體系咨詢(xún)
首頁(yè) >> TISAX

TISAX

01.TISAX起源

TISAX(德國汽車(chē)行業(yè)通用信息安全評估)最早起源于德國汽車(chē)OEMs對其供應商的信息安全內部審計,目的是評估整個(gè)汽車(chē)供應鏈所達到的信息安全水平。目前已通過(guò)VDA(德國汽車(chē)工業(yè)協(xié)會(huì ),評估標準制定者)和ENX(TISAX注冊和標簽共享平臺)逐漸擴展到所有的德國汽車(chē)行業(yè),成為一種評價(jià)供應商信息安全能力的通用評估和交換機制。TISAX和相應的信息安全評估機制在2017年開(kāi)始成為強制性要求,全球所有供應商(包括零部件廠(chǎng)商、服務(wù)提供商等)均應實(shí)施和維持其信息安全管理體系(ISMS),并通過(guò)與之相應級別的TISAX審計,作為與OEMs簽約和德系汽車(chē)行業(yè)的市場(chǎng)準入條件。

       國際社會(huì )對信息安全越來(lái)越重視,其中汽車(chē)行業(yè)因其自身影響力本身就擁有極其復雜的上下游供應鏈,隨著(zhù)車(chē)輛網(wǎng)聯(lián)化發(fā)展,跨界入局者也與日俱增,其中任何一家企業(yè)發(fā)生信息安全問(wèn)題都可能會(huì )對整個(gè)供應鏈造成巨大影響,帶來(lái)安全隱患。在此背景下,TISAX(可信信息安全評估交換)應運而生,它是由德國汽車(chē)工業(yè)協(xié)會(huì )(VDA)與ENX協(xié)會(huì )聯(lián)合推出的可靠交換機制,旨在幫助主機廠(chǎng)確保其供應鏈的信息安全,在汽車(chē)行業(yè)具有標桿地位。汽車(chē)行業(yè)的很多供應商和服務(wù)提供商都會(huì )處理來(lái)自客戶(hù)的高度敏感信息。為此,客戶(hù)經(jīng)常要求他們提供符合嚴格信息安全要求的證明。


02.TISAX審核內容

      1、信息安全制度與組織:內容涉及信息安全策略的創(chuàng )建、發(fā)布或分發(fā)及定期審查,資產(chǎn)管理,信息安全風(fēng)險管理。

      2、人力資源安全:內容涉及內外部員工遵循信息安全規定的程度,內外部員工遵守信息安全策略的程度。

      3、物理環(huán)境安全:內容涉及對敏感信息處理設施的安全區域的定義、保護和監測,對自然災害、故意襲擊或事故產(chǎn)生影響的應對,信息安全要求和危機事件下的ISMS的連續性的界定、實(shí)施、核實(shí)和評估。

      4、訪(fǎng)問(wèn)控制:內容涉及訪(fǎng)問(wèn)IT系統政策和程序的適用性,特權用戶(hù)和技術(shù)賬戶(hù)的分配和使用的監督審查,用戶(hù)遵守創(chuàng )建和處理機密信息約束性政策的情況,授權人員的信息和應用程序的獲取,與其他組織共享的環(huán)境中的數據分離。

      5、信息安全與網(wǎng)絡(luò )安全:內容涉及密碼學(xué),操作安全,系統采購、需求管理和開(kāi)發(fā)。

      6、供應商關(guān)系:內容涉及供應商獲得公司信息資產(chǎn)時(shí)的風(fēng)險控制,供應商服務(wù)的定期檢測、審查和審計。

      7、合規:內容涉及相關(guān)法律(特定國家)法規和合同要求的符合情況,個(gè)人身份信息的保護,獨立第三方定期或發(fā)生重大變化時(shí)對ISMS的審核。

      8、樣件保護:除物理及環(huán)境要求、組織架構要求外,內容還涉及整車(chē)及零配件處理(車(chē)輛或部件在運輸過(guò)程中根據客戶(hù)要求的保護情況,停放/存放需要保護車(chē)輛或部件的實(shí)施情況),測試車(chē)要求(預先定義的偽裝法規的實(shí)施情況,測試場(chǎng)地的保護措施,公開(kāi)批準試駕的保護措施),活動(dòng)拍攝及拍照要求(涉及車(chē)輛、部件或配件的演示和活動(dòng)的安全要求,涉及車(chē)輛、部件或配件的膠片和照片拍攝的保護措施)。

      9、數據保護:內容涉及數據保護的實(shí)施程度,個(gè)人身份數據處理的合法性保障措施,內部或工作流程在數據保護法規下進(jìn)行,有關(guān)處理流程在何種程度上記錄了其可受理性。


03.TISAX認證流程

     1、定義:OEM確定評估級別,例如原型保護、數據保護等; 

