Metodika implementace TISAX pro dodavatele automobilového průmyslu

Abstract

Cílem této diplomové práce je navrhnout metodiku implementace TISAX® pro dodavatele z oblasti automobilového průmyslu tak, aby tento systém a jeho udržování garantovaly maximální kybernetickou bezpečnost informací a dat. Teoretická část práce zdůrazňuje potřebu ochrany informací a dat v dodavatelském řetězci, poukazuje na důležitost kybernetické bezpečnosti, uvádí přehled aktuálně platné i připravované legislativy, včetně kybernetického zákona a směrnice Evropské unie NIS 2, která musí být transponována do národního práva do října 2024. Především pak představuje systém TISAX® jako možný nástroj pro zabezpečení informací, ochranu prototypů a ochranu údajů a způsob jeho hodnocení a získání známky TISAX® k prokázání informační bezpečnosti. Praktická část práce představuje vybranou organizaci, která je dodavatelem výrobce automobilů OEM, jehož požadavkem je prokázání úrovně vyspělosti systému managementu bezpečnosti informací implementovaným systémem TISAX®. Výsledkem práce je návrh metodiky implementace systému TISAX® vycházející z provedeného hloubkového porovnání norem zabývajících se systémy managementu bezpečnosti informací, jejich požadavky a opatřeními, hodnotícího katalogu ISA, ve kterém jsou na základě kontrolních otázek definovány požadavky systému TISAX® dle stanovených cílů hodnocení, a Příručky pro účastníky systému TISAX®.

The aim of this thesis is to propose a TISAX® implementation methodology for suppliers from the automotive industry so that this system and its maintenance can guarantee maximum cyber security of information and data. The theoretical part of the thesis emphasizes the need for information and data protection in the supply chain, points out the importance of cyber security, provides an overview of the currently valid and upcoming legislation, including the cyber law and the European Union directive NIS 2, which must be transposed into national law by October 2024. Above all, it represents the TISAX® system as a possible tool for information security, prototype protection and data protection, as well as a way of evaluating and obtaining the TISAX® label to demonstrate information security. The practical part of the thesis describes a selected organization that is a supplier of an OEM car manufacturer, whose requirement is to prove the maturity level of information security management system with the implemented system TISAX®. The result of the thesis is a proposal of the TISAX® implementation methodology based on a comparison of the standards dealing with information security management systems, their requirements and controls, and the ISA document, in which the requirements of the TISAX® system are defined based on control questions according to the established evaluation objectives, and the TISAX® Participant Handbook.