ドイツ自動車工業会(VDA)が定めたTISAX審査の評価項目は、VDA ISA(Information Security Assessment)という評価シートに定められています(「TISAX審査の評価シート「VDA ISA」について」記事参照)。その評価シートにおいて、2022年5月2日にマイナーバージョンアップ(Version5.0.4からVersion5.1)が実施されました。
本稿では、VDA ISAのChapter2~4に関するバージョンアップの主な変更点と、TISAX認証取得にかかる期間について解説します。
VDA ISA のChapter2~4における変更内容(抜粋)
| No | 種類 | (旧)Ver.5.0.4 | (新)Ver.5.1.0 | 主なポイント |
|---|---|---|---|---|
| 2.1.1 | 変更 | To what extent is the suitability of employees for sensitive work fields ensured ? | To what extent is the qualification of employees for sensitive work fields ensured ? | 「適正」という表現から、「資格や能力、技術」といった表現に修正 |
| 3.1.4 | 削除 | Disposal of supporting assets is conducted in accordance with one of the relevant standards (e.g. ISO 21964, at least Security Level 5). | (―) | (完全削除) |
| 4.1.1 | 変更 | The issuing of identification means is recorded. | Traceability | 識別手段の「発行」「返却」に関する内容が削除され、「追跡可能性」という表現に修正 |
| The returning of identification means is regulated. | ||||
| 4.1.2 | 変更 | Requirements(must) Prior to gaining access to data of high protection needs, users are authenticated at least by means of strong passwords according to the state of the art. |
Requirements(should) Users are authenticated at least by means of strong passwords according to the state of the art. |
Must要件からShould要件に変更となり、「保護ニーズの高いデータにアクセスする前」という前提が削除され、基本的に十分な強度のパスワードを用いる必要があるという表現に修正 |
TISAX認証取得にかかる期間について
TISAX認証の取得に向けた準備として、まず認証取得スコープを定め、スコープに応じた要求事項を遵守するルールの作成およびルールに基づいた運用を実施していく必要があります。その後、実際に審査を受ける段階で、ENXポータルへの登録や認定審査機関との調整、自己評価の実施および運用の各種証跡を収集します。認証取得スコープや既存のISMS構築状況などによりますが、概ねTISAX認証取得に向けた準備は半年以上の期間が必要と考えられます。
次に審査ですが、初回審査で合格(適合ラベルの取得)は可能であるものの、「Information Security」の質問票だけで200個程のMustおよびShouldの要求事項があり、初回で完全に満たすことが難しいケースも多く見られます。初回審査における指摘事項を受け、是正計画作成および審査、そしてフォローアップ審査合格までを、初回審査のクロージングミーティングから9ヵ月以内に完了しなければならないというTISAXのルールがあるため、不十分な準備状況で初回審査を見切り発車することは避ける必要があります。以上のことから、TISAX認証取得計画をスタートし認証取得までにかかる期間は、少なくとも1年程度は必要と想定されます。
【TISAX認証取得の流れ】
執筆者
KPMGコンサルティング
マネジャー 深見 淳
