400-677-1258
2022/09/11
2022年9月上旬,企航顧問啟動了泰信電機(蘇州)有限公司的TISAX AL3(信息安全+原型保護)可信信息安全評估及交換機制咨詢項目。
TISAX相關(guān)專業(yè)知識請閱讀企航顧問原創(chuàng)推文:
1、企航顧問TISAX可信信息安全評估交換機制服務(wù)介紹
2、TISAX與ISO/IEC27001的比較研究
3、TISAX(可信信息安全評估及交換機制)合規(guī)體系建設(shè)方案
泰信電機(蘇州)有限公司為韓國獨資企業(yè),專業(yè)生產(chǎn)壓縮機電機、吸塵器電機、汽車電機等。
德國汽車工業(yè)聯(lián)合會(VDA)多年前建立了VDA–ISA 信息安全評估標(biāo)準(zhǔn)來推動其成員企業(yè)符合信息安全標(biāo)準(zhǔn),又于2017年聯(lián)合歐洲汽車工業(yè)通信網(wǎng)絡(luò)協(xié)會(ENX)推出新的可信信息安全評估及交換機制TISAX (TrustedInformation Security Assessment Exchange ),此機制能減少不同汽車制造商的頻繁審核,推動企業(yè)之間的相互認(rèn)可、交換和信任,目前已經(jīng)逐漸擴展到所有的德國乃至歐洲汽車行業(yè),成為一種評價供應(yīng)商信息安全能力的通用評估和交換機制。
TISAX代表可信信息安全評估交換,它被認(rèn)為是汽車行業(yè)信息安全的錨。VDA和ENX協(xié)會制定了一致的質(zhì)量標(biāo)準(zhǔn)來提高信息安全性。TISAX規(guī)定了汽車整個供應(yīng)鏈上的評估標(biāo)準(zhǔn)、評估方法和評估信息交換標(biāo)準(zhǔn),適用于所有相關(guān)方。這是一個用于跨公司交換汽車行業(yè)信息安全測試結(jié)果而專門開發(fā)的在線平臺。公司通過在平臺上激活結(jié)果就可以通知其直接業(yè)務(wù)合作伙伴其信息安全符合TISAX。
企航顧問是國內(nèi)最早開展TISAX培訓(xùn)和輔導(dǎo)的專業(yè)機構(gòu),也是目前輔導(dǎo)TISAX項目最多的顧問機構(gòu)之一。了解更多TISAX知識,可點擊閱讀企航顧問原創(chuàng)推文:
1、企航顧問TISAX?可信信息安全評估交換機制服務(wù)介紹;
2、TISAX(可信信息安全評估及交換機制)合規(guī)體系建設(shè)方案;
建設(shè)TISAX合規(guī)體系的基本步驟
0、內(nèi)部啟動
TISAX考察的是組織內(nèi)不同領(lǐng)域的信息安全能力,這必定是涉及多部門的合作,因此在TISAX合規(guī)工作啟動之初,管理層的溝通、項目負責(zé)人的匯報是必不可少的。在得到管理層的支持后,應(yīng)當(dāng)拉通各個信息安全相關(guān)的部門,組建TISAX合規(guī)體系建設(shè)項目組,如業(yè)務(wù)部門、IT部門、內(nèi)部支持性部門等。項目組一般包含以下部門:
1、業(yè)務(wù)部門包括對車機、樣車等進行項目管理,開發(fā),測試和運維的所有職能。每個職能需指定一名同事作為對應(yīng)TISAX 要求的負責(zé)人;
2、IT部門包括服務(wù)器,網(wǎng)絡(luò),信息安全等部門,作為IT基礎(chǔ)設(shè)施和內(nèi)部信息安全控制的接口;
3、內(nèi)部支持性部門主要包括采購,人力資源,安保,法務(wù),合規(guī)等部門,作為人力資源,物理安全等控制域的接口。
值得注意的一點:企業(yè)在準(zhǔn)備審核的過程中常常認(rèn)為,只需要安全團隊的核心成員參與準(zhǔn)備,了解TISAX要求就足夠應(yīng)審。這是一個很危險的想法,因為TISAX考察的是企業(yè)信息安全體系的整體成熟度,包括在運行過程中與業(yè)務(wù)的結(jié)合度,因此在項目過程中以培訓(xùn)等形式對組織內(nèi)所有成員進行宣貫是必要的。
1、現(xiàn)狀摸底
