2022/08/29
2022年8月下旬,企航顧問啟動了上海鷹峰電子科技股份有限公司的TISAX AL3(信息安全+原型保護)可信信息安全評估及交換機制咨詢項目。
TISAX相關專業知識請閱讀企航顧問原創推文:
1、企航顧問TISAX可信信息安全評估交換機制服務介紹
2、TISAX與ISO/IEC27001的比較研究
3、TISAX(可信信息安全評估及交換機制)合規體系建設方案
上海鷹峰電子科技股份有限公司成立于2003年9月,是一家集研發、制造、銷售、服務于一體的電力電子無源器件行業的高新技術企業。主要服務于西門子、ABB、施耐德、艾默生、日立、比亞迪等眾多知名品牌客戶。
信息安全對每個企業或組織來說都是需要的,所以信息安全管理具有普遍的適用性,不受地域、產業類別和公司規模限制。VDA(德國汽車工業聯合會)于2017年聯合ENX(歐洲汽車工業通信網絡協會)推出針對汽車行業的“可信信息安全評估及交換 Trusted Information Security Assessment Exchange(TISAX?)”機制,該機制進一步的推動企業在滿足不同相關方(主要是汽車整車制造商)的VDA-ISA(Information Security Assessment)信息安全評估,其評估結果能夠進一步相互認可、交換和信任,從而減少不同整車制造商的頻繁審核。
TISAX 審核內容
信息安全策略和組織Information Security Policies and Organization
內容涉及信息安全策略的創建、發布或分發及定期審查,資產管理,信息安全風險管理。
人力資源Human Resources
內容涉及內外部員工遵循信息安全規定的程度,內外部員工遵守信息安全策略的程度。
物理安全和業務連續性Physical Security and Business Continuity
內容涉及對敏感信息處理設施的安全區域的定義、保護和監測,對自然災害、故意襲擊或事故產生影響的應對,信息安全要求和危機事件下的ISMS的連續性的界定、實施、核實和評估。
身份與訪問管理Identity and Access Management
內容涉及訪問IT系統政策和程序的適用性,特權用戶和技術賬戶的分配和使用的監督審查,用戶遵守創建和處理機密信息約束性政策的情況,授權人員的信息和應用程序的獲取,與其他組織共享的環境中的數據分離。
IT安全/網絡安全IT Security / Cyber Security
內容涉及密碼學,操作安全,系統采購、需求管理和開發。
供方關系Supplier Relationships
內容涉及供應商獲得公司信息資產時的風險控制,供應商服務的定期檢測、審查和評估。
合規Compliance
內容涉及相關法律(特定國家)法規和合同要求的符合情況,個人身份信息的保護,獨立第三方定期或發生重大變化時對ISMS的審核。
原型件保護Prototype Protetion
除物理及環境要求、組織架構要求外,內容還涉及整車及零配件處理(車輛或部件在運輸過程中根據客戶要求的保護情況,停放/存放需要保護車輛或部件的實施情況),測試車要求(預先定義的偽裝法規的實施情況,測試場地的保護措施,公開批準試駕的保護措施),活動拍攝及拍照要求(涉及車輛、部件或配件的演示和活動的安全要求,涉及車輛、部件或配件的膠片和照片拍攝的保護措施)。
數據保護Data Protection
內容涉及數據保護的實施程度,個人身份數據處理的合法性保障措施,內部或工作流程在數據保護法規下進行,有關處理流程在何種程度上記錄了其可受理性。
TISAX標簽
根據VDA要求,企業首先需要和主機廠確定TISAX的評估范圍Assessment Scopes、評估目標Assessment Objective和評估級別Assessment Level,并在ENX(第三方平臺)上完成上述信息的注冊,然后選擇具備TISAX評估資質的評估機構開展信息安全評估,并最終出具TISAX評估評估報告,報告經評估機構和企業雙方簽字后,獲取TISAX標簽(TISAX Label),作為供應商和主機廠申請采購訂單、項目合作、系統開賬號、供應商資格延續的必要條件。
很多國內企業在這方面受傳統體系認證的影響,覺得TISAX也是必須先做咨詢后拿證書,這是一個很大的誤區,TISAX就是德國汽車行業委托第三方評估機構開展的一項信息安全評估,最終得到的是一份評估報告(三年有效),并不存在所謂的證書,TISAX Label是一個在 ENX 第三方平臺上可供行業內共享的評估記錄,這點類似國內基于《網絡安全法》開展的網絡安全等級保護測評,測評機構出具的是一份測評報告,TISAX評估機構出具的也是一份評估報告,而TISAX Label類似公安部門發的備案證明。
目前現行TISAX一共定義了8個標簽。企業通過申請,通過幾個,就將獲得幾個標簽。目前標簽包括:
2個信息安全標簽(INFO HIGH,INFO VERY HIGH);
