400-677-1258
2022/04/21
未來是信息化時代,政府和企業越來越意識到信息安全至關重要。歐盟于2016年4月14日投票通過了商討四年的《一般數據保護條例》(General Data Protection Regulation,簡稱GDPR),該法案于2018年5月25日生效。
在日趨嚴格的信息安全合規要求與層出不窮的信息安全事件下,供應商如何向主機廠(OME)證明其自身的信息安全能力,如何保護主機廠的原型、樣件、各類商業機密與客戶數據,成為了汽車行業近年來的熱門話題。
為推動成員企業符合信息安全法規/標準,德國汽車工業聯合會(VDA)多年前就基于ISO27000系列國際標準建立了自己的信息安全評估標準:VDA-ISA(Information Security Assessment)。
VDA于2017年聯合ENX(歐洲汽車工業通信網絡協會)推出了“可信信息安全評估交換 Trusted Information Security Assessment Exchange(TISAX?)”機制,此機制可以實現汽車行業信息安全評估的相互認可,并提供通用的評估和交換機制。
TISAX相關專業知識請閱讀企航顧問原創推文:
1、企航顧問TISAX可信信息安全評估交換機制服務介紹
2、TISAX與ISO/IEC27001的比較研究
3、TISAX(可信信息安全評估及交換機制)合規體系建設方案
一、什么是TISAX?
TISAX可信信息安全評估交換機制是基于ISO/IEC 27001信息安全管理體系標準和VDA-ISA信息安全評價檢查表而建立的汽車行業專用信息安全標準。TISAX 為汽車行業內不同服務商提供了信息安全評估結果互認的模式,供應商通過了該評估,即意味著其結果得到了所有參與方的認可。
1、TISAX?的擁有者和主持者:德國汽車工業聯合會VDA,VDA同時控制VDA-ISA檢查表。
2、TISAX?的法律實體與組織者:ENX,所有評估結果都將放在ENX平臺上。
3、TISAX?認可的審核提供方:獲得認可的第三方認證機構。
TISAX為汽車行業提供了一致的評估標準(VDA-ISA)以替代之前來自各主機廠不同的標準要求,它通過一次評估、可供多方使用的機制,為主機廠和供應商提供了長達三年的安全標簽,每個注冊參與者在完成審核后,可以有選擇性的在平臺上共享審核結果。
二、TISAX 評估等級、范圍和具體要求
TISAX按照信息安全保護程度,一共分為三個級別:AL-1、AL-2(High)、AL-3(Very High):
1、AL-1:標準保護級別,只對企業的信息安全進行審核,多用于企業內部的自評估,無需審核方介入。
2、AL-2:高保護級別,審核方根據“高保護要求”進行審核,審核可遠程進行,最終獲得2級標簽。
3、AL-3:極高保護級別,通過后可獲得TISAX 3級標簽。若企業需要審核樣件,則審核級別必須定為AL3。AL3級別的企業必須接受現場審核。
需要的保護級別越高,評估級別就越高(與評估目標相關)。通常,為獲取AL-3級標簽,則參與者必須接受現場審核。
從具體的評估內容來看,至少包括信息安全(Information Security)模塊的七個審核領域(信息安全策略和組織、人力資源、物理安全和業務連續性、身份與訪問管理、IT安全/網絡安全、供方關系、合規)的41個控制項,這些控制項主要參照ISO/IEC27001和27002標準,并根據德國汽車行業特點進行相應的調整。不同的供應商根據與主機廠的業務合作,還可能包括對原型保護(Prototype Protection)、數據保護(Data Protection)模塊的額外控制項的審核。
