımlar oluşturur:
- Kayıt: Kuruluş, ENX TISAX platformuna kaydolur ve değerlendirme kapsamı ile hedef seviyesini tanımlar.
- Hazırlık ve öz değerlendirme: VDA ISA soru seti kullanılarak mevcut durum analiz edilir, eksikler giderilir.
- Değerlendirme: ENX tarafından akredite edilmiş bağımsız bir denetçi, seçilen seviyeye uygun değerlendirmeyi gerçekleştirir.
- Bulguların kapatılması: Tespit edilen uygunsuzluklar için düzeltici faaliyetler tamamlanır.
- Label (etiket) verilmesi: Başarılı sonuçla birlikte kapsama uygun TISAX label'ları atanır.
- Paylaşım: Sonuç, ENX değişim platformu üzerinden seçilen iş ortaklarıyla paylaşılır.
Bu akış sonunda ortaya çıkan label'lar, değerlendirmenin hangi kapsam ve seviyede yapıldığını özetler. Bir müşteri platform üzerinden bu label'ları görerek tedarikçinin güvenlik olgunluğunu doğrulayabilir.
TISAX Kimler İçin Gereklidir?
TISAX, doğrudan yasal bir zorunluluk değildir; ancak otomotiv sektöründe sözleşmesel bir gerekliliğe dönüşmüştür. Bir OEM ile çalışmak isteyen ve onların hassas verilerine erişen tedarikçilerden genellikle TISAX değerlendirmesi talep edilir. Bu kapsam; parça üreticilerini, mühendislik ve tasarım firmalarını, yazılım sağlayıcılarını, lojistik ve hatta pazarlama/ajans hizmeti veren tedarikçileri kapsayabilir. Özetle, otomotiv tedarik zincirinde hassas bilgiye temas eden hemen her kuruluş TISAX'ın muhatabıdır.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
Tam olarak değildir. TISAX, sonucunda bir "sertifika" yerine değerlendirme sonucu ve label (etiket) üretir. Bu sonuçlar ENX değişim platformu üzerinden paylaşılır ve sektör içinde karşılıklı olarak tanınır. ISO 27001'deki gibi geleneksel anlamda bir belge düzenlenmez; ancak pratikte aynı güvence işlevini görür.
Hayır, fakat yakından ilişkilidir. TISAX, ISO/IEC 27001'in bilgi güvenliği yaklaşımını temel alır; ancak otomotive özgü prototip koruması ve veri koruma gibi ek kapsamlar içerir. ISO 27001 sahibi bir kuruluş TISAX hazırlığında avantajlıdır, çünkü kontrollerin çoğu örtüşür. Yine de TISAX, ENX tarafından yönetilen ayrı bir değerlendirme mekanizmasıdır.
TISAX, ENX Association tarafından yönetilir. Soru seti ve katalog ise VDA (Verband der Automobilindustrie) tarafından hazırlanan ISA (Information Security Assessment) çerçevesine dayanır. ENX, denetçilerin akreditasyonundan ve değerlendirme sonuçlarının paylaşıldığı platformdan sorumludur.
TISAX label'ları genellikle üç yıl geçerlidir. Bu sürenin sonunda kuruluşun yeniden değerlendirmeye girmesi beklenir. Güvenlik olgunluğunun sürekli korunması ve bu süre içinde önemli değişiklikler olması hâlinde durumun gözden geçirilmesi esastır.
Temel fark, değerlendirmenin derinliği ve yöntemidir. AL 2 daha çok belge incelemesi ve kanıta dayalı, uzaktan görüşmeyle desteklenen bir değerlendirmedir. AL 3 ise yerinde denetim, kapsamlı kanıt toplama ve mülakat içeren en titiz seviyedir. Gizli prototip gibi çok yüksek koruma ihtiyacı taşıyan bilgiler tipik olarak AL 3 gerektirir.
Hayır. Otomotiv tedarik zincirinde hassas veriye erişen her ölçekteki kuruluş TISAX'ın muhatabı olabilir. Bir OEM ile sözleşme imzalamak isteyen küçük bir yazılım veya mühendislik firması da, işlediği bilginin koruma ihtiyacına bağlı olarak ilgili seviyede bir değerlendirme yaptırmak durumunda kalabilir.
