企航顧問(wèn)TISAX可信信息安全評(píng)估交換機(jī)制服務(wù)
2022/04/21
未來(lái)是信息化時(shí)代,政府和企業(yè)越來(lái)越意識(shí)到信息安全至關(guān)重要�����。歐盟于2016年4月14日投票通過(guò)了商討四年的《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,簡(jiǎn)稱GDPR),該法案于2018年5月25日生效�。
在日趨嚴(yán)格的信息安全合規(guī)要求與層出不窮的信息安全事件下�,供應(yīng)商如何向主機(jī)廠(OME)證明其自身的信息安全能力�,如何保護(hù)主機(jī)廠的原型����、樣件、各類商業(yè)機(jī)密與客戶數(shù)據(jù)��,成為了汽車行業(yè)近年來(lái)的熱門話題���。
為推動(dòng)成員企業(yè)符合信息安全法規(guī)/標(biāo)準(zhǔn)�����,德國(guó)汽車工業(yè)聯(lián)合會(huì)(VDA)多年前就基于ISO27000系列國(guó)際標(biāo)準(zhǔn)建立了自己的信息安全評(píng)估標(biāo)準(zhǔn):VDA-ISA(Information Security Assessment)���。
VDA于2017年聯(lián)合ENX(歐洲汽車工業(yè)通信網(wǎng)絡(luò)協(xié)會(huì))推出了“可信信息安全評(píng)估交換 Trusted Information Security Assessment Exchange(TISAX?)”機(jī)制���,此機(jī)制可以實(shí)現(xiàn)汽車行業(yè)信息安全評(píng)估的相互認(rèn)可�����,并提供通用的評(píng)估和交換機(jī)制。
TISAX相關(guān)專業(yè)知識(shí)請(qǐng)閱讀企航顧問(wèn)原創(chuàng)推文:
1��、企航顧問(wèn)TISAX可信信息安全評(píng)估交換機(jī)制服務(wù)介紹
2��、TISAX與ISO/IEC27001的比較研究
3����、TISAX(可信信息安全評(píng)估及交換機(jī)制)合規(guī)體系建設(shè)方案
一���、什么是TISAX�?
TISAX可信信息安全評(píng)估交換機(jī)制是基于ISO/IEC 27001信息安全管理體系標(biāo)準(zhǔn)和VDA-ISA信息安全評(píng)價(jià)檢查表而建立的汽車行業(yè)專用信息安全標(biāo)準(zhǔn)���。TISAX 為汽車行業(yè)內(nèi)不同服務(wù)商提供了信息安全評(píng)估結(jié)果互認(rèn)的模式���,供應(yīng)商通過(guò)了該評(píng)估�����,即意味著其結(jié)果得到了所有參與方的認(rèn)可���。
1����、TISAX?的擁有者和主持者:德國(guó)汽車工業(yè)聯(lián)合會(huì)VDA�����,VDA同時(shí)控制VDA-ISA檢查表���。
2�、TISAX?的法律實(shí)體與組織者:ENX���,所有評(píng)估結(jié)果都將放在ENX平臺(tái)上。
3�����、TISAX?認(rèn)可的審核提供方:獲得認(rèn)可的第三方認(rèn)證機(jī)構(gòu)���。
TISAX為汽車行業(yè)提供了一致的評(píng)估標(biāo)準(zhǔn)(VDA-ISA)以替代之前來(lái)自各主機(jī)廠不同的標(biāo)準(zhǔn)要求�,它通過(guò)一次評(píng)估�、可供多方使用的機(jī)制,為主機(jī)廠和供應(yīng)商提供了長(zhǎng)達(dá)三年的安全標(biāo)簽,每個(gè)注冊(cè)參與者在完成審核后����,可以有選擇性的在平臺(tái)上共享審核結(jié)果����。
二�����、TISAX 評(píng)估等級(jí)��、范圍和具體要求
TISAX按照信息安全保護(hù)程度,一共分為三個(gè)級(jí)別:AL-1、AL-2(High)�、AL-3(Very High):
1��、AL-1:標(biāo)準(zhǔn)保護(hù)級(jí)別,只對(duì)企業(yè)的信息安全進(jìn)行審核,多用于企業(yè)內(nèi)部的自評(píng)估,無(wú)需審核方介入��。
2����、AL-2:高保護(hù)級(jí)別,審核方根據(jù)“高保護(hù)要求”進(jìn)行審核,審核可遠(yuǎn)程進(jìn)行,最終獲得2級(jí)標(biāo)簽�����。
3��、AL-3:極高保護(hù)級(jí)別��,通過(guò)后可獲得TISAX 3級(jí)標(biāo)簽。若企業(yè)需要審核樣件,則審核級(jí)別必須定為AL3�����。AL3級(jí)別的企業(yè)必須接受現(xiàn)場(chǎng)審核����。