每一項控制項的成熟度水平(Maturity Levels)分為0~5這6個級別,同時也考慮了不適用N/A的情況。最終分數會根據各控制項的分數進行綜合計算。平均分需要3分以上(目標)。另外 ,評估的最終結果中不能出現任何一處輕微不符合(<2.7低于目標10%以上)或重大不符合項(<2.1低于目標30%以上),需要全部關閉。
基于ISA問卷的評估結果將以蜘蛛圖(見下圖)的樣式顯示,通過此圖,可以清楚地了解每個審核領域的績效。
三、TISAX評估流程
1、確認信息安全范圍及目標等,并選擇評估機構:當企業成功在平臺注冊TISAX審核后,將可查詢到官方授權的機構清單,選擇并確認審核機構,并與其約定好期望的評估日期。
2、文件審核:在企業確認好認證機構后,機構會要求企業提供相關資料進行初步文件審核。若沒有按約定時間提交,將會導致審核延期。
3、現場審核:根據TISAX要求,AL-3級別的企業必須強制性接受現場審核。
4、出具審核報告
5、整改跟進:糾正行動審核和跟進審核取決于貴司是否有不符合項,允許在九個月內關閉。
6、獲取TISAX標簽:TISAX標簽有限期為3年。
四、TISAX咨詢流程
1、官網注冊指導
2、匯總及整理評估表格(按客戶要求模塊內容進行評估填寫差距項并模擬打分)
3、自評表填寫指導
4、差距改進報告和改進措施輔導
5、涉及大眾、寶馬等項目的部門信息資產識別和風險評估輔導
6、大眾、寶馬等項目風險評估輔導
7、技術改造及落實推進輔導
8、TISAX管理制度及記錄輔導
9、體系實施和運行輔導
10、現場審計陪同及支持服務
11、授權機構外部審計
12、審計不符合項整改服務
13、證據準備支持服務
14、獲取正式的Label ID
五、哪些企業需要實施TISAX?
TISAX認證適用于整個汽車行業的供應鏈——
TISAX認證適用于整個汽車行業增值鏈上的所有組織。隨著數字化轉型與行業生態的發展,跨界融合的趨勢日益凸顯。與此同時,信息安全問題全球化的態勢,導致業內廠商對信息安全越來越重視。與此同時,隨著虛擬化與云計算的應用,網上數據交互與協同辦公已成為可能。事實上,大眾集團已經向其供應商推行了KVS數據交互平臺,其完整版已經具備協同開發設計的功能。因此,無論是原型設計與開發,還是數據安全,在信息化的條件下,信息安全已成為各大主機廠及其合作供應商的關切重點。
因此,TISAX作為行業內信息安全的認證標準,已經從主機廠的一級供應商延伸到二級、三級供應商,從零部件供應商擴展到芯片等元器件供應商。所以,為滿足市場與行業的要求,包括所有汽車制造商的供應商和服務提供商,以及處理相關公司敏感信息的供應商,都在積極申請獲得TISAX認證。
六、TISAX與ISO/IEC27001的異同點:
TISAX認證采用的VDA-ISA與ISO/IEC 27001源遠流長,TISAX認證審核基于VDA-ISA安全評估標準是以ISO/IEC 27001國際信息安全管理體系標準為基礎,遵循其主要管理思路與原則,內容也覆蓋了ISO/IEC 27001標準的基本要求。
這兩種框架均支持各種規模的組織將信息安全規定融入業務運營以保護敏感信息,它們是互補的方法,可幫助組織增強信息和供應鏈韌性。
一、兩者的相同點:
二者管理思路一致,同樣按照控制域評估方式:如ISO/IEC 27001:2013共有14個控制域114個控制項,VDA-ISA 5分為3個模塊(信息安全、原型保護、數據保護)和67個控制項,且二者之間也保持了一定的映射關系。
二、兩者的不同點:
1、應用范圍不同:
TISAX定義了信息安全在汽車行業場景下的特定含義,包含有一些關于原型車輛、零部件、測試車輛的處理以及在活動期間保護信息的具體章節,而ISO/IEC 27001則是允許在不同場景下對信息安全定義有一定程度的不同解讀:
