企航顧問(wèn)啟動(dòng)泰信電機(jī)（蘇州）有限公司TISAX?咨詢(xún)項(xiàng)目

2022/09/11

2022年9月上旬，企航顧問(wèn)啟動(dòng)了泰信電機(jī)（蘇州）有限公司的TISAX AL3（信息安全+原型保護(hù)）可信信息安全評(píng)估及交換機(jī)制咨詢(xún)項(xiàng)目。

TISAX相關(guān)專(zhuān)業(yè)知識(shí)請(qǐng)閱讀企航顧問(wèn)原創(chuàng)推文：
1、企航顧問(wèn)TISAX可信信息安全評(píng)估交換機(jī)制服務(wù)介紹
2、TISAX與ISO/IEC27001的比較研究
3、TISAX（可信信息安全評(píng)估及交換機(jī)制）合規(guī)體系建設(shè)方案

泰信電機(jī)（蘇州）有限公司為韓國(guó)獨(dú)資企業(yè)，專(zhuān)業(yè)生產(chǎn)壓縮機(jī)電機(jī)、吸塵器電機(jī)、汽車(chē)電機(jī)等。

德國(guó)汽車(chē)工業(yè)聯(lián)合會(huì)（VDA）多年前建立了VDA–ISA 信息安全評(píng)估標(biāo)準(zhǔn)來(lái)推動(dòng)其成員企業(yè)符合信息安全標(biāo)準(zhǔn)，又于2017年聯(lián)合歐洲汽車(chē)工業(yè)通信網(wǎng)絡(luò)協(xié)會(huì)（ENX）推出新的可信信息安全評(píng)估及交換機(jī)制TISAX （TrustedInformation Security Assessment Exchange ），此機(jī)制能減少不同汽車(chē)制造商的頻繁審核，推動(dòng)企業(yè)之間的相互認(rèn)可、交換和信任，目前已經(jīng)逐漸擴(kuò)展到所有的德國(guó)乃至歐洲汽車(chē)行業(yè)，成為一種評(píng)價(jià)供應(yīng)商信息安全能力的通用評(píng)估和交換機(jī)制。

TISAX代表可信信息安全評(píng)估交換，它被認(rèn)為是汽車(chē)行業(yè)信息安全的錨。VDA和ENX協(xié)會(huì)制定了一致的質(zhì)量標(biāo)準(zhǔn)來(lái)提高信息安全性。TISAX規(guī)定了汽車(chē)整個(gè)供應(yīng)鏈上的評(píng)估標(biāo)準(zhǔn)、評(píng)估方法和評(píng)估信息交換標(biāo)準(zhǔn)，適用于所有相關(guān)方。這是一個(gè)用于跨公司交換汽車(chē)行業(yè)信息安全測(cè)試結(jié)果而專(zhuān)門(mén)開(kāi)發(fā)的在線(xiàn)平臺(tái)。公司通過(guò)在平臺(tái)上激活結(jié)果就可以通知其直接業(yè)務(wù)合作伙伴其信息安全符合TISAX。

企航顧問(wèn)是國(guó)內(nèi)最早開(kāi)展TISAX培訓(xùn)和輔導(dǎo)的專(zhuān)業(yè)機(jī)構(gòu)，也是目前輔導(dǎo)TISAX項(xiàng)目最多的顧問(wèn)機(jī)構(gòu)之一。了解更多TISAX知識(shí)，可點(diǎn)擊閱讀企航顧問(wèn)原創(chuàng)推文：

1、企航顧問(wèn)TISAX?可信信息安全評(píng)估交換機(jī)制服務(wù)介紹；

2、TISAX（可信信息安全評(píng)估及交換機(jī)制）合規(guī)體系建設(shè)方案；

3、TISAX與ISO/IEC27001的比較研究。

建設(shè)TISAX合規(guī)體系的基本步驟

0、內(nèi)部啟動(dòng)

TISAX考察的是組織內(nèi)不同領(lǐng)域的信息安全能力，這必定是涉及多部門(mén)的合作，因此在TISAX合規(guī)工作啟動(dòng)之初，管理層的溝通、項(xiàng)目負(fù)責(zé)人的匯報(bào)是必不可少的。在得到管理層的支持后，應(yīng)當(dāng)拉通各個(gè)信息安全相關(guān)的部門(mén)，組建TISAX合規(guī)體系建設(shè)項(xiàng)目組，如業(yè)務(wù)部門(mén)、IT部門(mén)、內(nèi)部支持性部門(mén)等。項(xiàng)目組一般包含以下部門(mén)：

• 1、業(yè)務(wù)部門(mén)包括對(duì)車(chē)機(jī)、樣車(chē)等進(jìn)行項(xiàng)目管理，開(kāi)發(fā)，測(cè)試和運(yùn)維的所有職能。每個(gè)職能需指定一名同事作為對(duì)應(yīng)TISAX 要求的負(fù)責(zé)人；

