- A TISAX assessor az IT eszközök selejtezésénél nemcsak a szabályzatot, hanem az eszközleltárt, a védelmi igény szerinti döntést és a végrehajtási bizonyítékokat is vizsgálja.
- A VDA ISA 6.0 beszállítói kontrolljai alapján az alvállalkozó adatmegsemmisítési szolgáltató információbiztonsági szintjét kockázatalapon kell értékelni és szerződésben rögzíteni.
- A tanúsított törlési vagy megsemmisítési igazolás akkor használható auditbizonyítékként, ha az eszközazonosító, módszer, dátum, felelős fél és őrzési lánc visszakövethető.
Egy TISAX assessment során gyakori helyzet, hogy a beszállító részletesen bemutatja az ISMS szabályzatait, a hozzáférés-kezelést és az incidenskezelési folyamatot, majd az assessor rákérdez egy kevésbé látványos pontra: mi történik a fejlesztői notebookkal, a tesztlaborból kivont SSD-vel, a prototípusprojekthez használt mobiltelefonnal vagy a régi fájlszerver lemezeivel, amikor kikerülnek a használatból. Ilyenkor az IT eszköz életciklusának végjelenete kerül az audit fókuszába.
TISAX auditnál az IT eszközök kezelése nem áll meg az üzemeltetésnél. A selejtezés, a felújításra küldés, a visszavétel, a szoftveres törlés, a lemágnesezés és a fizikai megsemmisítés mind olyan pont, ahol autóipari információ, prototípusadat, személyes adat vagy OEM-szintű bizalmas dokumentáció kerülhet ki ellenőrizetlenül a szervezetből. Egy TISAX assessor jellemzően nem várja el, hogy minden adathordozót automatikusan meg kelljen semmisíteni — a döntésnek viszont kockázatalapúnak, dokumentáltnak és eszközszinten bizonyíthatónak kell lennie.
Miért auditkérdés az IT eszközök életciklusának vége?
Az autóipari beszállítói környezetben egy leselejtezett eszköz ritkán csak technikai hulladék. Tartalmazhat rajzokat, beszállítói árakat, mérési eredményeket, gyártási paramétereket, hibaanalíziseket, prototípusfotókat, vevői kapcsolattartók adatait, VPN-konfigurációkat vagy mentési maradványokat. A kockázat nem az eszköz könyv szerinti értékéhez, hanem a rajta tárolt információ védelmi igényéhez kapcsolódik.
A VDA ISA 6.0 logikája szerint az információs vagyon és az azt feldolgozó támogató eszközök összekapcsolódnak. A notebook, SSD, mobiltelefon, USB-adathordozó, szerverlemez vagy papíralapú dokumentáció nem önmagában érdekes, hanem azért, mert információt hordoz, és az információ védelmi igénye átszáll az adathordozóra is. Ez a gyakorlatban azt jelenti, hogy az eszközselejtezési folyamatnak kapcsolódnia kell az információosztályozáshoz, az eszközleltárhoz, a hozzáférés-kezeléshez és a beszállítói kockázatkezeléshez.
Az assessor általában nem elégedik meg egy általános „selejtezési szabályzat létezik” válasszal. A kérdés inkább az, hogy egy konkrét eszköz útja visszakövethető-e: ki minősítette, milyen adat volt rajta, milyen törlési vagy megsemmisítési módszer mellett döntöttek, ki vitte el, hol tárolták átmenetileg, ki végezte el a műveletet, és milyen igazolás maradt róla.
TISAX scope, label és assessment szintek
A TISAX assessment-rendszerben a beszállító nem általában „TISAX-tanúsítást” szerez, hanem konkrét assessment objective-okra vonatkozó label-ek érhetők el. A leggyakoribbak: Confidential és Strictly Confidential (információosztályozás szerint), High availability és Very high availability (rendelkezésre állás szerint), Proto Parts / Proto Vehicles / Test Vehicles / Proto Events (prototípusvédelem négy különböző scope-ja), valamint Data és Special Data (személyes és különleges adatkezelés). Az adott label határozza meg, hogy a VDA ISA 6.0 katalógusból melyik kontrollok érintettek és milyen mélységben vizsgálandók — ezért az IT eszköz selejtezésével kapcsolatos elvárás is a label-től függ.
