为推动成员企业符合信息安全标准,德国汽车工业协会 (VDA) 多年前就基于ISO27000系列标准建立了VDA-ISA(Information Security Assessment)信息安全评估标准。
之前,汽车行业成员多将VDA ISA用于其内部目的,对于信息安全审核,特别是服务提供商和供应商的审核,经常由公司自己进行。为进一步推动企业(例如零部件厂商,供应商,服务商)在满足不同相关方(主要是汽车整车制造商)的VDA-ISA信息安全评估时,其评估结果能够进一步相互认可,交换和信任,从而减少不同整车制造商的频繁审核。
VDA于2017年联合ENX推出新的"可信信息安全评估交换Trusted Information Security Assessment Exchange (TISAX)"机制,此机制可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。目前主流德国主机厂已强制要求通过TISAX认证才能够和他们交换数据。
TISAX评估流程?
TISAX可信信息安全评估交换评估流程的有关内容,如下:
1、在TISAX平台注册,获取ID,选择审核供应商;
2、与客户确认评估范围及评估等级、简化集团评估(如有可能)和签订合同;
3、选择评估机构并准备相关的自评估文件。准备过程中,也可视情况获得相应的咨询与培训服务;
4、非现场审核(AL1基于文档的评估)或现场审核(AL2);
5、现场审计(AL3);
6、问题整改:末次会议后9个月内,需完成所有的问题整改,并视情况完成后续的现场跟踪评审。认证机构会完成蕞终的评估报告;
7、认证机构在TISAX网站上上传蕞终的评估报告,并申请TISAX标签;
8、根据被审计公司的明确授权,与其他选定的TISAX参与者交换审计结果信息。