需要的保護(hù)級(jí)別越高���,評(píng)估級(jí)別就越高(與評(píng)估目標(biāo)相關(guān))��。通常�����,為獲取AL-3級(jí)標(biāo)簽,則參與者必須接受現(xiàn)場(chǎng)審核����。
從具體的評(píng)估內(nèi)容來(lái)看�����,至少包括信息安全(Information Security)模塊的七個(gè)審核領(lǐng)域(信息安全策略和組織、人力資源��、物理安全和業(yè)務(wù)連續(xù)性�、身份與訪問(wèn)管理、IT安全/網(wǎng)絡(luò)安全�����、供方關(guān)系����、合規(guī))的41個(gè)控制項(xiàng),這些控制項(xiàng)主要參照ISO/IEC27001和27002標(biāo)準(zhǔn)���,并根據(jù)德國(guó)汽車行業(yè)特點(diǎn)進(jìn)行相應(yīng)的調(diào)整�。不同的供應(yīng)商根據(jù)與主機(jī)廠的業(yè)務(wù)合作�����,還可能包括對(duì)原型保護(hù)(Prototype Protection)、數(shù)據(jù)保護(hù)(Data Protection)模塊的額外控制項(xiàng)的審核���。
每一項(xiàng)控制項(xiàng)的成熟度水平(Maturity Levels)分為0~5這6個(gè)級(jí)別��,同時(shí)也考慮了不適用N/A的情況。最終分?jǐn)?shù)會(huì)根據(jù)各控制項(xiàng)的分?jǐn)?shù)進(jìn)行綜合計(jì)算�。平均分需要3分以上(目標(biāo))����。另外 ��,評(píng)估的最終結(jié)果中不能出現(xiàn)任何一處輕微不符合(<2.7低于目標(biāo)10%以上)或重大不符合項(xiàng)(<2.1低于目標(biāo)30%以上)�,需要全部關(guān)閉����。
基于ISA問(wèn)卷的評(píng)估結(jié)果將以蜘蛛圖(見(jiàn)下圖)的樣式顯示,通過(guò)此圖����,可以清楚地了解每個(gè)審核領(lǐng)域的績(jī)效���。
三����、TISAX評(píng)估流程
1、確認(rèn)信息安全范圍及目標(biāo)等����,并選擇評(píng)估機(jī)構(gòu):當(dāng)企業(yè)成功在平臺(tái)注冊(cè)TISAX審核后����,將可查詢到官方授權(quán)的機(jī)構(gòu)清單�����,選擇并確認(rèn)審核機(jī)構(gòu)�,并與其約定好期望的評(píng)估日期�。
2、文件審核:在企業(yè)確認(rèn)好認(rèn)證機(jī)構(gòu)后,機(jī)構(gòu)會(huì)要求企業(yè)提供相關(guān)資料進(jìn)行初步文件審核���。若沒(méi)有按約定時(shí)間提交,將會(huì)導(dǎo)致審核延期。
3��、現(xiàn)場(chǎng)審核:根據(jù)TISAX要求�,AL-3級(jí)別的企業(yè)必須強(qiáng)制性接受現(xiàn)場(chǎng)審核。
4、出具審核報(bào)告
5、整改跟進(jìn):糾正行動(dòng)審核和跟進(jìn)審核取決于貴司是否有不符合項(xiàng),允許在九個(gè)月內(nèi)關(guān)閉。
6、獲取TISAX標(biāo)簽:TISAX標(biāo)簽有限期為3年����。
四����、TISAX咨詢流程
1��、官網(wǎng)注冊(cè)指導(dǎo)
2�����、匯總及整理評(píng)估表格(按客戶要求模塊內(nèi)容進(jìn)行評(píng)估填寫(xiě)差距項(xiàng)并模擬打分)
3�、自評(píng)表填寫(xiě)指導(dǎo)
4、差距改進(jìn)報(bào)告和改進(jìn)措施輔導(dǎo)
5、涉及大眾、寶馬等項(xiàng)目的部門信息資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估輔導(dǎo)
6、大眾、寶馬等項(xiàng)目風(fēng)險(xiǎn)評(píng)估輔導(dǎo)
7��、技術(shù)改造及落實(shí)推進(jìn)輔導(dǎo)
8���、TISAX管理制度及記錄輔導(dǎo)
9、體系實(shí)施和運(yùn)行輔導(dǎo)
10、現(xiàn)場(chǎng)審計(jì)陪同及支持服務(wù)
11�����、授權(quán)機(jī)構(gòu)外部審計(jì)
12��、審計(jì)不符合項(xiàng)整改服務(wù)
13����、證據(jù)準(zhǔn)備支持服務(wù)
14���、獲取正式的Label ID
五��、哪些企業(yè)需要實(shí)施TISAX���?