     2、注冊:申請企業(yè)需要在ENX網(wǎng)站進(jìn)行注冊,并獲得注冊號; 

     3、初步評估:第三方審核機構審查文件,然后進(jìn)行2級遠程評估或者3級現場(chǎng)評估; 

     4、闡述結果:編制報告并向認證組織闡述評估結果;

     5、整改研究結果:認證組織根據評估結果制定改進(jìn)方案,并在有效期內提交整改結果;

     6、后續評估:在交換平臺上形成最終報告。

     審核完成后以電子標簽形式發(fā)放評估結果,電子標簽有效期3年。


04.TISAX評估等級

      保護需求越高,您的合作伙伴就越希望確保能夠放心地讓您處理他們的信息。因此,TISAX定義了三大“評估級別(Assessment Level, 簡(jiǎn)稱(chēng)AL)”。

評估級別 1(AL 1):

      主要針對公司內部用途,是真正意義上的自我評估(self-assessment)。
評估級別 2(AL 2):
      為確認是否符合級別2,審計服務(wù)提供商會(huì )對您的自我評估結果(針對評估范圍內的所有地點(diǎn))執行合理性檢查。此外,審計服務(wù)提供商通常會(huì )以電話(huà)會(huì )議的形式完成談話(huà)過(guò)程。
      該級別一般不包含現場(chǎng)檢查。但如果您選擇了其中一個(gè)“原型”評估對象,則評估過(guò)程將總是包含一次現場(chǎng)檢查。

評估級別 3(AL 3):
      為確認是否符合級別3,審計服務(wù)提供商會(huì )執行評估級別 2 所要求的所有檢查,只不過(guò),相關(guān)檢查的范圍會(huì )更廣,并且審計服務(wù)提供商將通過(guò)深入開(kāi)展現場(chǎng)檢查以及面對面談話(huà)等形式,來(lái)全面核查您的自我評估結果。

      評估級別規定了我們的TISAX審計服務(wù)提供商所執行的審核深度以及使用的審計方法。


05.獲得TISAX認證的價(jià)值 

      ?行業(yè)內的相互認可:所有VDA成員和OEM都需要獲得TISAX認證,以證明其能夠滿(mǎn)足外部需求方的直接要求,TISAX認證為汽車(chē)行業(yè)內的信息安全評估提供了統一且有約束力的標準,評估結果得到其他TISAX參與者的共同認可,從而實(shí)現行業(yè)企業(yè)之間的安全互信;

      ?避免多次檢查降低管理成本:TISAX認證基于統一的VDA-ISA安全評估目錄和標準,獲得TISAX標簽后,通常每三年只需要進(jìn)行一次TISAX評估;

      ?提升安全意識:員工的行為對公司內部安全有重大影響,通過(guò)TISAX能夠有效提高員工安全意識與能力。


06.哪些企業(yè)可以申請TISAX認證

      整個(gè)汽車(chē)供應鏈的組織均可申請TISAX認證。

      通過(guò)TISAX認證,將是未來(lái)進(jìn)入德系主機廠(chǎng),獲得數據交互權限的必經(jīng)之路。經(jīng)過(guò)這幾年的推廣實(shí)施,已有數千家企業(yè)獲得了TISAX標簽。


07.TISAX咨詢(xún)輔導哪里權威?

      TISAX輔導權威——標普企管

      標普企管的咨詢(xún)&培訓講師團隊均具有大型跨國企業(yè)多年工作經(jīng)驗,以及數百家企業(yè)服務(wù)經(jīng)驗,能將客戶(hù)的需求轉變?yōu)榍袑?shí)可行的解決方案,并能將國際一流企業(yè)的最佳實(shí)踐傳遞給客戶(hù)??筛鶕蛻?hù)的實(shí)際情況,指出企業(yè)的不足以及要解決的問(wèn)題,以幫助企業(yè)持續改進(jìn)。 

    ?快速優(yōu)質(zhì)的服務(wù):為每位客戶(hù)配備專(zhuān)業(yè)的技術(shù)支持人員,以解決客戶(hù)提出的疑惑,并通過(guò)培訓確保服務(wù)標準的一致性。

     ?專(zhuān)注專(zhuān)業(yè)的團隊:我們堅信,專(zhuān)業(yè)的品牌源自客戶(hù)的信任。只有專(zhuān)注,才能更加專(zhuān)業(yè)。

     ?擁有豐富的TISAX實(shí)戰經(jīng)驗:我們有專(zhuān)職的TISAX咨詢(xún)老師、專(zhuān)業(yè)的TISAX客服團隊,并幫助多個(gè)大型企業(yè)通過(guò)TISAX認證審核。

      標普企管,是您最佳的合作伙伴!                      

下一條:BRC

沒(méi)有上一條!