背景
眾所周知汽車行業(yè)是一個擁有廣泛而復(fù)雜的供應(yīng)鏈的行業(yè)�,其擁有整車制造商�,不同層級的零部件供應(yīng)商等眾多企業(yè),在這個鏈條上�,其中任何一家企業(yè)的網(wǎng)絡(luò)安全問題不管是數(shù)據(jù)泄密還是內(nèi)外部攻擊都有可能導(dǎo)致對上下游整個供應(yīng)鏈造成巨大影響,任何一個企業(yè)都不能獨善其身����,需要整車制造商及其上游所有企業(yè)都能協(xié)調(diào)一致采取共同行動應(yīng)對日趨嚴(yán)峻的網(wǎng)絡(luò)安全威脅�����。
德國汽車工業(yè)協(xié)會 (VDA) 多年前就推動成員企業(yè)符合信息安全標(biāo)準(zhǔn)����,很多年前建立VDA-ISA信息安全評估標(biāo)準(zhǔn)���,于2017年聯(lián)合ENX推出新的”可信信息安全評估交換“Trusted Information Security Assessment Exchange (TISAX) ”機(jī)制��,此機(jī)制推動企業(yè)(例如零部件廠商��,供應(yīng)商���,服務(wù)商)在滿足不同相關(guān)方(主要是汽車整車制造商)的VDA-ISA信息安全評估時,其評估結(jié)果能夠相互認(rèn)可����,交換和信任,從而減少不同整車制造商的頻繁審核��。
TISAX運(yùn)作模式
此圖展示了TISAX運(yùn)行模式����,通常大型汽車整車制造商例如大眾����,戴姆勒�,寶馬都會要求其供應(yīng)鏈企業(yè)和相關(guān)服務(wù)方必須獲得TISAX資質(zhì)才與其建立業(yè)務(wù)聯(lián)系,各類企業(yè)需要到VDA和ENX注冊成為TISAX機(jī)制參與方�����,通過由VDA/ENX授權(quán)認(rèn)證的審核服務(wù)機(jī)構(gòu)(例如德勤)執(zhí)行審核���,審核結(jié)果會發(fā)布在TISAX平臺上�����,一旦發(fā)布后TISAX的其他參與方可以在平臺上進(jìn)行訪問和查閱其結(jié)果,通過這些步驟建立起相互共享�����,相互信任的平臺機(jī)制�����。
TISAX審核服務(wù)內(nèi)容
在具體執(zhí)行TISAX審核之前需要企業(yè)與授權(quán)認(rèn)證審核服務(wù)機(jī)構(gòu)(例如德勤)確定TISAX審核的對象,審核的范圍和審核的程度�����。
審核對象:是指企業(yè)組織范圍��,部門范圍����,物理地點等范圍;
審核范圍:是指標(biāo)準(zhǔn)范圍����,壓縮范圍還是擴(kuò)展范圍;請注意壓縮范圍是無法獲得TISAX審核標(biāo)簽的�;
審核級別:分為3個級別,不同的審核級別是由參與方期望達(dá)到的保護(hù)級別所決定的�����,TISAX區(qū)分三種不同的“保護(hù)級別”(正常����,高和非常高),其對應(yīng)AL1��,AL2和AL3的審核級別;如果只是AL1級別的審核��,不需要外部審核方參與企業(yè)執(zhí)行自我評估即可�����,但注意此級別無法獲得TISAX標(biāo)簽���;企業(yè)通常都需要外部認(rèn)證審核方(例如德勤)執(zhí)行AL2或AL3級別審核從而實現(xiàn)高和非常高的保護(hù)級別��;
對于TISAX審核時的具體技術(shù)標(biāo)準(zhǔn)依據(jù)是VDA-ISA標(biāo)準(zhǔn)��,這個標(biāo)準(zhǔn)是VDA組織基于ISO/IEC 27不同信息安全相關(guān)標(biāo)準(zhǔn)定制而來�,主要包括信息安全體系����,第三方聯(lián)系,數(shù)據(jù)保護(hù)����,原型保護(hù)等四個領(lǐng)域��,包括多個控制檢查點組成����。
TISAX認(rèn)證的價值
通過TISAX認(rèn)證企業(yè)�,能夠獲取以下效益:
滿足外部需求方直接要求���,行業(yè)內(nèi)相互認(rèn)可:所有VDA成員和OEM都需要TISAX認(rèn)證���,TISAX認(rèn)證為汽車行業(yè)內(nèi)的信息安全評估提供了統(tǒng)一且有約束力標(biāo)準(zhǔn),評估結(jié)果得到其他TISAX參與者共同認(rèn)可從而實現(xiàn)汽車行業(yè)企業(yè)之間安全互信�;
避免多次檢查,降低管理成本:TISAX認(rèn)證基于統(tǒng)一的VDA-ISA安全評估目錄和標(biāo)準(zhǔn),通常每三年只需要進(jìn)行一次TISAX評估��;
提升員工安全意識���,員工是公司信息安全保護(hù)的重要資源與手段�,他們的行為對公司內(nèi)部的安全有重大影響�,通過TISAX提高員工安全意識與能力;