在確定TISAX合規(guī)體系建設(shè)項目組的部門組成后,項目負責(zé)人應(yīng)召集一個內(nèi)部啟動會議,邀請各部門派遣代表理解項目背景、實施周期、各個部門的職責(zé)分工,并最好建立一個以周為單位的溝通機制,定期更新項目進展。
如條件允許,項目負責(zé)人可組織核心團隊成員參加企航顧問舉辦的TISAX培訓(xùn),了解TISAX的標(biāo)準(zhǔn)要求與審核流程,然后依據(jù)TISAX的審核標(biāo)準(zhǔn),共同進行一輪內(nèi)部摸底。根據(jù)各個部門的職責(zé),勾選對應(yīng)的TISAX控制域,填寫當(dāng)前的安全控制成熟度,充分了解當(dāng)前差距,評估后續(xù)需要開展的工作;如,是否引入的其他內(nèi)部資源,請企航顧問提供輔導(dǎo),購買新的軟硬件設(shè)備等。基于初步評估的結(jié)果,向管理層匯報后續(xù)的工作計劃,人員安排和資金投入。
2、體系建立
體系建設(shè)項目需要將企航顧問的實踐經(jīng)驗與企業(yè)的實際情況相結(jié)合。這里再次強調(diào):在項目初期,應(yīng)明確各安全控制域的負責(zé)人,確保項目組成員了解TISAX的戰(zhàn)略目標(biāo),通過統(tǒng)籌安排、協(xié)同作戰(zhàn),才能最終獲得TISAX標(biāo)簽。
在確定了項目啟動后,項目負責(zé)人與企航顧問開始密切的交流和合作,在企航顧問的配合下完成差距分析、體系建設(shè)與運行工作。
1、全面“診斷”
根據(jù)現(xiàn)狀摸底中各個控制域的職責(zé)分工, 通過多輪訪談,幫助企航顧問充分了解企業(yè)的業(yè)務(wù)需求和安全現(xiàn)狀,逐條對應(yīng)已有的制度流程或執(zhí)行記錄。同時,需要企航顧問對各個不符合項的控制要求進行解讀,制定詳細的整改計劃,明確整改責(zé)任人,整改完成時間,整改審批人等。
2、制度流程完善
在制度流程補足過程中,企業(yè)需要充分輸出已有信息安全的制度、策略、流程。在輔導(dǎo)機構(gòu)的協(xié)助下,依據(jù)TISAX的要求和當(dāng)前文檔的差距,進行文檔體系建設(shè)、成立信息安全小組。大多數(shù)企業(yè)都面臨的一個常見風(fēng)險是,業(yè)務(wù)流程中已經(jīng)有部分安全管控措施,但是缺少固化流程和方案。因此企業(yè)需要協(xié)同輔導(dǎo)機構(gòu)一起制定制度化、規(guī)范化、標(biāo)準(zhǔn)化的業(yè)務(wù)流程,使其能滿足信息安全要求、避免信息安全風(fēng)險的發(fā)生。
體系編寫完畢后,項目負責(zé)人會進行內(nèi)部的評審,確保制度流程與當(dāng)前的業(yè)務(wù)相契合。經(jīng)過多輪評審后,就可以發(fā)布到企業(yè)的制度文檔管理系統(tǒng)。體系發(fā)布后,通過培訓(xùn)在企業(yè)內(nèi)部 “官宣”信息安全小組、介紹文檔體系并進行信息安全意識貫宣,為接下來將信息安全體系落實到日常業(yè)務(wù)工作中奠定基礎(chǔ);依據(jù)以往的經(jīng)驗,企業(yè)日常運行中,常有以下不足之處,需要在體系推行過程中吸取經(jīng)驗:
1、體系運行過程中,企業(yè)需要在關(guān)鍵的業(yè)務(wù)流程中,嵌入信息安全的要求,并且在實施過程中留下實施有效性的證明。企業(yè)往往缺少對信息資產(chǎn)全生命周期的管理視角,如:企業(yè)在內(nèi)/外部員工賬號開通、授權(quán)、權(quán)限變更、賬號關(guān)閉等業(yè)務(wù)流程中,是否進行權(quán)限審批、授權(quán)是否設(shè)置有效期、是否及時關(guān)閉賬號,是否定期對賬號的使用狀態(tài)進行審核等,在此基礎(chǔ)上能否提供書面證據(jù)證明以上行為的有效實施;
2、往往企業(yè)在已有管控策略的情況下,落地模式尚未成型,如未符合要求存在使用共享賬號的情況,需要加強信息安全體系落實過程中加強監(jiān)督。