• 2、IT部門(mén)包括服務(wù)器，網(wǎng)絡(luò)，信息安全等部門(mén)，作為IT基礎(chǔ)設(shè)施和內(nèi)部信息安全控制的接口；

• 3、內(nèi)部支持性部門(mén)主要包括采購(gòu)，人力資源，安保，法務(wù)，合規(guī)等部門(mén)，作為人力資源，物理安全等控制域的接口。

值得注意的一點(diǎn)：企業(yè)在準(zhǔn)備審核的過(guò)程中常常認(rèn)為，只需要安全團(tuán)隊(duì)的核心成員參與準(zhǔn)備，了解TISAX要求就足夠應(yīng)審。這是一個(gè)很危險(xiǎn)的想法，因?yàn)?/span>TISAX考察的是企業(yè)信息安全體系的整體成熟度，包括在運(yùn)行過(guò)程中與業(yè)務(wù)的結(jié)合度，因此在項(xiàng)目過(guò)程中以培訓(xùn)等形式對(duì)組織內(nèi)所有成員進(jìn)行宣貫是必要的。

1、現(xiàn)狀摸底

在確定TISAX合規(guī)體系建設(shè)項(xiàng)目組的部門(mén)組成后，項(xiàng)目負(fù)責(zé)人應(yīng)召集一個(gè)內(nèi)部啟動(dòng)會(huì)議，邀請(qǐng)各部門(mén)派遣代表理解項(xiàng)目背景、實(shí)施周期、各個(gè)部門(mén)的職責(zé)分工，并最好建立一個(gè)以周為單位的溝通機(jī)制，定期更新項(xiàng)目進(jìn)展。

如條件允許，項(xiàng)目負(fù)責(zé)人可組織核心團(tuán)隊(duì)成員參加企航顧問(wèn)舉辦的TISAX培訓(xùn)，了解TISAX的標(biāo)準(zhǔn)要求與審核流程，然后依據(jù)TISAX的審核標(biāo)準(zhǔn)，共同進(jìn)行一輪內(nèi)部摸底。根據(jù)各個(gè)部門(mén)的職責(zé)，勾選對(duì)應(yīng)的TISAX控制域，填寫(xiě)當(dāng)前的安全控制成熟度，充分了解當(dāng)前差距，評(píng)估后續(xù)需要開(kāi)展的工作；如，是否引入的其他內(nèi)部資源，請(qǐng)企航顧問(wèn)提供輔導(dǎo)，購(gòu)買(mǎi)新的軟硬件設(shè)備等。基于初步評(píng)估的結(jié)果，向管理層匯報(bào)后續(xù)的工作計(jì)劃，人員安排和資金投入。

2、體系建立

體系建設(shè)項(xiàng)目需要將企航顧問(wèn)的實(shí)踐經(jīng)驗(yàn)與企業(yè)的實(shí)際情況相結(jié)合。這里再次強(qiáng)調(diào)：在項(xiàng)目初期，應(yīng)明確各安全控制域的負(fù)責(zé)人，確保項(xiàng)目組成員了解TISAX的戰(zhàn)略目標(biāo)，通過(guò)統(tǒng)籌安排、協(xié)同作戰(zhàn)，才能最終獲得TISAX標(biāo)簽。

在確定了項(xiàng)目啟動(dòng)后，項(xiàng)目負(fù)責(zé)人與企航顧問(wèn)開(kāi)始密切的交流和合作，在企航顧問(wèn)的配合下完成差距分析、體系建設(shè)與運(yùn)行工作。

1、全面“診斷”

 根據(jù)現(xiàn)狀摸底中各個(gè)控制域的職責(zé)分工， 通過(guò)多輪訪(fǎng)談，幫助企航顧問(wèn)充分了解企業(yè)的業(yè)務(wù)需求和安全現(xiàn)狀，逐條對(duì)應(yīng)已有的制度流程或執(zhí)行記錄。同時(shí)，需要企航顧問(wèn)對(duì)各個(gè)不符合項(xiàng)的控制要求進(jìn)行解讀，制定詳細(xì)的整改計(jì)劃，明確整改責(zé)任人，整改完成時(shí)間，整改審批人等。

2、制度流程完善

 在制度流程補(bǔ)足過(guò)程中，企業(yè)需要充分輸出已有信息安全的制度、策略、流程。在輔導(dǎo)機(jī)構(gòu)的協(xié)助下，依據(jù)TISAX的要求和當(dāng)前文檔的差距，進(jìn)行文檔體系建設(shè)、成立信息安全小組。大多數(shù)企業(yè)都面臨的一個(gè)常見(jiàn)風(fēng)險(xiǎn)是，業(yè)務(wù)流程中已經(jīng)有部分安全管控措施，但是缺少固化流程和方案。因此企業(yè)需要協(xié)同輔導(dǎo)機(jī)構(gòu)一起制定制度化、規(guī)范化、標(biāo)準(zhǔn)化的業(yè)務(wù)流程，使其能滿(mǎn)足信息安全要求、避免信息安全風(fēng)險(xiǎn)的發(fā)生。

