一��、什么是TISAX��?
TISAX的英文全稱是“Trusted Information SecurityAssessment Exchange (TISAX)”�����,直譯為可信信息安全評估交換�����。TISAX作為汽車行業(yè)共同認(rèn)可信任的一個信息安全能力的評估結(jié)果����,推動行業(yè)上下游企業(yè)(例如零部件廠商,供應(yīng)商��,服務(wù)商)在滿足不同相關(guān)方(主要是OEM)的VDA-ISA信息安全評估的其評估結(jié)果能夠相互認(rèn)可����,交換和信任����,從而減少不同OEM的頻繁審核���。
二�����、獲得 TISAX 認(rèn)證的價值:
1. 獲得認(rèn)證就滿足了客戶方的直接要求��;
2.通過TISAX的導(dǎo)入和運(yùn)行���,可以很好地提升員工的安全意識和能力。員工的行為對公司內(nèi)部的安全有重大影響�,員工的安全意識和能力的提升,無疑可以更好地增強(qiáng)企業(yè)的競爭力����;
3. 行業(yè)內(nèi)相互認(rèn)可,可以蕞大程度的節(jié)省時間和管理成本:所有 VDA 成員和 OEM 都需要獲得 TISAX認(rèn)證,TISAX認(rèn)證為汽車行業(yè)內(nèi)的信息安全評估提供了統(tǒng)一且有約束力的標(biāo)準(zhǔn)�,評估結(jié)果得到其他TISAX參與者共同認(rèn)可從而實現(xiàn)汽車行業(yè)企業(yè)之間的安全互信。
認(rèn)可流程:
1. OEM確定評估級別�,例如原型保護(hù)、數(shù)據(jù)保護(hù)等;
2. 申請企業(yè)需要在ENX網(wǎng)站進(jìn)行注冊��,并獲得注冊號�����;
3. 第三方審核機(jī)構(gòu)審查文件�,進(jìn)行2級遠(yuǎn)程評估或者3級現(xiàn)場評估�����;
4. 編制報告并向認(rèn)證組織闡述評估結(jié)果���;
5. 認(rèn)證組織根據(jù)評估結(jié)果制定改進(jìn)方案�,并在有效期內(nèi)提交整改結(jié)果�;
6. 在交換平臺上形成蕞終報告。
審核注意事項:
5.1 在執(zhí)行 TISAX 審核之前需要企業(yè)與授權(quán)認(rèn)證審核服務(wù)機(jī)構(gòu)確定 TISAX 的審核對象���,審核范圍和審核級別�����。審核對象:是指企業(yè)組織范圍��,部門范圍�,物理地點(diǎn)等范圍;審核范圍:是指標(biāo)準(zhǔn)范圍����,壓縮范圍還是擴(kuò)展范圍;如果只是 AL1級別的審核�����,不需要外部審核方參與企業(yè)執(zhí)行自我評估即可���,但注意此級別無法獲得 TISAX 標(biāo)簽���;因 此企業(yè)通常都需要外部認(rèn)證審核方執(zhí)行AL2 或 AL3 級別審核從而實現(xiàn)高和非常高的保護(hù)級別;
5.2 對于 TISAX 審核時的具體技術(shù)標(biāo)準(zhǔn)的依據(jù)是 VDA-ISA 標(biāo)準(zhǔn)��,這個標(biāo)準(zhǔn)是 VDA 組織基于 ISO/IEC 27不同信息安全相關(guān)標(biāo)準(zhǔn)定制而來�,其中主要包括信息安全體系,第三方聯(lián)系����,數(shù)據(jù)保護(hù),原型保護(hù)等四個方面���,包括多個控制檢查點(diǎn)組成��。
評估的基礎(chǔ)是 VDA 信息安全評估(ISA)調(diào)查問卷��,由 VDA 信息安全委員會創(chuàng)建和維護(hù)�。它可以從 VDA網(wǎng)站下載德語或英語。
5.3 對于擁有多個地點(diǎn)的公司��,常規(guī) TISAX 評估流程可能非常廣泛���。在某些條件下,我們提供了另一種選擇“簡化群體評估”(SGA)����。簡化的小組評估是 TISAX 評估過程的一個特例。如果滿足前提條件����, 與常規(guī) TISAX評估過程相比,它可以減少工作量���。
TISAX咨詢的流程:
