Logiciel Netwrix pour la conformité TISAX

Le mécanisme d'audit et d'échange à l'échelle de l'UE TISAX repose sur un catalogue d'exigences pour la sécurité de l'information dans l'industrie automobile, qui comprend des critères d'audit importants tels que la protection des données et l'intégration de tiers. Le cadre spécifique à l'industrie pour la vérification de la sécurité de l'information des fournisseurs, des constructeurs automobiles, des fabricants d'équipement d'origine et des partenaires a été développé par l'Association Allemande de l'Industrie Automobile (VDA) pour le compte de l'Association ENX :

1. Aspects généraux

• 1.2 Dans quelle mesure un processus d'identification, d'évaluation et de traitement des risques de sécurité de l'information est-il défini, documenté et mis en œuvre ?
• 1.3 Dans quelle mesure l'efficacité du système de gestion de la sécurité de l'information (ISMS) est-elle assurée ?

6. Organisation de la sécurité de l'information

• 6.3 Dans quelle mesure existe-t-il une politique pour l'utilisation des appareils mobiles et leur accès à distance aux données de l'organisation ?

8. Gestion des actifs appartenant à l'organisation

• 8.2 Dans quelle mesure les informations sont-elles classifiées selon leur besoin de protection, et existe-t-il des règles pour l'étiquetage, la manipulation, le transport, le stockage, la conservation, la suppression et l'élimination ?

9. Contrôle d'accès

• 9.1 Dans quelle mesure existe-t-il des réglementations et procédures concernant l'accès des utilisateurs aux services réseau, systèmes informatiques et applications informatiques ?
• 9.2 Dans quelle mesure les procédures d'enregistrement, de modification et de suppression des utilisateurs sont-elles mises en œuvre, et en particulier, y a-t-il un traitement confidentiel des informations de connexion ?
• 9.3 Dans quelle mesure l'attribution et l'utilisation des comptes utilisateurs privilégiés et techniques sont-elles réglementées et révisées ?
• 9.4 Dans quelle mesure existe-t-il des règles obligatoires pour l'utilisateur concernant la création et la gestion des identifiants de connexion confidentiels ?
• 9.5 Dans quelle mesure l'accès aux informations et aux applications est-il restreint aux individus autorisés ?

12. Sécurité opérationnelle

• 12.1 Dans quelle mesure les changements apportés à l'organisation, aux processus commerciaux, aux installations de traitement de l'information et aux systèmes sont-ils contrôlés et mis en œuvre en tenant compte de leur pertinence pour la sécurité ?
• 12.5 Dans quelle mesure les journaux d'événements, qui peuvent inclure les activités des utilisateurs, les exceptions, les erreurs et les événements de sécurité, sont-ils générés, conservés, examinés et protégés contre les modifications ?
• 12.6 Dans quelle mesure les activités des administrateurs système et des opérateurs sont-elles consignées, le stockage des journaux sécurisé contre les modifications et régulièrement révisé ?
• 12.7 Dans quelle mesure les informations concernant les vulnérabilités techniques des systèmes informatiques sont-elles obtenues rapidement, évaluées et des mesures appropriées prises (par exemple, la gestion des correctifs) ?
• 12.8 Dans quelle mesure les exigences et les activités d'audit sont-elles planifiées et coordonnées pour examiner les systèmes informatiques et ensuite inspecter techniquement les systèmes informatiques (audit système) ?

13. Sécurité de la communication

• 13.1 Dans quelle mesure les réseaux sont-ils gérés et contrôlés pour protéger les informations dans les systèmes et applications informatiques ?
• 13.4 Dans quelle mesure les informations sont-elles protégées lors de l'échange ou de la transmission ?

14. Acquisition, développement et maintenance des systèmes

• 14.2 Dans quelle mesure les aspects pertinents pour la sécurité sont-ils pris en compte dans le processus de développement logiciel (y compris la gestion des changements) ?
• 14.3 Dans quelle mesure s'assure-t-on que les données de test sont soigneusement créées, protégées et utilisées de manière contrôlée ?

16. Gestion des incidents de sécurité de l'information

• 16.1 Dans quelle mesure les responsabilités, procédures, canaux de signalement et niveaux de criticité sont-ils définis pour traiter les événements ou vulnérabilités liés à la sécurité de l'information ?
• 16.2 Dans quelle mesure les événements de sécurité de l'information sont-ils traités ?

18. Conformité

• 18.1 Dans quelle mesure la conformité avec les dispositions légales (spécifiques au pays) et contractuelles est-elle assurée (par exemple, protection de la propriété intellectuelle, utilisation des techniques de chiffrement et protection des enregistrements) ?

Selon la configuration de vos systèmes informatiques, vos procédures internes, la nature de vos activités commerciales et d'autres facteurs, Netwrix Auditor peut également être en mesure de se conformer aux exigences TISAX non énumérées ci-dessus.

Comment se conformer à la norme de sécurité de l'information TISAX en utilisant Netwrix

Les solutions Netwrix offrent une visibilité à l'échelle de l'entreprise sur les systèmes et applications sur site et basés sur le cloud, et vous aident à établir des contrôles de sécurité de l'information appropriés et à garantir que ces contrôles sont conformes aux exigences TISAX.

Dans quelle mesure un processus d'évaluation des risques de sécurité de l'information a-t-il été mis en place ?

La pierre angulaire d'une gestion efficace des risques informatiques est l'évaluation et l'atténuation continues des risques. Obtenez un aperçu de votre profil de risque actuel, identifiez les vulnérabilités et classez-les selon leur niveau de risque. Cela garantit une sécurité fiable et une conformité complète avec les exigences légales.

Dans quelle mesure l'efficacité du système de gestion de la sécurité de l'information est-elle assurée ?

Identifiez les vulnérabilités de sécurité dans votre environnement de données et d'infrastructure, telles qu'un grand nombre de comptes utilisateurs inactifs ou des groupes de sécurité vides. Priorisez et minimisez ces risques et démontrez aux auditeurs que vous réduisez activement votre surface d'attaque.

Dans quelle mesure la politique d'utilisation des appareils mobiles a-t-elle été mise en œuvre ?

La gestion des appareils mobiles (et leur accès à distance aux données de l'organisation) - surtout dans des environnements non protégés - est associée à des risques accrus (par exemple, perte, vol, infection par des logiciels malveillants). Afin que les informations stockées sur l'appareil soient protégées, des mesures de sécurité techniques doivent être mises en place.

Dans quelle mesure les rôles sont-ils définis entre les fournisseurs de cloud et l'organisation ?

Lors de l'utilisation de services et de services informatiques (par exemple, des services cloud), la relation entre le fournisseur et sa propre organisation est particulièrement importante en matière de sécurité de l'information, car la responsabilité de la mise en œuvre des exigences est partagée. L'organisation elle-même doit continuer à mettre en œuvre certaines parties des exigences de sécurité par elle-même, tandis que d'autres exigences sont mises en œuvre complètement ou en partie par le fournisseur de services.

Dans quelle mesure existe-t-il des répertoires pour les actifs contenant des informations ?

En plus de l'inventaire classique des articles physiques, il est important d'obtenir une vue d'ensemble des informations traitées au sein de l'organisation. Les actifs d'information sont des éléments à caractère informatif, tels que des documents, des images, des fichiers, des programmes, des serveurs, des réseaux, des installations, des prototypes de véhicules, des outils et des dispositifs pertinents pour la conception ou la mise en forme.