Az assessment szintek (AL) a vizsgálati módszertant adják meg, nem minőségi címkék.
Assessment Level 1 alapvetően belső önértékelésre épül; az audit provider legfeljebb az önértékelés meglétét ellenőrzi, a tartalmat érdemben nem vizsgálja. Az ENX TISAX Participant Handbook szerint az AL1 eredmény alacsony bizalmi szintű, ezért TISAX label kiadásra ritkán használják.
Assessment Level 2 dokumentum-alapú plauzibilitás-vizsgálat: az audit provider a kitöltött VDA ISA önértékelés mellé bizonyítékokat (eszközlista, selejtezési jegyzőkönyv, törlési riport, megsemmisítési igazolás, beszállítói szerződés, kockázatértékelés) kér, és kiegészítő interjút készít az információbiztonságért felelős személlyel. Az interjú tipikusan távoli formában zajlik, de a hangsúly a benyújtott bizonyítékok érvényességén van. Ha bizonyos bizonyítékokat a beszállító nem tud távoli formában megosztani (eyes-only evidence), AL2-n belül helyszíni betekintés is kérhető. Létezik AL2.5 opció is, amely teljes körű remote assessment AL3-kompatibilis módszertannal, helyszíni aktivitások nélkül.
Assessment Level 3 a teljes körű audit: dokumentumellenőrzés, folyamatgazdákkal készített interjúk, helyszíni szemrevételezés és a folyamat tényleges végrehajtásának vizsgálata. Az auditor mintát vehet (jellemzően n=10-30 eszköz), és kérheti, hogy a beszállító az eszközleltártól a megsemmisítési igazolásig végigkövesse a kiválasztott tételeket. Az AL3 alatt ezért nem elméleti kérdés, hogy van-e zárt gyűjtő, elkülönített selejtezési terület, átadás-átvételi rend vagy látogatói kontroll.
A TISAX eredményeket a beszállító az ENX exchange portálon keresztül osztja meg az OEM-mel vagy más tier-1 partnerrel. Az exchange a már elvégzett TISAX assessmentek megosztására szolgál — nem helyettesíti a beszállító saját kockázatkezelését, szerződéses kontrolljait vagy a saját alvállalkozói felé támasztott elvárásait.
VDA ISA 6.0 kontrollok: hol jelenik meg az adathordozó-megsemmisítés?
A VDA ISA 6.0 három fő assessment-katalógusa az Information Security, a Prototype Protection és a Data Protection. A beszállítói kapcsolatok kezelése (Supplier Relationships) az Information Security katalóguson belül kapott önálló kontrollkört — a régi VDA ISA 5.x „Connection to Third Parties” terminust felváltotta. IT eszközök selejtezésénél ezek a katalógusok egyszerre érintettek.
Az Information Security katalógusból az eszközéletciklus végéhez közvetlenül kapcsolódó kontrollok: 1.3.1 information assets és supporting assets azonosítása és felelős hozzárendelése; 1.3.2 handling specifications a supporting assets-re (transport, storage, return, deletion/disposal); 3.1.3 handling of supporting assets a teljes életcikluson keresztül — high protection needs esetén a relevant standards (pl. ISO/IEC 21964 Security Level 4 vagy magasabb) szerinti megsemmisítés elvárás; 3.1.4 mobile IT devices és mobil adathordozók kontrolljai (encryption, access protection, marking, registration); 5.3.3 information assets visszavétele és secure removal külső IT szolgáltatásból; 6.1.1 Supplier Relationships — alvállalkozói kockázatértékelés, szerződéses kötelezettségek, verifikáció.