體系運行一段時間后,組織需要進行內(nèi)部審核、管理評審,針對信息安全體系文檔適用性、推行有效性進行驗證,保證信息安全體系的持續(xù)有效運行。
3、技術(shù)工具加固
TISAX對于數(shù)據(jù),應(yīng)用系統(tǒng)和網(wǎng)絡(luò)等都有較高的技術(shù)保護要求,數(shù)據(jù)傳輸存儲的加密,應(yīng)用系統(tǒng)的高可用性,網(wǎng)絡(luò)的冗余及帶外管理等安全要求,都需要結(jié)合企業(yè)自身情況,通過技術(shù)手段或者工具進行加固。TISAX對于樣件保護的物理環(huán)境、訪問控制有許多安全要求,門窗安全設(shè)計、監(jiān)控設(shè)備、報警裝置、門禁/門鎖等設(shè)施的現(xiàn)場情況。往往沒有涉及樣件生產(chǎn)(含有工廠)的企業(yè),如進行車聯(lián)網(wǎng)業(yè)務(wù)的企業(yè),在這方面差距較大,需要結(jié)合審核條款,進行實施改造,準(zhǔn)備專門的樣件保護空間、設(shè)立門禁、門窗并做好封閉防盜處理。
4、應(yīng)審準(zhǔn)備
針對審核條款對應(yīng)的文檔記錄,制作清晰的證據(jù)文件目錄結(jié)構(gòu),提前準(zhǔn)備好記錄,指定各領(lǐng)域的負責(zé)人;在應(yīng)審前進行培訓(xùn)和演練,互相挑戰(zhàn)和提問,考慮各種可能遇到的類似問題。同時,在正式審計前,與選定的外審機構(gòu)進行審計計劃、待準(zhǔn)備材料的溝通。一切準(zhǔn)備就緒后,正式應(yīng)審的前一天,再次召開全員會議,確保大家進入最佳狀態(tài),迎接審核!
關(guān)于企航顧問
企航顧問在汽車供應(yīng)鏈領(lǐng)域提供的服務(wù)有:
1、IATF16949、VDA6.1、VDA6.2、VDA6.4:汽車工業(yè)質(zhì)量管理體系咨詢和培訓(xùn)
2、TISAX:可信信息安全評估交流機制咨詢和培訓(xùn)
3、ASPICE:汽車軟件過程改進及能力評定咨詢和培訓(xùn)
4、ISO26262:汽車功能安全咨詢和培訓(xùn)
5、ISO/SAE 21434:道路車輛 信息安全工程咨詢和培訓(xùn)
6、MMOG/LE:全球物料管理運作指南/物流評估培訓(xùn)和輔導(dǎo)
7、BIQS、QSB+、Ford-Q1、Formel-Q:OEM汽車供應(yīng)鏈驗廠輔導(dǎo)
8、CQI-x:熱處理、電鍍、涂裝、焊接、錫焊、模塑、鑄造、釬焊等特殊工藝過程控制與管理的培訓(xùn)和咨詢
9、APQP、FMEA、MSA、SPC、PPAP:汽車工業(yè)五大核心工具的培訓(xùn)和輔導(dǎo)
10、其它 ......
企航顧問在汽車供應(yīng)鏈項目上的優(yōu)勢:
1、4,000+ 汽車整車及零部件企業(yè)全程輔導(dǎo)獲得16949(ISO/TS or IATF)證書
2、4,500+ 汽車整車及零部件VDA6.1&6.4\16949\ISO26262\ASPICE\TISAX全程輔導(dǎo)
3、6,000+ 客戶包括眾多國際及國內(nèi)知名企業(yè)全過程咨詢經(jīng)驗
4、10,000+ 培訓(xùn)企業(yè)客戶(內(nèi)訓(xùn)+公開課+游學(xué)+研修)
5、100,000+ 課時AIAG核心工具、VDA-x、CQI-x、BIQS、MMOG/LE、Q1及內(nèi)審員授課經(jīng)驗
6、東風(fēng)汽車有限公司連續(xù)9年華東地區(qū)唯一指定咨詢合作伙伴
7、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(CNCA)首批備案之16949、EMS、OHSMS顧問機構(gòu)
8、中國認(rèn)證認(rèn)可協(xié)會(CCAA)理事單位、上海市認(rèn)證協(xié)會(SCA)理事單位
9、全國六西格瑪推行工作委員會(CCPSS)委員單位
