TISAX德國(guó)汽車信息安全評(píng)估
TISAX德國(guó)汽車行業(yè)通用信息安全評(píng)估
01.TISAX起源
TISAX(德國(guó)汽車行業(yè)通用信息安全評(píng)估)最早起源于德國(guó)汽車OEMs對(duì)其供應(yīng)商的信息安全內(nèi)部審計(jì),目的是評(píng)估整個(gè)汽車供應(yīng)鏈所達(dá)到的信息安全水平。目前已通過(guò)VDA(德國(guó)汽車工業(yè)協(xié)會(huì),評(píng)估標(biāo)準(zhǔn)制定者)和ENX(TISAX注冊(cè)和標(biāo)簽共享平臺(tái))逐漸擴(kuò)展到所有的德國(guó)汽車行業(yè),成為一種評(píng)價(jià)供應(yīng)商信息安全能力的通用評(píng)估和交換機(jī)制。TISAX和相應(yīng)的信息安全評(píng)估機(jī)制在2017年開(kāi)始成為強(qiáng)制性要求,全球所有供應(yīng)商(包括零部件廠商、服務(wù)提供商等)均應(yīng)實(shí)施和維持其信息安全管理體系(ISMS),并通過(guò)與之相應(yīng)級(jí)別的TISAX審計(jì),作為與OEMs簽約和德系汽車行業(yè)的市場(chǎng)準(zhǔn)入條件。
國(guó)際社會(huì)對(duì)信息安全越來(lái)越重視,其中汽車行業(yè)因其自身影響力本身就擁有極其復(fù)雜的上下游供應(yīng)鏈,隨著車輛網(wǎng)聯(lián)化發(fā)展,跨界入局者也與日俱增,其中任何一家企業(yè)發(fā)生信息安全問(wèn)題都可能會(huì)對(duì)整個(gè)供應(yīng)鏈造成巨大影響,帶來(lái)安全隱患。在此背景下,TISAX(可信信息安全評(píng)估交換)應(yīng)運(yùn)而生,它是由德國(guó)汽車工業(yè)協(xié)會(huì)(VDA)與ENX協(xié)會(huì)聯(lián)合推出的可靠交換機(jī)制,旨在幫助主機(jī)廠確保其供應(yīng)鏈的信息安全,在汽車行業(yè)具有標(biāo)桿地位。汽車行業(yè)的很多供應(yīng)商和服務(wù)提供商都會(huì)處理來(lái)自客戶的高度敏感信息。為此,客戶經(jīng)常要求他們提供符合嚴(yán)格信息安全要求的證明。
02.TISAX審核內(nèi)容
1、信息安全制度與組織:內(nèi)容涉及信息安全策略的創(chuàng)建、發(fā)布或分發(fā)及定期審查,資產(chǎn)管理,信息安全風(fēng)險(xiǎn)管理。
2、人力資源安全:內(nèi)容涉及內(nèi)外部員工遵循信息安全規(guī)定的程度,內(nèi)外部員工遵守信息安全策略的程度。
3、物理環(huán)境安全:內(nèi)容涉及對(duì)敏感信息處理設(shè)施的安全區(qū)域的定義、保護(hù)和監(jiān)測(cè),對(duì)自然災(zāi)害、故意襲擊或事故產(chǎn)生影響的應(yīng)對(duì),信息安全要求和危機(jī)事件下的ISMS的連續(xù)性的界定、實(shí)施、核實(shí)和評(píng)估。
4、訪問(wèn)控制:內(nèi)容涉及訪問(wèn)IT系統(tǒng)政策和程序的適用性,特權(quán)用戶和技術(shù)賬戶的分配和使用的監(jiān)督審查,用戶遵守創(chuàng)建和處理機(jī)密信息約束性政策的情況,授權(quán)人員的信息和應(yīng)用程序的獲取,與其他組織共享的環(huán)境中的數(shù)據(jù)分離。