A Prototype Protection katalógus a customer-provided vehicles, components és parts védelmére fókuszál, és kiegészül a digitális prototípusadat-kezelési kontrollokkal. Releváns kontrollok az IT eszköz életciklusra: 8.2.2 subcontractor commissioning customer approval és NDA mellett; 8.2.6 image material (prototípusfotók, videók) secure deletion és disposal; 8.2.7 mobile photo és video devices kezelése security areas-ban. Fontos megjegyezni, hogy a Proto Parts / Proto Vehicles / Test Vehicles / Proto Events scope nem azonos a prototípusadatot tartalmazó IT-adathordozók kezelésével — utóbbi az Information Security katalógus mobile devices kontrolljai alá esik, de OEM-specifikus elvárás (BMW Group Standard, VW 80101/80102, Audi/Porsche prototípusvédelem) párhuzamosan érvényesülhet.
A Data Protection katalógus akkor válik assessment objective-ként relevánssá, ha a beszállító GDPR 28. cikk szerinti adatfeldolgozói pozícióban kezel ügyféladatot, vagy különleges kategóriájú adatot érint. A 9.5.2 kontroll itt az alvállalkozói és kooperációs partneri szerződéses kötelezettségeket és compliance review-t várja el. Önmagában a HR-adat vagy beléptető rendszer napló jelenléte a beszállítónál nem aktiválja automatikusan a Data label-t TISAX scope-ban.
ISO/IEC 27001:2022 A.7.10 és A.8.10 kapcsolata a TISAX kontrollokkal
Az ISO/IEC 27001:2022 Annex A kontrolljai jó hivatkozási pontot adnak a TISAX-felkészítéshez, de nem helyettesítik a VDA ISA 6.0 szerinti önértékelést. A kontrollok gyakorlati tartalmát az ISO/IEC 27002:2022 implementation guidance fejti ki, amely a TISAX-bizonyítékok kialakításához is referenciaként használható.
Az A.7.10 Storage media kontroll a tárolóeszközök védelméről szól a teljes életciklus alatt: használat, tárolás, szállítás, újrahasználat és selejtezés kontrollált kezelése. TISAX-környezetben ez közvetlenül megfeleltethető a VDA ISA 6.0 1.3.2 (handling specifications) és 3.1.3 (handling of supporting assets) kontrolljainak.
Az A.8.10 Information deletion kontroll azt várja el, hogy a már nem szükséges információt töröljék az információs rendszerekből, eszközökről és egyéb tárolókról. Ez nem azonos a felhasználói fájltörléssel. A compliance szempontból védhető eljárásnak ki kell térnie arra, hogy milyen típusú adathordozón milyen módszer elfogadható, ki hagyja jóvá a végrehajtást, és hogyan igazolják, hogy a törlés vagy megsemmisítés megtörtént.
A két ISO kontroll együtt adja az alapot a TISAX-ban elvárt működéshez: a tárolóeszköz kontrollált kezelése és az információ visszaállíthatatlanná tétele nem külön folyamat, hanem ugyanannak az életciklusnak két oldala. Ha a szervezet ISO/IEC 27001:2022 szerinti ISMS-t működtet, a TISAX felkészítésnél célszerű a storage media és information deletion bizonyítékokat közvetlenül összekötni a VDA ISA kontrollkérdéseivel — különösen az 1.3.1, 1.3.2, 3.1.3, 3.1.4, 5.3.3 és 6.1.1 kontroll-azonosítókkal.
NIST SP 800-88 Rev. 2: Clear, Purge, Destroy és a döntés bizonyíthatósága
A NIST SP 800-88 Rev. 2 2025-09-26-án jelent meg végleges formában, és leváltotta (superseded) a Rev. 1-et (2014-12-17). A kiadvány médiatisztítási programok kialakításához ad iránymutatást — a módszer kiválasztását az adatok érzékenységéhez, az adathordozó típusához és a további felhasználási célhoz köti, és Verification (4.5.1) + Validation (4.5.2) lépést is elvár.
