400-677-1258
2022/09/11
2022年9月上旬,企航顧問啟動了泰信電機(蘇州)有限公司的TISAX AL3(信息安全+原型保護)可信信息安全評估及交換機制咨詢項目。
TISAX相關專業知識請閱讀企航顧問原創推文:
1、企航顧問TISAX可信信息安全評估交換機制服務介紹
2、TISAX與ISO/IEC27001的比較研究
3、TISAX(可信信息安全評估及交換機制)合規體系建設方案
泰信電機(蘇州)有限公司為韓國獨資企業,專業生產壓縮機電機、吸塵器電機、汽車電機等。
德國汽車工業聯合會(VDA)多年前建立了VDA–ISA 信息安全評估標準來推動其成員企業符合信息安全標準,又于2017年聯合歐洲汽車工業通信網絡協會(ENX)推出新的可信信息安全評估及交換機制TISAX (TrustedInformation Security Assessment Exchange ),此機制能減少不同汽車制造商的頻繁審核,推動企業之間的相互認可、交換和信任,目前已經逐漸擴展到所有的德國乃至歐洲汽車行業,成為一種評價供應商信息安全能力的通用評估和交換機制。
TISAX代表可信信息安全評估交換,它被認為是汽車行業信息安全的錨。VDA和ENX協會制定了一致的質量標準來提高信息安全性。TISAX規定了汽車整個供應鏈上的評估標準、評估方法和評估信息交換標準,適用于所有相關方。這是一個用于跨公司交換汽車行業信息安全測試結果而專門開發的在線平臺。公司通過在平臺上激活結果就可以通知其直接業務合作伙伴其信息安全符合TISAX。
企航顧問是國內最早開展TISAX培訓和輔導的專業機構,也是目前輔導TISAX項目最多的顧問機構之一。了解更多TISAX知識,可點擊閱讀企航顧問原創推文:
2、TISAX(可信信息安全評估及交換機制)合規體系建設方案;
建設TISAX合規體系的基本步驟
0、內部啟動
TISAX考察的是組織內不同領域的信息安全能力,這必定是涉及多部門的合作,因此在TISAX合規工作啟動之初,管理層的溝通、項目負責人的匯報是必不可少的。在得到管理層的支持后,應當拉通各個信息安全相關的部門,組建TISAX合規體系建設項目組,如業務部門、IT部門、內部支持性部門等。項目組一般包含以下部門:
1、業務部門包括對車機、樣車等進行項目管理,開發,測試和運維的所有職能。每個職能需指定一名同事作為對應TISAX 要求的負責人;
2、IT部門包括服務器,網絡,信息安全等部門,作為IT基礎設施和內部信息安全控制的接口;
3、內部支持性部門主要包括采購,人力資源,安保,法務,合規等部門,作為人力資源,物理安全等控制域的接口。
值得注意的一點:企業在準備審核的過程中常常認為,只需要安全團隊的核心成員參與準備,了解TISAX要求就足夠應審。這是一個很危險的想法,因為TISAX考察的是企業信息安全體系的整體成熟度,包括在運行過程中與業務的結合度,因此在項目過程中以培訓等形式對組織內所有成員進行宣貫是必要的。
1、現狀摸底
在確定TISAX合規體系建設項目組的部門組成后,項目負責人應召集一個內部啟動會議,邀請各部門派遣代表理解項目背景、實施周期、各個部門的職責分工,并最好建立一個以周為單位的溝通機制,定期更新項目進展。
如條件允許,項目負責人可組織核心團隊成員參加企航顧問舉辦的TISAX培訓,了解TISAX的標準要求與審核流程,然后依據TISAX的審核標準,共同進行一輪內部摸底。根據各個部門的職責,勾選對應的TISAX控制域,填寫當前的安全控制成熟度,充分了解當前差距,評估后續需要開展的工作;如,是否引入的其他內部資源,請企航顧問提供輔導,購買新的軟硬件設備等。基于初步評估的結果,向管理層匯報后續的工作計劃,人員安排和資金投入。
2、體系建立
體系建設項目需要將企航顧問的實踐經驗與企業的實際情況相結合。這里再次強調:在項目初期,應明確各安全控制域的負責人,確保項目組成員了解TISAX的戰略目標,通過統籌安排、協同作戰,才能最終獲得TISAX標簽。
在確定了項目啟動后,項目負責人與企航顧問開始密切的交流和合作,在企航顧問的配合下完成差距分析、體系建設與運行工作。
1、全面“診斷”
根據現狀摸底中各個控制域的職責分工, 通過多輪訪談,幫助企航顧問充分了解企業的業務需求和安全現狀,逐條對應已有的制度流程或執行記錄。同時,需要企航顧問對各個不符合項的控制要求進行解讀,制定詳細的整改計劃,明確整改責任人,整改完成時間,整改審批人等。