5、信息安全與網(wǎng)絡(luò)安全:內(nèi)容涉及密碼學(xué),操作安全,系統(tǒng)采購(gòu)、需求管理和開(kāi)發(fā)。
6、供應(yīng)商關(guān)系:內(nèi)容涉及供應(yīng)商獲得公司信息資產(chǎn)時(shí)的風(fēng)險(xiǎn)控制,供應(yīng)商服務(wù)的定期檢測(cè)、審查和審計(jì)。
7、合規(guī):內(nèi)容涉及相關(guān)法律(特定國(guó)家)法規(guī)和合同要求的符合情況,個(gè)人身份信息的保護(hù),獨(dú)立第三方定期或發(fā)生重大變化時(shí)對(duì)ISMS的審核。
8、樣件保護(hù):除物理及環(huán)境要求、組織架構(gòu)要求外,內(nèi)容還涉及整車及零配件處理(車輛或部件在運(yùn)輸過(guò)程中根據(jù)客戶要求的保護(hù)情況,停放/存放需要保護(hù)車輛或部件的實(shí)施情況),測(cè)試車要求(預(yù)先定義的偽裝法規(guī)的實(shí)施情況,測(cè)試場(chǎng)地的保護(hù)措施,公開(kāi)批準(zhǔn)試駕的保護(hù)措施),活動(dòng)拍攝及拍照要求(涉及車輛、部件或配件的演示和活動(dòng)的安全要求,涉及車輛、部件或配件的膠片和照片拍攝的保護(hù)措施)。
9、數(shù)據(jù)保護(hù):內(nèi)容涉及數(shù)據(jù)保護(hù)的實(shí)施程度,個(gè)人身份數(shù)據(jù)處理的合法性保障措施,內(nèi)部或工作流程在數(shù)據(jù)保護(hù)法規(guī)下進(jìn)行,有關(guān)處理流程在何種程度上記錄了其可受理性。
03.TISAX認(rèn)證流程
1、定義:OEM確定評(píng)估級(jí)別,例如原型保護(hù)、數(shù)據(jù)保護(hù)等;
2、注冊(cè):申請(qǐng)企業(yè)需要在ENX網(wǎng)站進(jìn)行注冊(cè),并獲得注冊(cè)號(hào);
3、初步評(píng)估:第三方審核機(jī)構(gòu)審查文件,然后進(jìn)行2級(jí)遠(yuǎn)程評(píng)估或者3級(jí)現(xiàn)場(chǎng)評(píng)估;
4、闡述結(jié)果:編制報(bào)告并向認(rèn)證組織闡述評(píng)估結(jié)果;
5、整改研究結(jié)果:認(rèn)證組織根據(jù)評(píng)估結(jié)果制定改進(jìn)方案,并在有效期內(nèi)提交整改結(jié)果;
6、后續(xù)評(píng)估:在交換平臺(tái)上形成最終報(bào)告。
審核完成后以電子標(biāo)簽形式發(fā)放評(píng)估結(jié)果,電子標(biāo)簽有效期3年。
04.TISAX評(píng)估等級(jí)
評(píng)估級(jí)別 1(AL 1):
為確認(rèn)是否符合級(jí)別2,審計(jì)服務(wù)提供商會(huì)對(duì)您的自我評(píng)估結(jié)果(針對(duì)評(píng)估范圍內(nèi)的所有地點(diǎn))執(zhí)行合理性檢查。此外,審計(jì)服務(wù)提供商通常會(huì)以電話會(huì)議的形式完成談話過(guò)程。
該級(jí)別一般不包含現(xiàn)場(chǎng)檢查。但如果您選擇了其中一個(gè)“原型”評(píng)估對(duì)象,則評(píng)估過(guò)程將總是包含一次現(xiàn)場(chǎng)檢查。
評(píng)估級(jí)別 3(AL 3):