A NIST szemléletében három fő kategória használható: Clear (3.1.1), Purge (3.1.2) és Destroy (3.1.3). A Clear logikai törlési vagy felülírási eljárás, amely normál hozzáférési módszerekkel megakadályozza az adatok visszanyerését. A Purge fejlettebb helyreállítási kísérletekkel szemben is védelmet céloz — például cryptographic erase, megfelelő coercivity-illesztésű degausser mágneses média esetén, vagy hardver-támogatott sanitize parancs. A Destroy a fizikai megsemmisítés (mechanikai szeletelés, darabolás, aprítás, incineration). A Rev. 2 a degaussingot kizárólag mágneses adathordozóra (HDD, mágnesszalag) ismeri el, és nem általános Destroy technika — SSD-re és flash-alapú médiára nem alkalmazható.
TISAX szempontból a Destroy nem „jobb” minden esetben, hanem akkor megfelelő döntés, ha a kockázat és a további eszközsors ezt támasztja alá. SSD és NVMe esetén az egyszerű overwrite-alapú Clear nem elégséges általános állításként — a wear leveling és overprovisioning miatt az overwrite parancs nem éri el a teljes flash-kapacitást, ezért a NIST Rev. 2 ezeket az adathordozó-osztályokat további szabványokra (IEEE 2883, NSA/CSS előírások, gyártói specifikációk) tereli. A megfelelő útvonalra példák: validált hardver-támogatott sanitize parancs (mint az NVMe Format with Secure Erase vagy ATA Secure Erase Enhanced), cryptographic erase ahol a kulcskezelés ellenőrizhető, vagy fizikai megsemmisítés — minden esetben az adott eszköz és firmware támogatásának konkrét validációja mellett.
A NIST kiadvány Appendix C mintát ad a Certificate of Sanitization tartalmára (eszközazonosító, módszer, validáció eredménye, felelős aláíró). A TISAX assessor jellemzően nem TISAX-formalizált sablont, hanem az Appendix C logikájával megfeleltethető, eszközszintű sanitization vagy destruction record-ot keres. A beszállítónak tudnia kell megmutatni a döntési logikát: mikor választ Clear-t, mikor Purge-t (cryptographic erase, secure erase, degausser mágneses médiára), mikor fizikai Destroy-t — és hogyan kezeli azt az esetet, amikor a Clear/Purge technikailag nem validálható.
Mit vár el az assessor az eszközszintű sanitization record-tól?
A TISAX nem ír elő formális TISAX-certificate-of-sanitization sablont — az assessor jellemzően olyan eszközszintű sanitization vagy destruction record-ot vár, amely tartalmában megfeleltethető a NIST 800-88 Rev. 2 Appendix C logikájának. A „tanúsított igazolás” magyar gyakorlatban lehet a szolgáltató saját jegyzőkönyve, ISO/IEC 21964 (a DIN 66399 nemzetközi megfelelője) szerinti megsemmisítési tanúsítvány vagy ezek kombinációja — a tartalom a döntő, nem a fejléc.
Egy auditban használható record tartalmazza legalább az eszköz vagy adathordozó azonosítóját (gyári szám, eszközleltári szám, vonalkód), az alkalmazott módszert (Clear/Purge/Destroy kategória + konkrét eljárás: szoftveres törlés, cryptographic erase, secure erase parancs, lemágnesezés mágneses médiánál, mechanikai szeletelés vagy aprítás), a dátumot, helyszínt, végrehajtó szervezetet, felelős személyt vagy gépi azonosítót, a végrehajtás eredményét (Verification + Validation a NIST szerint) és az esetleges kivételeket. Ha egy adathordozó nem törölhető, ezt nem szabad elrejteni — külön státuszt és kockázatalapú további intézkedést kell kapnia.
