TISAX汽车行业信息安全评估是VDA和ENX联合为VDA ISA创建的TISAX(Trusted Information Security Assessment Exchange)信息安全的评估和交换机制,可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。
随着信息化的普及,信息系统的基础性、全局性日益突出,信息资源已成为重要的战略资源之一。 汽车行业也是一样,每日产生着大量的交互数据。供应链中的任何一家机密信息被泄露,都会对整个供 应链照成巨大损失。这就要求整车制造商及其上游所有企业都能协调一致采取共同行动应对日趋严峻的 网络安全威胁。 德国汽车工业协会 (VDA) 多年前就推动成员企业符合信息安全标准,很多年前建立 VDA-ISA 信息安 全评估标准,通常被用于组织的内部控制要求。从供需双方的角度,不同的客户以及供方审核导致众多 资源的浪费。为此,VDA 联合 ENX 推出了信息安全评估流程,并将其审核结果放在一个可供信息交换的可 信平台(TISAX)上,其评估结果能够进一步相互认可,交换和信任,从而减少不同整车制造商的频繁审核。
通过TISAX认证的好处:
2.1 能够满足外部需求方的直接要求,行业内的相互认可:
所有 VDA 成员和 OEM 都需要获得 TISAX 认证, TISAX认证为汽车行业内的信息安全评估提供了统-且有约束力标准,评估结果得到其他TISAX参与者 共同认可从而实现汽车行业企业之间安全互信;
2.2 避免多次检查降低了管理成本: TISAX 认证基于统-的 VDA-ISA 安全评估目录和标准,通常每年只需 要进行次 TISAX 评估;
2.3 提升员工安全意识,员工的行为对公司内部的安全有重大影响,通过 TISAX 提高员工安全意识与能力。
申请认证条件:
3.1 申请者必须为合法经营的企业单位;
3.2 能够提供汽车行业供应链的证据;
认证流程:
4.1.去ENX官网注册,确定好审核的信息安全范围等级和地点。注册完成后和审核公司约好审核的时间 和地点,确定好费用。
4.2. 内部自查,根据 VDA-ISA_EN_4-1-0 里面的详细要求,找到目前公司的信息安全体系和标准之间的 差距。
4.3. 内部整改,根据评审出的差异点进行内部整改,同时开展内部信息安全培训。
4.4. 文件编写和信息安全的运行。根据标准要求,编写和实施相关的信息安全文件,让相应的部门执行 文件。同时,对于缺少的软硬件都必须到位。
4.5. 公司内部再次根据 VDA ISA 评估目前公司的信息安全运行情况,如果评分可以达到 TISAX 的要求, 可以调整到最佳状态迎接 TISAX 审核员的外审。
4.6. 外审通过,等待外审机构报告,如果未通过,根据情况,再次审核,知道审核通过为止。需要注意 的是,您必须在 9 个月的时间内通过全部审核,否则需要全部重新开始申请一次。
认证审核注意事项:
5.1 在执行 TISAX 审核之前需要企业与授权认证审核服务机构确定 TISAX 的审核对象,审核范围和审核级别。
审核对象:是指企业组织范围,部门范围,物理地点等范围;
审核范围:是指标准范围,压缩范围还是扩展范围;
审核级别:分为 3 个级别,不同的审核级别是由参与方期望达到的保护级别所决定的,TISAX 区分三 个不同的“保护级别”(正常,高和非常高),其对应 AL1,AL2 和 AL3 的审核级别;如果只是 AL1 级别的审核,不需要外部审核方参与企业执行自我评估即可,但注意此级别无法获得 TISAX 标签;因 此企业通常都需要外部认证审核方执行 AL2 或 AL3 级别审核从而实现高和非常高的保护级别;
5.2 对于 TISAX 审核时的具体技术标准的依据是 VDA-ISA 标准,这个标准是 VDA 组织基于 ISO/IEC 27XXX 不同信息安全相关标准定制而来,其中主要包括信息安全体系,第三方联系,数据保护,原型保护 等四个方面,包括多个控制检查点组成。
评估的基础是 VDA 信息安全评估(ISA)调查问卷,由 VDA 信息安全委员会创建和维护。它可以从 VDA 网站下载德语或英语。
5.3 对于拥有多个地点的公司,常规 TISAX 评估流程可能非常广泛。在某些条件下,我们提供了另一种选 择 “简化群体评估”(SGA)。简化的小组评估是 TISAX 评估过程的一个特例。如果满足前提条件, 与常规 TISAX 评估过程相比,它可以减少工作量。这种特殊的 TISAX 评估流程专为拥有至少三个地点和集中,高度发达的信息安全管理系统(ISMS)的公司而设计。