2個數據保護標簽(DATA,SPECIAL DATA);
4個原型保護標簽(PROTO PARTS,PROTO VEHICLES,TEST VEHICLES,EVENTS SHOOTINGS)。
TISAX 評估方式
TISAX評估結論將嚴格按照VDA-ISA成熟度級別的方法,采用成熟度得分來表示。每一個控制項的成熟度得分范圍在0-5之間(可以包括不適用項),由評估機構來評價。
1、不完整的成熟度為0:沒有過程,或者過程不起作用、不適合實現目標;
2、起一定作用的成熟度為1:遵循未記錄/未完整記錄過程,有指標達成目標,并由證據證明預期的基本實踐已經實施;
3、勉力應付的成熟度為2:遵循實現目標的過程,過程文件和過程實施證據可用。
過程實施控制:確定 目標、計劃并監控實施、適時調整、定義分配和實施職責和權限、確定分配使用資源、管理相關方接口及溝通到位。
工作成果管理:確定工藝要求、定義工作成果的文件和控制要求、對工作成果進行識別和控制、根據計劃對工作成果進行評審并適時調整。
4、已獲確認的成熟度為3:遵循集成到整個系統中的標準流程。對其他過程的依賴被記錄下來,并創建合適的接口。有證據表明,這一過程在很長一段時間內得到了持續和積極的使用。
過程定義:定義標準過程、確定順序和相互作用、能力和角色、基礎設施和環境、監控有效性和適宜性。
過程部署:部署、分配角色職責權限、員工有經驗被培訓、提供資源、維保、收集數據證明有效性和適宜性。
5、可預測的成熟度為4:同3級,另外流程可被測量和控制;
6、使優化的成熟度為5:同4級,另外有專門的資源負責持續積極改進。
在評分0-5分的基礎上,TISAX還使用了cut back機制,每個大控制點的目標成熟度都是3分,為了確保低分項不會被高分項拉高最終評分,實際得分超過目標成熟度的分數均會被折算為目標成熟度。具體操作如下圖所示,當實際成熟度評分為4分或5分時,將調整為3分;實際成熟度評分為1-3分的將維持原分數不變。
取得TISAX標簽的前提是:需要達到規定的成熟度水平,并且沒有任何偏差項(被評估方必須基于發現和偏差進行及時整改,并在規定時間內由審計方進行跟進評估和確認)。
TISAX評估分為三個階段:初始評估,糾正措施計劃評估和后續評估。整個評估過程最長不能超過9個月。如果在此規定時間內,沒有完成評估流程,則必須重新申請評估流程。
TISAX 流程三大步驟
Step1注冊:
TISAX有別于常見體系的地方之一,可以把TISAX看成個論壇、朋友圈,注冊過程需明確范圍、業務場景、評估級別(即E3)、信息安全管理現狀(如ISMS建設或認證)等信息,注冊成功后可以與業務伙伴在網站上分享相關信息。
Step2 評估:
TISAX用Assessment這個詞,作用上與常見體系的Audit相差不大,有自評估、初始評估、后續評估的說法,自評估可視為內審,初始評估、后續評估可視為外審,但TISAX中后續評估不是外審的二次審核,也不是必經項,組織可以在初始評估中完全符合,進而一次性通過TISAX審核評估,獲取標簽。
Step3交換:
是TISAX關鍵功能之一,TISAX中文可翻譯為可信信息安全交換,而最后的X來自Exchange,交換的是TISAX審核評估的結果。
關于企航顧問
企航顧問在汽車供應鏈領域提供的服務有:
IATF16949、VDA6.1、VDA6.2、VDA6.4:汽車工業質量管理體系咨詢和培訓
TISAX:可信信息安全評估交流機制咨詢和培訓
ASPICE:汽車軟件過程改進及能力評定咨詢和培訓
ISO26262:汽車功能安全咨詢和培訓
ISO/SAE 21434:道路車輛 信息安全工程咨詢和培訓
MMOG/LE:全球物料管理運作指南/物流評估培訓和輔導
BIQS、QSB+、Ford-Q1、Formel-Q:OEM汽車供應鏈驗廠輔導
CQI-x:熱處理、電鍍、涂裝、焊接、錫焊、模塑、鑄造、釬焊等特殊工藝過程控制與管理的培訓和咨詢
APQP、FMEA、MSA、SPC、PPAP:汽車工業五大核心工具的培訓和輔導
其它 ......
企航顧問在IATF16949項目上的優勢:
4,000+ 汽車整車及零部件企業全程輔導獲得16949(ISO/TS or IATF)證書
4,500+ 汽車整車及零部件QS9000\VDA6.1&6.4\QSB\16949全程輔導
6,000+ 客戶包括眾多國際及國內知名企業全過程咨詢經驗
10,000+ 培訓企業客戶(內訓+公開課+游學+研修)
100,000+ 課時AIAG核心工具、VDA-x、CQI-x、BIQS、MMOG/LE、Q1及內審員授課經驗
東風汽車有限公司連續9年華東地區唯一指定咨詢合作伙伴
國家認證認可監督管理委員會(CNCA)首批備案之16949、EMS、OHSMS顧問機構
中國認證認可協會(CCAA)理事單位、上海市認證協會(SCA)理事單位
全國六西格瑪推行工作委員會(CCPSS)委員單位