Az őrzési lánc (chain of custody) dokumentálása párhuzamos elvárás. Az assessor azt vizsgálja, hogy az eszköz nem tűnt-e el a folyamat közben, nem került-e ellenőrizetlen szállításba, és nem volt-e olyan átmeneti tárolás, ahol jogosulatlan hozzáférés történhetett. Az őrzési lánc minimális tartalma: átadó és átvevő neve, időbélyeg, plomba-azonosító (seal ID), szállítójármű vagy zárt tartály azonosító, mennyiségi egyeztetés és eltéréskezelés módja.
AL3 audit alatt az assessor kockázatalapú mintát vehet, és kérheti, hogy a beszállító az eszközleltártól a sanitization record-ig végigkövesse a kiválasztott tételeket. Belső felkészülésnél érdemes egy 10-30 eszközből álló minta végigkövethetőségére készülni, de a tényleges mintaszám az audit provider mérlegelésén múlik. Hiánykezelési eljárás (eltérésjegyzőkönyv 24-48 órán belül, corrective action plan a Major non-conformity-knél jellemzően 90 napon belül) megléte ezért kulcs eleme a felkészülésnek.
Beszállítói lánc: az alvállalkozói IT biztonsági szint felelőssége
A TISAX nem zárul le a vállalat kapujánál. A VDA ISA 6.0 6.1.1 Supplier Relationships kontrollja elvárja, hogy a szervezet kockázatalapon értékelje a vállalkozókat és együttműködő partnereket, szerződésben rögzítse az információbiztonsági elvárásokat, és verifikálja azok teljesülését. Ez közvetlenül érinti az IT eszközök selejtezésébe bevont külső szolgáltatókat.
A beszállítói kockázat mértéke attól függ, ténylegesen mihez fér hozzá az alvállalkozó: csak már zárt vagy előkezelt elektronikai hulladékhoz, vagy magas védelmi igényű információhoz, prototípushoz, illetve személyes adathoz tartalmazó működő adathordozóhoz. Ha az alvállalkozó az utóbbi kategóriába esik, akkor nem elegendő egy általános megrendelés — a szerződésnek kezelnie kell a titoktartást, az adatkezelési szerepeket (GDPR 28. cikk szerinti adatfeldolgozói pozíció, ha releváns), az alvállalkozói lánc továbbadását, az eszközök átadásának rendjét, a sanitization módszereket, a dokumentációs elvárásokat és az auditjogot vagy bizonyítékbekérési jogot. A VDA ISA 6.0 9.5.2 Data Protection kontroll külön elvárja a personal data feldolgozásával kapcsolatos szerződéses kötelezettségeket.
Az assessor itt gyakran keres mintát: hogyan választották ki az adatmegsemmisítési szolgáltatót (kockázatértékelés bizonyítéka), milyen igazolás vagy tanúsítás támasztja alá a szolgáltató alkalmasságát (ISO/IEC 27001 tanúsítvány, ISO/IEC 21964 megsemmisítési minősítés, TISAX label, vagy ezek hiányában explicit kontrollteszt), és hogyan ellenőrzi a beszállító a szolgáltatási riportokat. Ha a szervezet csak a számlát és egy darabszámot tud felmutatni, az gyenge bizonyíték. Eszközszintű lista, átadási dokumentáció, sanitization record és eltéréskezelés együtt már auditálhatóbb alap.
Fontos korlát: a TISAX nem mondja ki automatikusan, hogy minden saját beszállítónak ugyanazt a TISAX label-t kell megszereznie. A beszállítónak viszont bizonyítania kell, hogy a külső szolgáltatás igénybevétele nem vezet be kezeletlen információbiztonsági kockázatot — magasabb védelmi igényű scope (Strictly Confidential vagy Proto Vehicles) esetén az ENX exchange portálon megosztott TISAX label vagy tanúsított ekvivalens szerződéses elvárás lehet.
