信息技术认证
首页 >> TISAX德国汽车信息安全评估

TISAX德国汽车信息安全评估

[日期:2023-09-24] [阅读:318] [关闭] [返回]

TISAX德国汽车行业通用信息安全评估


01.TISAX起源

        TISAX(德国汽车行业通用信息安全评估)最早起源于德国汽车OEMs对其供应商的信息安全内部审计,目的是评估整个汽车供应链所达到的信息安全水平。目前已通过VDA(德国汽车工业协会,评估标准制定者)和ENX(TISAX注册和标签共享平台)逐渐扩展到所有的德国汽车行业,成为一种评价供应商信息安全能力的通用评估和交换机制。TISAX和相应的信息安全评估机制在2017年开始成为强制性要求,全球所有供应商(包括零部件厂商、服务提供商等)均应实施和维持其信息安全管理体系(ISMS),并通过与之相应级别的TISAX审计,作为与OEMs签约和德系汽车行业的市场准入条件。

       国际社会对信息安全越来越重视,其中汽车行业因其自身影响力本身就拥有极其复杂的上下游供应链,随着车辆网联化发展,跨界入局者也与日俱增,其中任何一家企业发生信息安全问题都可能会对整个供应链造成巨大影响,带来安全隐患。在此背景下,TISAX(可信信息安全评估交换)应运而生,它是由德国汽车工业协会(VDA)与ENX协会联合推出的可靠交换机制,旨在帮助主机厂确保其供应链的信息安全,在汽车行业具有标杆地位。汽车行业的很多供应商和服务提供商都会处理来自客户的高度敏感信息。为此,客户经常要求他们提供符合严格信息安全要求的证明。


02.TISAX审核内容

      1、信息安全制度与组织:内容涉及信息安全策略的创建、发布或分发及定期审查,资产管理,信息安全风险管理。

      2、人力资源安全:内容涉及内外部员工遵循信息安全规定的程度,内外部员工遵守信息安全策略的程度。

      3、物理环境安全:内容涉及对敏感信息处理设施的安全区域的定义、保护和监测,对自然灾害、故意袭击或事故产生影响的应对,信息安全要求和危机事件下的ISMS的连续性的界定、实施、核实和评估。

      4、访问控制:内容涉及访问IT系统政策和程序的适用性,特权用户和技术账户的分配和使用的监督审查,用户遵守创建和处理机密信息约束性政策的情况,授权人员的信息和应用程序的获取,与其他组织共享的环境中的数据分离。

      5、信息安全与网络安全:内容涉及密码学,操作安全,系统采购、需求管理和开发。

      6、供应商关系:内容涉及供应商获得公司信息资产时的风险控制,供应商服务的定期检测、审查和审计。

      7、合规:内容涉及相关法律(特定国家)法规和合同要求的符合情况,个人身份信息的保护,独立第三方定期或发生重大变化时对ISMS的审核。

      8、样件保护:除物理及环境要求、组织架构要求外,内容还涉及整车及零配件处理(车辆或部件在运输过程中根据客户要求的保护情况,停放/存放需要保护车辆或部件的实施情况),测试车要求(预先定义的伪装法规的实施情况,测试场地的保护措施,公开批准试驾的保护措施),活动拍摄及拍照要求(涉及车辆、部件或配件的演示和活动的安全要求,涉及车辆、部件或配件的胶片和照片拍摄的保护措施)。

      9、数据保护:内容涉及数据保护的实施程度,个人身份数据处理的合法性保障措施,内部或工作流程在数据保护法规下进行,有关处理流程在何种程度上记录了其可受理性。


03.TISAX认证流程

     1、定义:OEM确定评估级别,例如原型保护、数据保护等; 

     2、注册:申请企业需要在ENX网站进行注册,并获得注册号; 

     3、初步评估:第三方审核机构审查文件,然后进行2级远程评估或者3级现场评估; 

     4、阐述结果:编制报告并向认证组织阐述评估结果;

     5、整改研究结果:认证组织根据评估结果制定改进方案,并在有效期内提交整改结果;

     6、后续评估:在交换平台上形成最终报告。

     审核完成后以电子标签形式发放评估结果,电子标签有效期3年。


04.TISAX评估等级


      保护需求越高,您的合作伙伴就越希望确保能够放心地让您处理他们的信息。因此,TISAX定义了三大“评估级别(Assessment Level, 简称AL)”。

评估级别 1(AL 1):

      主要针对公司内部用途,是真正意义上的自我评估(self-assessment)。
评估级别 2(AL 2):
      为确认是否符合级别2,审计服务提供商会对您的自我评估结果(针对评估范围内的所有地点)执行合理性检查。此外,审计服务提供商通常会以电话会议的形式完成谈话过程。
      该级别一般不包含现场检查。但如果您选择了其中一个“原型”评估对象,则评估过程将总是包含一次现场检查。

评估级别 3(AL 3):
      为确认是否符合级别3,审计服务提供商会执行评估级别 2 所要求的所有检查,只不过,相关检查的范围会更广,并且审计服务提供商将通过深入开展现场检查以及面对面谈话等形式,来全面核查您的自我评估结果。

      评估级别规定了我们的TISAX审计服务提供商所执行的审核深度以及使用的审计方法。


05.获得TISAX认证的价值 

      ✦行业内的相互认可:所有VDA成员和OEM都需要获得TISAX认证,以证明其能够满足外部需求方的直接要求,TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准,评估结果得到其他TISAX参与者的共同认可,从而实现行业企业之间的安全互信;

      ✦避免多次检查降低管理成本:TISAX认证基于统一的VDA-ISA安全评估目录和标准,获得TISAX标签后,通常每三年只需要进行一次TISAX评估;

      ✦提升安全意识:员工的行为对公司内部安全有重大影响,通过TISAX能够有效提高员工安全意识与能力。


06.哪些企业可以申请TISAX认证

      整个汽车供应链的组织均可申请TISAX认证。

      通过TISAX认证,将是未来进入德系主机厂,获得数据交互权限的必经之路。经过这几年的推广实施,已有数千家企业获得了TISAX标签。


07.TISAX咨询辅导哪里权威?

      TISAX辅导权威——标普企管

      标普企管的咨询&培训讲师团队均具有大型跨国企业多年工作经验,以及数百家企业服务经验,能将客户的需求转变为切实可行的解决方案,并能将国际一流企业的最佳实践传递给客户。可根据客户的实际情况,指出企业的不足以及要解决的问题,以帮助企业持续改进。 

    快速优质的服务:为每位客户配备专业的技术支持人员,以解决客户提出的疑惑,并通过培训确保服务标准的一致性。

     ✦专注专业的团队:我们坚信,专业的品牌源自客户的信任。只有专注,才能更加专业。

     ✦拥有丰富的TISAX实战经验:我们有专职的TISAX咨询老师、专业的TISAX客服团队,并帮助多个大型企业通过TISAX认证审核。

      标普企管,是您最佳的合作伙伴!


下一条:ISO27001信息安全管理体系

没有上一条!