為確認(rèn)是否符合級(jí)別3,審計(jì)服務(wù)提供商會(huì)執(zhí)行評(píng)估級(jí)別 2 所要求的所有檢查,只不過(guò),相關(guān)檢查的范圍會(huì)更廣,并且審計(jì)服務(wù)提供商將通過(guò)深入開(kāi)展現(xiàn)場(chǎng)檢查以及面對(duì)面談話等形式,來(lái)全面核查您的自我評(píng)估結(jié)果。
評(píng)估級(jí)別規(guī)定了我們的TISAX審計(jì)服務(wù)提供商所執(zhí)行的審核深度以及使用的審計(jì)方法。
05.獲得TISAX認(rèn)證的價(jià)值
?行業(yè)內(nèi)的相互認(rèn)可:所有VDA成員和OEM都需要獲得TISAX認(rèn)證,以證明其能夠滿足外部需求方的直接要求,TISAX認(rèn)證為汽車行業(yè)內(nèi)的信息安全評(píng)估提供了統(tǒng)一且有約束力的標(biāo)準(zhǔn),評(píng)估結(jié)果得到其他TISAX參與者的共同認(rèn)可,從而實(shí)現(xiàn)行業(yè)企業(yè)之間的安全互信;
?避免多次檢查降低管理成本:TISAX認(rèn)證基于統(tǒng)一的VDA-ISA安全評(píng)估目錄和標(biāo)準(zhǔn),獲得TISAX標(biāo)簽后,通常每三年只需要進(jìn)行一次TISAX評(píng)估;
?提升安全意識(shí):員工的行為對(duì)公司內(nèi)部安全有重大影響,通過(guò)TISAX能夠有效提高員工安全意識(shí)與能力。
06.哪些企業(yè)可以申請(qǐng)TISAX認(rèn)證
整個(gè)汽車供應(yīng)鏈的組織均可申請(qǐng)TISAX認(rèn)證。
通過(guò)TISAX認(rèn)證,將是未來(lái)進(jìn)入德系主機(jī)廠,獲得數(shù)據(jù)交互權(quán)限的必經(jīng)之路。經(jīng)過(guò)這幾年的推廣實(shí)施,已有數(shù)千家企業(yè)獲得了TISAX標(biāo)簽。
07.TISAX咨詢輔導(dǎo)哪里權(quán)威?
TISAX輔導(dǎo)權(quán)威——標(biāo)普企管
標(biāo)普企管的咨詢&培訓(xùn)講師團(tuán)隊(duì)均具有大型跨國(guó)企業(yè)多年工作經(jīng)驗(yàn),以及數(shù)百家企業(yè)服務(wù)經(jīng)驗(yàn),能將客戶的需求轉(zhuǎn)變?yōu)榍袑?shí)可行的解決方案,并能將國(guó)際一流企業(yè)的最佳實(shí)踐傳遞給客戶。可根據(jù)客戶的實(shí)際情況,指出企業(yè)的不足以及要解決的問(wèn)題,以幫助企業(yè)持續(xù)改進(jìn)。
?快速優(yōu)質(zhì)的服務(wù):為每位客戶配備專業(yè)的技術(shù)支持人員,以解決客戶提出的疑惑,并通過(guò)培訓(xùn)確保服務(wù)標(biāo)準(zhǔn)的一致性。
?專注專業(yè)的團(tuán)隊(duì):我們堅(jiān)信,專業(yè)的品牌源自客戶的信任。只有專注,才能更加專業(yè)。
?擁有豐富的TISAX實(shí)戰(zhàn)經(jīng)驗(yàn):我們有專職的TISAX咨詢老師、專業(yè)的TISAX客服團(tuán)隊(duì),并幫助多個(gè)大型企業(yè)通過(guò)TISAX認(rèn)證審核。
標(biāo)普企管,是您最佳的合作伙伴!
下一條:ISO27001信息安全管理體系
沒(méi)有上一條!