2、制度流程完善
在制度流程補足過程中,企業需要充分輸出已有信息安全的制度、策略、流程。在輔導機構的協助下,依據TISAX的要求和當前文檔的差距,進行文檔體系建設、成立信息安全小組。大多數企業都面臨的一個常見風險是,業務流程中已經有部分安全管控措施,但是缺少固化流程和方案。因此企業需要協同輔導機構一起制定制度化、規范化、標準化的業務流程,使其能滿足信息安全要求、避免信息安全風險的發生。
體系編寫完畢后,項目負責人會進行內部的評審,確保制度流程與當前的業務相契合。經過多輪評審后,就可以發布到企業的制度文檔管理系統。體系發布后,通過培訓在企業內部 “官宣”信息安全小組、介紹文檔體系并進行信息安全意識貫宣,為接下來將信息安全體系落實到日常業務工作中奠定基礎;依據以往的經驗,企業日常運行中,常有以下不足之處,需要在體系推行過程中吸取經驗:
1、體系運行過程中,企業需要在關鍵的業務流程中,嵌入信息安全的要求,并且在實施過程中留下實施有效性的證明。企業往往缺少對信息資產全生命周期的管理視角,如:企業在內/外部員工賬號開通、授權、權限變更、賬號關閉等業務流程中,是否進行權限審批、授權是否設置有效期、是否及時關閉賬號,是否定期對賬號的使用狀態進行審核等,在此基礎上能否提供書面證據證明以上行為的有效實施;
2、往往企業在已有管控策略的情況下,落地模式尚未成型,如未符合要求存在使用共享賬號的情況,需要加強信息安全體系落實過程中加強監督。
體系運行一段時間后,組織需要進行內部審核、管理評審,針對信息安全體系文檔適用性、推行有效性進行驗證,保證信息安全體系的持續有效運行。
3、技術工具加固
TISAX對于數據,應用系統和網絡等都有較高的技術保護要求,數據傳輸存儲的加密,應用系統的高可用性,網絡的冗余及帶外管理等安全要求,都需要結合企業自身情況,通過技術手段或者工具進行加固。TISAX對于樣件保護的物理環境、訪問控制有許多安全要求,門窗安全設計、監控設備、報警裝置、門禁/門鎖等設施的現場情況。往往沒有涉及樣件生產(含有工廠)的企業,如進行車聯網業務的企業,在這方面差距較大,需要結合審核條款,進行實施改造,準備專門的樣件保護空間、設立門禁、門窗并做好封閉防盜處理。
4、應審準備
針對審核條款對應的文檔記錄,制作清晰的證據文件目錄結構,提前準備好記錄,指定各領域的負責人;在應審前進行培訓和演練,互相挑戰和提問,考慮各種可能遇到的類似問題。同時,在正式審計前,與選定的外審機構進行審計計劃、待準備材料的溝通。一切準備就緒后,正式應審的前一天,再次召開全員會議,確保大家進入最佳狀態,迎接審核!
關于企航顧問
企航顧問在汽車供應鏈領域提供的服務有:
1、IATF16949、VDA6.1、VDA6.2、VDA6.4:汽車工業質量管理體系咨詢和培訓
2、TISAX:可信信息安全評估交流機制咨詢和培訓
3、ASPICE:汽車軟件過程改進及能力評定咨詢和培訓
4、ISO26262:汽車功能安全咨詢和培訓
5、ISO/SAE 21434:道路車輛 信息安全工程咨詢和培訓
6、MMOG/LE:全球物料管理運作指南/物流評估培訓和輔導
7、BIQS、QSB+、Ford-Q1、Formel-Q:OEM汽車供應鏈驗廠輔導
8、CQI-x:熱處理、電鍍、涂裝、焊接、錫焊、模塑、鑄造、釬焊等特殊工藝過程控制與管理的培訓和咨詢
9、APQP、FMEA、MSA、SPC、PPAP:汽車工業五大核心工具的培訓和輔導
10、其它 ......
企航顧問在汽車供應鏈項目上的優勢:
1、4,000+ 汽車整車及零部件企業全程輔導獲得16949(ISO/TS or IATF)證書
2、4,500+ 汽車整車及零部件VDA6.1&6.4\16949\ISO26262\ASPICE\TISAX全程輔導
3、6,000+ 客戶包括眾多國際及國內知名企業全過程咨詢經驗
4、10,000+ 培訓企業客戶(內訓+公開課+游學+研修)
5、100,000+ 課時AIAG核心工具、VDA-x、CQI-x、BIQS、MMOG/LE、Q1及內審員授課經驗
6、東風汽車有限公司連續9年華東地區唯一指定咨詢合作伙伴
7、國家認證認可監督管理委員會(CNCA)首批備案之16949、EMS、OHSMS顧問機構
8、中國認證認可協會(CCAA)理事單位、上海市認證協會(SCA)理事單位
9、全國六西格瑪推行工作委員會(CCPSS)委員單位