TISAX認(rèn)證適用于整個(gè)汽車行業(yè)的供應(yīng)鏈——
TISAX認(rèn)證適用于整個(gè)汽車行業(yè)增值鏈上的所有組織�����。隨著數(shù)字化轉(zhuǎn)型與行業(yè)生態(tài)的發(fā)展,跨界融合的趨勢(shì)日益凸顯。與此同時(shí),信息安全問(wèn)題全球化的態(tài)勢(shì)����,導(dǎo)致業(yè)內(nèi)廠商對(duì)信息安全越來(lái)越重視�����。與此同時(shí),隨著虛擬化與云計(jì)算的應(yīng)用,網(wǎng)上數(shù)據(jù)交互與協(xié)同辦公已成為可能����。事實(shí)上,大眾集團(tuán)已經(jīng)向其供應(yīng)商推行了KVS數(shù)據(jù)交互平臺(tái)�����,其完整版已經(jīng)具備協(xié)同開(kāi)發(fā)設(shè)計(jì)的功能�����。因此��,無(wú)論是原型設(shè)計(jì)與開(kāi)發(fā),還是數(shù)據(jù)安全�����,在信息化的條件下�����,信息安全已成為各大主機(jī)廠及其合作供應(yīng)商的關(guān)切重點(diǎn)���。
因此���,TISAX作為行業(yè)內(nèi)信息安全的認(rèn)證標(biāo)準(zhǔn)�,已經(jīng)從主機(jī)廠的一級(jí)供應(yīng)商延伸到二級(jí)�����、三級(jí)供應(yīng)商���,從零部件供應(yīng)商擴(kuò)展到芯片等元器件供應(yīng)商。所以�����,為滿足市場(chǎng)與行業(yè)的要求��,包括所有汽車制造商的供應(yīng)商和服務(wù)提供商�����,以及處理相關(guān)公司敏感信息的供應(yīng)商�,都在積極申請(qǐng)獲得TISAX認(rèn)證���。
六�、TISAX與ISO/IEC27001的異同點(diǎn):
TISAX認(rèn)證采用的VDA-ISA與ISO/IEC 27001源遠(yuǎn)流長(zhǎng),TISAX認(rèn)證審核基于VDA-ISA安全評(píng)估標(biāo)準(zhǔn)是以ISO/IEC 27001國(guó)際信息安全管理體系標(biāo)準(zhǔn)為基礎(chǔ)��,遵循其主要管理思路與原則�,內(nèi)容也覆蓋了ISO/IEC 27001標(biāo)準(zhǔn)的基本要求。
這兩種框架均支持各種規(guī)模的組織將信息安全規(guī)定融入業(yè)務(wù)運(yùn)營(yíng)以保護(hù)敏感信息���,它們是互補(bǔ)的方法,可幫助組織增強(qiáng)信息和供應(yīng)鏈韌性�。
一��、兩者的相同點(diǎn):
二者管理思路一致,同樣按照控制域評(píng)估方式:如ISO/IEC 27001:2013共有14個(gè)控制域114個(gè)控制項(xiàng)�����,VDA-ISA 5分為3個(gè)模塊(信息安全����、原型保護(hù)、數(shù)據(jù)保護(hù))和67個(gè)控制項(xiàng)����,且二者之間也保持了一定的映射關(guān)系。
二、兩者的不同點(diǎn):
1、應(yīng)用范圍不同:
TISAX定義了信息安全在汽車行業(yè)場(chǎng)景下的特定含義�����,包含有一些關(guān)于原型車輛�、零部件、測(cè)試車輛的處理以及在活動(dòng)期間保護(hù)信息的具體章節(jié),而ISO/IEC 27001則是允許在不同場(chǎng)景下對(duì)信息安全定義有一定程度的不同解讀:
a)ISO/IEC 27001共包含兩部分���,除了條文第四章至第十章,另外還有附錄 A的114個(gè)信息安全控制措施,通過(guò)ISO/IEC 27001認(rèn)證代表企業(yè)已建立���、實(shí)施及維持及持續(xù)改善ISMS要求之事項(xiàng);
