一、什么是TISAX?
TISAX的英文全称是“Trusted Information SecurityAssessment Exchange (TISAX)”,直译为可信信息安全评估交换。TISAX作为汽车行业共同认可信任的一个信息安全能力的评估结果,进一步推动行业上下游企业(例如零部件厂商,供应商,服务商)在满足不同相关方(主要是OEM)的VDA-ISA信息安全评估的同时,其评估结果能够进一步相互认可,交换和信任,从而减少不同OEM的频繁审核。
二、获得 TISAX 认证的价值:
1. 获得认证就满足了客户方的直接要求;
2.通过TISAX的导入和运行,可以很好地提升员工的安全意识和能力。员工的行为对公司内部的安全有重大影响,员工的安全意识和能力的提升,无疑可以更好地增强企业的竞争力;
3. 行业内相互认可,可以蕞大程度的节省时间和管理成本:所有 VDA 成员和 OEM 都需要获得 TISAX认证,TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准,评估结果得到其他TISAX参与者共同认可从而实现汽车行业企业之间的安全互信。
认可流程:
1. OEM确定评估级别,例如原型保护、数据保护等;
2. 申请企业需要在ENX网站进行注册,并获得注册号;
3. 第三方审核机构审查文件,然后进行2级远程评估或者3级现场评估;
4. 编制报告并向认证组织阐述评估结果;
5. 认证组织根据评估结果制定改进方案,并在有效期内提交整改结果;
6. 在交换平台上形成蕞终报告。
审核注意事项:
5.1 在执行 TISAX 审核之前需要企业与授权认证审核服务机构确定 TISAX 的审核对象,审核范围和审核级别。审核对象:是指企业组织范围,部门范围,物理地点等范围;审核范围:是指标准范围,压缩范围还是扩展范围;如果只是 AL1级别的审核,不需要外部审核方参与企业执行自我评估即可,但注意此级别无法获得 TISAX 标签;因 此企业通常都需要外部认证审核方执行AL2 或 AL3 级别审核从而实现高和非常高的保护级别;
5.2 对于 TISAX 审核时的具体技术标准的依据是 VDA-ISA 标准,这个标准是 VDA 组织基于 ISO/IEC 27XXX不同信息安全相关标准定制而来,其中主要包括信息安全体系,第三方联系,数据保护,原型保护等四个方面,包括多个控制检查点组成。
评估的基础是 VDA 信息安全评估(ISA)调查问卷,由 VDA 信息安全委员会创建和维护。它可以从 VDA网站下载德语或英语。
5.3 对于拥有多个地点的公司,常规 TISAX 评估流程可能非常广泛。在某些条件下,我们提供了另一种选择“简化群体评估”(SGA)。简化的小组评估是 TISAX 评估过程的一个特例。如果满足前提条件, 与常规 TISAX评估过程相比,它可以减少工作量。
TISAX咨询的流程:
