TISAX® - 汽车行业信息安全
保护原型等机密信息,保护品牌声誉并建立客户忠诚度。
在一个崇尚和追求创新的环境中,成功依赖于多方参与,安全的信息交换至关重要。汽车行业的供应链长而复杂,需要一种“生态系统化”的信息安全方法。
在数字时代,汽车供应商,营销公司和其他相关方都有信息安全的需求。首要需求是保护:
- 项目或设计信息、原型样件、或秘密投资计划
- 与数字化新概念、开发自动汽车驾驶相关的大数据和过程数据
- 供应链网络内的互联
- 顾客的隐私数据
TISAX
TISAX(Trusted Information Security Assessment eXchange)是针对汽车行业需求的一种基于成熟度的信息安全评估方法。评估是特定整车制造商提出的必须要求,主要适用于一级和二级供应商, 但也可扩展到更复杂的供应链。
方案目标:
- 为汽车行业建立一个通用的安全等级
- 确保对评估的一致认可,以降低制造商和供应商的成本、工作量和复杂性
- 确保评估的可比性和质量
- 交流最佳实践和经验教训
- 让每个参与者决定将结果透露给谁以及细节程度
TISAX结合了德国Verband der Automobilindustrie(VDA)的以往信息安全规则(ISA)和ISO/IEC 27001的附录A(技术控制)以及一些隐私要求。
TISAX® vs ISO/IEC 27001
TISAX更关注于信息安全管理体系标准ISO/IEC 27001的关键要素,尤其关注汽车行业的特定要素。
主要区别:
| ISO/IEC 27001 | TISAX |
| 管理体系标准 | 关注与合作伙伴相关的信息安全流程和组成部分 |
| 通过/不通过方法 | 成熟度级别方法 |
| 认证前范围是可以定义的 | 范围是固定的 |
| 基于公司的风险分析 | 基于VDA-ISA工作组的风险分析 |
| 认证公司颁发证书 | TISAX颁发标签并交流注册信息 |
| 年度审核和3年换证审核 | 3年有效期,没有年度评估 |
获得评估后的优势
除了作为某些制造商的商业贸易要求之外,TISAX评估也有助于建立供应链信任。参与的供应商可通过以下方式获益:
- 获得汽车制造商的认可
- 防止信息安全漏洞和网络攻击
- 赢得客户信任
- 识别和解决风险
- 对信息安全流程获得尽职认可
- 通过ENX交流和分享评估结果
如何获得评估
参与TISAX评估的公司必须在ENX注册。
这一过程是分阶段进行的:
- 关注
了解TISAX的要求。 - 准备
在TISAX网站上注册,选择贵司的评估机构,并为审核做准备。包括自我评估,以衡量贵司的符合性和准备情况 。 - 评估
视贵方符合远程评估(二级)或现场评估(三级)条件的情况,确定评估的具体展开形式,评估包括面谈、文件评估、澄清可能的发现和下一步的工作内容。 - 纠正行动计划和跟踪
准备一份纠正行动计划(CAP),以消除差距,并提交给评估提供方。双方通过沟通和讨论,评估CAP有效性,并完成TISAX报告。 - 结果的交流
评估提供者将TISAX报告上传到ENX平台,被评估公司决定向谁分享评估结果。ENX向被评估的公司颁发TISAX标签。
DNV是经过批准的TISAX供应商,在全球范围内,通过DNV的当地办事处和评估师网络,为TISAX提供评估服务。
ENX维护评估提供者标准和评估要求(TISAX ACAR) 。它批准评估提供者,并监测执行质量和评估结果。ENX由TISAX委员会支持,该委员会由制造商、供应商和协会的代表组成。