Gyakorlati felkészülési lista TISAX előtt
Az első lépés az eszközleltár és az információosztályozás összekötése. A selejtezésre kerülő IT eszköznél legyen megállapítható, hogy milyen információs vagyonhoz kapcsolódott, milyen védelmi igény vonatkozott rá, és ki a felelős tulajdonos. Enélkül a törlési vagy megsemmisítési döntés utólag nehezen védhető.
Második lépésként legyen jóváhagyott módszerválasztási mátrix. Ez határozza meg, hogy HDD, SSD, mobiltelefon, memóriakártya, szerverlemez, mentési adathordozó vagy papíralapú dokumentáció esetén milyen módszer alkalmazható normál, magas vagy nagyon magas védelmi igénynél. A mátrix térjen ki a sérült, nem olvasható vagy titkosított eszközökre is.
Harmadik lépés a bizonyítékcsomag előkészítése. Egy assessor számára célszerű előre összeállítani egy mintacsomagot: selejtezési szabályzat, eszközlista, jóváhagyási rekord, átadás-átvételi jegyzőkönyv, őrzési lánc dokumentáció, tanúsított törlési vagy megsemmisítési igazolás, szolgáltatói kockázatértékelés és szerződéses kivonat. Nem a dokumentum mennyisége számít, hanem az, hogy egy konkrét eszköz végigkövethető legyen a döntéstől a végrehajtásig.
Negyedik lépésként kezelni kell az eltéréseket. Ha egy adathordozó hiányzik, nem azonosítható, nem törölhető vagy a darabszám eltér, annak legyen incidens- vagy eltéréskezelési útja. Az autóipari compliance gyakorlatban a kontrollált eltérés jobb, mint az utólag nem magyarázható csend.
Végül érdemes a TISAX felkészítés során próbainterjút tartani az IT, compliance, beszerzés, létesítményüzemeltetés és adatvédelmi felelős bevonásával. Az eszközselejtezés tipikusan több szervezeti egységet érint, és az assessor gyorsan látja, ha a folyamat csak az egyik területen ismert.
A külső szolgáltató kiválasztásakor a beszállító kérjen eszközszintű sanitization vagy destruction record-ot, dokumentált őrzési láncot és eltéréskezelési eljárást — a TISAX assessment oldaláról ezek a bizonyítékok illeszthetők a VDA ISA 6.0 ellenőrzéseihez. TISAX felkészítéshez használható selejtezési és adathordozó-kezelési ajánlatkérés.
Gyakori kérdések
Kötelező minden leselejtezett IT eszközt fizikailag megsemmisíteni TISAX alatt?
Nem. A módszert a védelmi igény, az adathordozó típusa, az eszköz további sorsa és a vevői követelmények alapján kell kiválasztani és dokumentálni.
Mit jelent az őrzési lánc az adathordozó-megsemmisítésnél?
Az őrzési lánc azt dokumentálja, hogy az eszköz mikor, kitől, kinek, milyen azonosítóval és milyen kontrollált körülmények között került átadásra, tárolásra, szállításra és megsemmisítésre.
Elfogadható auditbizonyíték egy darabszámos megsemmisítési igazolás?
Önmagában gyenge bizonyíték, ha nem köthető konkrét eszközazonosítókhoz. TISAX felkészítésnél eszközszintű vagy adathordozó-szintű visszakövethetőségre van szükség.
Hogyan kapcsolódik a NIST SP 800-88 Rev. 2 a TISAX audithoz?
A NIST SP 800-88 Rev. 2 nem TISAX szabvány, de elismert módszertani referencia a Clear, Purge és Destroy kategóriákhoz, ezért segít a törlési és megsemmisítési döntések indoklásában.
Mit kell ellenőrizni egy külső adatmegsemmisítési szolgáltatónál?
Kockázatalapon vizsgálni kell a szerződéses kötelezettségeket, titoktartást, alvállalkozók kezelését, őrzési láncot, tanúsított jegyzőkönyvezést és a szolgáltatási riportok ellenőrizhetőségét.