信息技術認證 TISAX德國汽車信息安全評估
TISAX德國汽車行業通用信息安全評估
01.TISAX起源
TISAX(德國汽車行業通用信息安全評估)最早起源于德國汽車OEMs對其供應商的信息安全內部審計,目的是評估整個汽車供應鏈所達到的信息安全水平。目前已通過VDA(德國汽車工業協會,評估標準制定者)和ENX(TISAX注冊和標簽共享平臺)逐漸擴展到所有的德國汽車行業,成為一種評價供應商信息安全能力的通用評估和交換機制。TISAX和相應的信息安全評估機制在2017年開始成為強制性要求,全球所有供應商(包括零部件廠商、服務提供商等)均應實施和維持其信息安全管理體系(ISMS),并通過與之相應級別的TISAX審計,作為與OEMs簽約和德系汽車行業的市場準入條件。
國際社會對信息安全越來越重視,其中汽車行業因其自身影響力本身就擁有極其復雜的上下游供應鏈,隨著車輛網聯化發展,跨界入局者也與日俱增,其中任何一家企業發生信息安全問題都可能會對整個供應鏈造成巨大影響,帶來安全隱患。在此背景下,TISAX(可信信息安全評估交換)應運而生,它是由德國汽車工業協會(VDA)與ENX協會聯合推出的可靠交換機制,旨在幫助主機廠確保其供應鏈的信息安全,在汽車行業具有標桿地位。汽車行業的很多供應商和服務提供商都會處理來自客戶的高度敏感信息。為此,客戶經常要求他們提供符合嚴格信息安全要求的證明。
02.TISAX審核內容
1、信息安全制度與組織:內容涉及信息安全策略的創建、發布或分發及定期審查,資產管理,信息安全風險管理。
2、人力資源安全:內容涉及內外部員工遵循信息安全規定的程度,內外部員工遵守信息安全策略的程度。
3、物理環境安全:內容涉及對敏感信息處理設施的安全區域的定義、保護和監測,對自然災害、故意襲擊或事故產生影響的應對,信息安全要求和危機事件下的ISMS的連續性的界定、實施、核實和評估。
4、訪問控制:內容涉及訪問IT系統政策和程序的適用性,特權用戶和技術賬戶的分配和使用的監督審查,用戶遵守創建和處理機密信息約束性政策的情況,授權人員的信息和應用程序的獲取,與其他組織共享的環境中的數據分離。
5、信息安全與網絡安全:內容涉及密碼學,操作安全,系統采購、需求管理和開發。
6、供應商關系:內容涉及供應商獲得公司信息資產時的風險控制,供應商服務的定期檢測、審查和審計。
7、合規:內容涉及相關法律(特定國家)法規和合同要求的符合情況,個人身份信息的保護,獨立第三方定期或發生重大變化時對ISMS的審核。
8、樣件保護:除物理及環境要求、組織架構要求外,內容還涉及整車及零配件處理(車輛或部件在運輸過程中根據客戶要求的保護情況,停放/存放需要保護車輛或部件的實施情況),測試車要求(預先定義的偽裝法規的實施情況,測試場地的保護措施,公開批準試駕的保護措施),活動拍攝及拍照要求(涉及車輛、部件或配件的演示和活動的安全要求,涉及車輛、部件或配件的膠片和照片拍攝的保護措施)。
9、數據保護:內容涉及數據保護的實施程度,個人身份數據處理的合法性保障措施,內部或工作流程在數據保護法規下進行,有關處理流程在何種程度上記錄了其可受理性。
03.TISAX認證流程
1、定義:OEM確定評估級別,例如原型保護、數據保護等;
2、注冊:申請企業需要在ENX網站進行注冊,并獲得注冊號;
3、初步評估:第三方審核機構審查文件,然后進行2級遠程評估或者3級現場評估;
4、闡述結果:編制報告并向認證組織闡述評估結果;
5、整改研究結果:認證組織根據評估結果制定改進方案,并在有效期內提交整改結果;
6、后續評估:在交換平臺上形成最終報告。
審核完成后以電子標簽形式發放評估結果,電子標簽有效期3年。
04.TISAX評估等級
評估級別 1(AL 1):
為確認是否符合級別2,審計服務提供商會對您的自我評估結果(針對評估范圍內的所有地點)執行合理性檢查。此外,審計服務提供商通常會以電話會議的形式完成談話過程。
該級別一般不包含現場檢查。但如果您選擇了其中一個“原型”評估對象,則評估過程將總是包含一次現場檢查。
評估級別 3(AL 3):
為確認是否符合級別3,審計服務提供商會執行評估級別 2 所要求的所有檢查,只不過,相關檢查的范圍會更廣,并且審計服務提供商將通過深入開展現場檢查以及面對面談話等形式,來全面核查您的自我評估結果。
評估級別規定了我們的TISAX審計服務提供商所執行的審核深度以及使用的審計方法。
05.獲得TISAX認證的價值
?行業內的相互認可:所有VDA成員和OEM都需要獲得TISAX認證,以證明其能夠滿足外部需求方的直接要求,TISAX認證為汽車行業內的信息安全評估提供了統一且有約束力的標準,評估結果得到其他TISAX參與者的共同認可,從而實現行業企業之間的安全互信;
?避免多次檢查降低管理成本:TISAX認證基于統一的VDA-ISA安全評估目錄和標準,獲得TISAX標簽后,通常每三年只需要進行一次TISAX評估;
?提升安全意識:員工的行為對公司內部安全有重大影響,通過TISAX能夠有效提高員工安全意識與能力。
06.哪些企業可以申請TISAX認證
整個汽車供應鏈的組織均可申請TISAX認證。
通過TISAX認證,將是未來進入德系主機廠,獲得數據交互權限的必經之路。經過這幾年的推廣實施,已有數千家企業獲得了TISAX標簽。
07.TISAX咨詢輔導哪里權威?
TISAX輔導權威——標普企管
標普企管的咨詢&培訓講師團隊均具有大型跨國企業多年工作經驗,以及數百家企業服務經驗,能將客戶的需求轉變為切實可行的解決方案,并能將國際一流企業的最佳實踐傳遞給客戶。可根據客戶的實際情況,指出企業的不足以及要解決的問題,以幫助企業持續改進。
?快速優質的服務:為每位客戶配備專業的技術支持人員,以解決客戶提出的疑惑,并通過培訓確保服務標準的一致性。
?專注專業的團隊:我們堅信,專業的品牌源自客戶的信任。只有專注,才能更加專業。
?擁有豐富的TISAX實戰經驗:我們有專職的TISAX咨詢老師、專業的TISAX客服團隊,并幫助多個大型企業通過TISAX認證審核。
標普企管,是您最佳的合作伙伴!
下一條:ISO27001信息安全管理體系
沒有上一條!