b)TISAX VDA-ISA 參考 ISO 27001、ISO 27002等規(guī)范外�����,并參照法規(guī)(例如: 通用數(shù)據(jù)保護(hù)法 GDPR)及汽車產(chǎn)業(yè)之要求作為管制項(xiàng)目��。
2��、級(jí)別機(jī)制不同:
ISO/IEC 27001無(wú)級(jí)別制,TISAX則采用級(jí)別制��,共有三種審核等級(jí) (Assessment level (AL)��,企業(yè)可以自行選擇其需要通過(guò)的認(rèn)證等級(jí)����,AL1一般是自評(píng)����,AL2和 AL3需要第三方審核員對(duì)公司進(jìn)行現(xiàn)場(chǎng)審核,一般獲得 AL2和 AL3才能夠獲得TISAX的認(rèn)可。ISO/IEC 27001證書(shū)是意味著通過(guò)審核和評(píng)審的結(jié)果,基本可理解對(duì)應(yīng)TISAX的AL2。
TISAX證書(shū)的內(nèi)容根據(jù)不同對(duì)象劃分為若干等級(jí)��,可在TISAX官方網(wǎng)站上查詢�。對(duì)于普通大眾有四個(gè)等級(jí)。對(duì)于不同的合作伙伴可劃分為五個(gè)等級(jí),其中最詳細(xì)的等級(jí)允許合作伙伴查看詳細(xì)的審核結(jié)果和成熟度等級(jí)描述等內(nèi)容�。
3���、評(píng)估方法不同:
ISO/IEC 27001證書(shū)有效期為三年,每年要進(jìn)行監(jiān)督審核����;而TISAX則一次評(píng)估��,有效期為三年。在一致性確認(rèn)方面�����,ISO/IEC 27001頒發(fā)證書(shū)��,而TISAX頒發(fā)標(biāo)簽��。對(duì)ISO/IEC 27001的認(rèn)證是通過(guò)滿足標(biāo)準(zhǔn)的要求來(lái)實(shí)現(xiàn)的,而實(shí)現(xiàn)TISAX標(biāo)簽的基礎(chǔ)是滿足VDA評(píng)估目錄中的評(píng)估目標(biāo)的要求���。
ISO/IEC 27001的證書(shū)內(nèi)��,包含評(píng)估的基本信息,例如企業(yè)名稱、審核范圍和證書(shū)有效期等簡(jiǎn)單描述等���,不公布不符合項(xiàng)的數(shù)量和報(bào)告內(nèi)容等整體評(píng)估結(jié)果描述。ISO/IEC 27001的證書(shū)的內(nèi)容相當(dāng)于TISAX 證書(shū)中面對(duì)普通大眾的等級(jí)。此外�,ISO/IEC 27001的證書(shū)通常由獲證企業(yè)自愿��、自行在網(wǎng)站上張貼并進(jìn)行宣傳,或者認(rèn)證機(jī)構(gòu)的網(wǎng)站或監(jiān)管機(jī)構(gòu)備案信息平臺(tái)上進(jìn)行查詢。
七、實(shí)施TISAX對(duì)組織的益處
1���、行業(yè)內(nèi)的相互認(rèn)可:所有VDA成員和OEM都需要獲得TISAX認(rèn)證,以證明其能夠滿足外部需求方的直接要求,TISAX認(rèn)證為汽車行業(yè)內(nèi)的信息安全評(píng)估提供了統(tǒng)一且有約束力的標(biāo)準(zhǔn)��,評(píng)估結(jié)果得到其他TISAX參與者的共同認(rèn)可�����,從而實(shí)現(xiàn)行業(yè)企業(yè)之間的安全互信�����;
2����、避免多次檢查降低管理成本:TISAX認(rèn)證基于統(tǒng)一的VDA-ISA安全評(píng)估目錄和標(biāo)準(zhǔn),獲得TISAX標(biāo)簽后����,通常每三年只需要進(jìn)行一次TISAX評(píng)估�����;
