TISAX(Trusted Information Security Assessment Exchange)蕞早起源于大众内部对其合作伙伴的信息安全审计,目的是对敏感信息的共享和保护。目前已扩展到所有的德国汽车主机厂(宝马、戴姆勒等)和各级供应商,成为一种通用的评估和交换机制,目的是为了实现德国汽车行业信息安全评估的相互接受,全球所有供应商(包括零部件厂商、外围服务商等)均应建立和维持信息安全管理体系,并通过与之相应级别的TISAX审计,作为新项目的准入条件。
01
TISAX过程的三个步骤
如果收到顾客的TISAX审核要求,组织可以按照以下三个步骤进行:
第一步:注册
收集组织与TISAX审计相关的基本信息
第二步:审核
由审核员按照审核表进行评估
第三步:信息交换
组织与其顾客、合作伙伴等分享评估结果
注册
被审核组织应完成ENX平台的信息注册。注册的网址:https://portal.enx.com/en-US/TISAX/。
信息注册的主要目的,是收集审核相关的信息,比如被审核组织的公司名称、地址等。
2
审核
关于第二步:审核,其包含4个子步骤。
a)审核准备:被审核组织应导入运行信息安全管理体系,并根据VDA ISA目录进行相关资料的收集等准备工作。
b)选择审核机构:如果被审核方认为自己已经具备审核的条件,那么就可以选择TISAX的审核机构了。
c)信息安全审核:审核机构会根据被审核组织顾客的要求,确定审核的范围。如果首ci审核,被审核组织没有成功通过,那么就需要后续附加的步骤。
d)审核结果:如果被审核组织成功通过了审核,由审核机构上传审核结论和报告到ENX平台,从而取得TISAX Label。
VDA ISA目录是TISAX模型的基础,该模型可确保跨公司认可评估结果。VDA ISA目录于2020年7月发布了5.0版本。从2020年10月1日起,VDA ISA目录5.0版将用于新的TISAX评估。在此之前,VDA ISA目录4.1.1版仍然有效。对于正在进行的TISAX评估,也可以使用以前的目录(版本4.1.1)(直到2021年3月31日)。
蕞新版的VDA ISA 下载地址:https://www.vda.de/en/topics/safety-and-standards/information-security/information-security-requirements。
信息交换
为了向顾客展示被审核组织信息安全管理体系有能力保护顾客的保密数据,满足顾客的要求,那么就需要把TISAX审核的结果和证据与顾客分享。
ENX提供了这个信息交换的平台。
TISAX的报告,包含五大内容:
A.审核相关的信息
B.审核结果概览
C.审核结果总结
D.详细的审核结果
E.VDA ISA成熟度等级
不同分享等级,对应不同的报告内容。“A审核相关的信息+标签Label”一般情况下就能够满足大多数顾客的要求。
随着数字化的发展,汽车企业面临的信息安全挑战越来越大。企业需要建立信息安全管理体系,以确保数据的安全性。通过TISAX的审核,可以证明企业信息管理管理体系的有效性,而且一次审核的结果,可以分享给多家顾客,提高了效率。
如果想了解TISAX的相关信息,欢迎贯标集团梁老师联系。