a)ISO/IEC 27001共包含兩部分,除了條文第四章至第十章,另外還有附錄 A的114個信息安全控制措施,通過ISO/IEC 27001認證代表企業已建立、實施及維持及持續改善ISMS要求之事項;
b)TISAX VDA-ISA 參考 ISO 27001、ISO 27002等規范外,并參照法規(例如: 通用數據保護法 GDPR)及汽車產業之要求作為管制項目。
2、級別機制不同:
ISO/IEC 27001無級別制,TISAX則采用級別制,共有三種審核等級 (Assessment level (AL),企業可以自行選擇其需要通過的認證等級,AL1一般是自評,AL2和 AL3需要第三方審核員對公司進行現場審核,一般獲得 AL2和 AL3才能夠獲得TISAX的認可。ISO/IEC 27001證書是意味著通過審核和評審的結果,基本可理解對應TISAX的AL2。
TISAX證書的內容根據不同對象劃分為若干等級,可在TISAX官方網站上查詢。對于普通大眾有四個等級。對于不同的合作伙伴可劃分為五個等級,其中最詳細的等級允許合作伙伴查看詳細的審核結果和成熟度等級描述等內容。
3、評估方法不同:
ISO/IEC 27001證書有效期為三年,每年要進行監督審核;而TISAX則一次評估,有效期為三年。在一致性確認方面,ISO/IEC 27001頒發證書,而TISAX頒發標簽。對ISO/IEC 27001的認證是通過滿足標準的要求來實現的,而實現TISAX標簽的基礎是滿足VDA評估目錄中的評估目標的要求。
ISO/IEC 27001的證書內,包含評估的基本信息,例如企業名稱、審核范圍和證書有效期等簡單描述等,不公布不符合項的數量和報告內容等整體評估結果描述。ISO/IEC 27001的證書的內容相當于TISAX 證書中面對普通大眾的等級。此外,ISO/IEC 27001的證書通常由獲證企業自愿、自行在網站上張貼并進行宣傳,或者認證機構的網站或監管機構備案信息平臺上進行查詢。
七、實施TISAX對組織的益處
1、行業內的相互認可:所有VDA成員和OEM都需要獲得TISAX認證,以證明其能夠滿足外部需求方的直接要求,TISAX認證為汽車行業內的信息安全評估提供了統一且有約束力的標準,評估結果得到其他TISAX參與者的共同認可,從而實現行業企業之間的安全互信;
2、避免多次檢查降低管理成本:TISAX認證基于統一的VDA-ISA安全評估目錄和標準,獲得TISAX標簽后,通常每三年只需要進行一次TISAX評估;
3、提升安全意識:員工的行為對公司內部安全有重大影響,通過TISAX能夠有效提高員工安全意識與能力;
4、與互信領域延伸:TISAX的審核對象一從傳統汽車產業鏈零部件供應商以及汽車市場研究、保險配套服務公司,擴展到自動駕駛、互聯網、車聯網研發類的高科技公司以及提供ICT支持相關服務(云計算、大數據分析和運營)的公司。通過TISAX認證,成為了組織滿足汽車行業乃至Mobility領域特定信息安全需求的強有力證明。
八、關于企航顧問
企航顧問汽車供應鏈服務項目有:
企航顧問在汽車供應鏈項目上的優勢:
1、4,500+ 汽車整車及零部件企業TISAX、ISO26262、ASPICE、VDA6、IATF16949全過程輔導;
2、10,000+ 培訓企業客戶(內訓+公開課+游學+研修);
3、100,000+ 課時TISAX、ASPICE、ISO26262、AIAG核心工具、VDA-x、CQI-x、BIQS、Q1標準及內審員授課經驗;
4、東風汽車有限公司連續9年華東地區唯一指定咨詢合作伙伴;
5、國家認證認可監督管理委員會(CNCA)首批備案之16949、EMS、OHSMS顧問機構;
6、中國認證認可協會(CCAA)理事單位、上海市認證協會(SCA)理事單位;
7、全國六西格瑪推行工作委員會(CCPSS)委員單位;