3、提升安全意識(shí):?jiǎn)T工的行為對(duì)公司內(nèi)部安全有重大影響�,通過(guò)TISAX能夠有效提高員工安全意識(shí)與能力��;
4、與互信領(lǐng)域延伸:TISAX的審核對(duì)象一從傳統(tǒng)汽車產(chǎn)業(yè)鏈零部件供應(yīng)商以及汽車市場(chǎng)研究�、保險(xiǎn)配套服務(wù)公司���,擴(kuò)展到自動(dòng)駕駛�����、互聯(lián)網(wǎng)、車聯(lián)網(wǎng)研發(fā)類的高科技公司以及提供ICT支持相關(guān)服務(wù)(云計(jì)算��、大數(shù)據(jù)分析和運(yùn)營(yíng))的公司���。通過(guò)TISAX認(rèn)證���,成為了組織滿足汽車行業(yè)乃至Mobility領(lǐng)域特定信息安全需求的強(qiáng)有力證明�。
八、關(guān)于企航顧問(wèn)
企航顧問(wèn)汽車供應(yīng)鏈服務(wù)項(xiàng)目有:
1����、IATF16949、VDA6.1、VDA6.2�����、VDA6.4:汽車工業(yè)質(zhì)量管理體系咨詢和培訓(xùn)���;
2�����、TISAX:可信信息安全評(píng)估交流機(jī)制咨詢和培訓(xùn)����;3�����、ASPICE:汽車軟件過(guò)程改進(jìn)及能力評(píng)定咨詢和培訓(xùn)����;
4、ISO26262:汽車功能安全咨詢和培訓(xùn)����;
5�、ISO/SAE 21434:汽車網(wǎng)絡(luò)安全咨詢和培訓(xùn)�����;
6�����、MMOG/LE:全球物料管理運(yùn)作指南/物流評(píng)估培訓(xùn)和輔導(dǎo)�;
7、BIQS����、QSB+�、Ford-Q1��、Formel-Q:OEM汽車供應(yīng)鏈驗(yàn)廠輔導(dǎo)�;
8����、CQI-x:熱處理、電鍍、涂裝��、焊接���、錫焊�����、模塑��、鑄造、釬焊等特殊工藝過(guò)程控制與管理的培訓(xùn)和咨詢;
9�����、APQP�����、FMEA、MSA����、SPC���、PPAP:汽車工業(yè)五大核心工具的培訓(xùn)和輔導(dǎo)�;
10�、其它 ......
企航顧問(wèn)在汽車供應(yīng)鏈項(xiàng)目上的優(yōu)勢(shì):
1、4,500+ 汽車整車及零部件企業(yè)TISAX�����、ISO26262���、ASPICE����、VDA6、IATF16949全過(guò)程輔導(dǎo)�;
2����、10,000+ 培訓(xùn)企業(yè)客戶(內(nèi)訓(xùn)+公開(kāi)課+游學(xué)+研修)�;
3、100,000+ 課時(shí)TISAX��、ASPICE��、ISO26262����、AIAG核心工具、VDA-x�、CQI-x�����、BIQS����、Q1標(biāo)準(zhǔn)及內(nèi)審員授課經(jīng)驗(yàn);
4����、東風(fēng)汽車有限公司連續(xù)9年華東地區(qū)唯一指定咨詢合作伙伴��;
5、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)(CNCA)首批備案之16949�����、EMS�����、OHSMS顧問(wèn)機(jī)構(gòu)��;
6、中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)(CCAA)理事單位����、上海市認(rèn)證協(xié)會(huì)(SCA)理事單位����;
7���、全國(guó)六西格瑪推行工作委員會(huì)(CCPSS)委員單位��;