體系編寫(xiě)完畢后，項(xiàng)目負(fù)責(zé)人會(huì)進(jìn)行內(nèi)部的評(píng)審，確保制度流程與當(dāng)前的業(yè)務(wù)相契合。經(jīng)過(guò)多輪評(píng)審后，就可以發(fā)布到企業(yè)的制度文檔管理系統(tǒng)。體系發(fā)布后，通過(guò)培訓(xùn)在企業(yè)內(nèi)部 “官宣”信息安全小組、介紹文檔體系并進(jìn)行信息安全意識(shí)貫宣，為接下來(lái)將信息安全體系落實(shí)到日常業(yè)務(wù)工作中奠定基礎(chǔ)；依據(jù)以往的經(jīng)驗(yàn)，企業(yè)日常運(yùn)行中，常有以下不足之處，需要在體系推行過(guò)程中吸取經(jīng)驗(yàn)：

• 1、體系運(yùn)行過(guò)程中，企業(yè)需要在關(guān)鍵的業(yè)務(wù)流程中，嵌入信息安全的要求，并且在實(shí)施過(guò)程中留下實(shí)施有效性的證明。企業(yè)往往缺少對(duì)信息資產(chǎn)全生命周期的管理視角，如：企業(yè)在內(nèi)/外部員工賬號(hào)開(kāi)通、授權(quán)、權(quán)限變更、賬號(hào)關(guān)閉等業(yè)務(wù)流程中，是否進(jìn)行權(quán)限審批、授權(quán)是否設(shè)置有效期、是否及時(shí)關(guān)閉賬號(hào)，是否定期對(duì)賬號(hào)的使用狀態(tài)進(jìn)行審核等，在此基礎(chǔ)上能否提供書(shū)面證據(jù)證明以上行為的有效實(shí)施；

• 2、往往企業(yè)在已有管控策略的情況下，落地模式尚未成型，如未符合要求存在使用共享賬號(hào)的情況，需要加強(qiáng)信息安全體系落實(shí)過(guò)程中加強(qiáng)監(jiān)督。

體系運(yùn)行一段時(shí)間后，組織需要進(jìn)行內(nèi)部審核、管理評(píng)審，針對(duì)信息安全體系文檔適用性、推行有效性進(jìn)行驗(yàn)證，保證信息安全體系的持續(xù)有效運(yùn)行。

3、技術(shù)工具加固

TISAX對(duì)于數(shù)據(jù)，應(yīng)用系統(tǒng)和網(wǎng)絡(luò)等都有較高的技術(shù)保護(hù)要求，數(shù)據(jù)傳輸存儲(chǔ)的加密，應(yīng)用系統(tǒng)的高可用性，網(wǎng)絡(luò)的冗余及帶外管理等安全要求，都需要結(jié)合企業(yè)自身情況，通過(guò)技術(shù)手段或者工具進(jìn)行加固。TISAX對(duì)于樣件保護(hù)的物理環(huán)境、訪(fǎng)問(wèn)控制有許多安全要求，門(mén)窗安全設(shè)計(jì)、監(jiān)控設(shè)備、報(bào)警裝置、門(mén)禁/門(mén)鎖等設(shè)施的現(xiàn)場(chǎng)情況。往往沒(méi)有涉及樣件生產(chǎn)（含有工廠(chǎng)）的企業(yè)，如進(jìn)行車(chē)聯(lián)網(wǎng)業(yè)務(wù)的企業(yè)，在這方面差距較大，需要結(jié)合審核條款，進(jìn)行實(shí)施改造，準(zhǔn)備專(zhuān)門(mén)的樣件保護(hù)空間、設(shè)立門(mén)禁、門(mén)窗并做好封閉防盜處理。

4、應(yīng)審準(zhǔn)備

針對(duì)審核條款對(duì)應(yīng)的文檔記錄，制作清晰的證據(jù)文件目錄結(jié)構(gòu)，提前準(zhǔn)備好記錄，指定各領(lǐng)域的負(fù)責(zé)人；在應(yīng)審前進(jìn)行培訓(xùn)和演練，互相挑戰(zhàn)和提問(wèn)，考慮各種可能遇到的類(lèi)似問(wèn)題。同時(shí)，在正式審計(jì)前，與選定的外審機(jī)構(gòu)進(jìn)行審計(jì)計(jì)劃、待準(zhǔn)備材料的溝通。一切準(zhǔn)備就緒后，正式應(yīng)審的前一天，再次召開(kāi)全員會(huì)議，確保大家進(jìn)入最佳狀態(tài)，迎接審核！

關(guān)于企航顧問(wèn)

上海企航科技咨詢(xún)有限公司【中文簡(jiǎn)稱(chēng)：企航顧問(wèn) or 企航咨詢(xún) ，英文簡(jiǎn)稱(chēng)：SQT】

企航顧問(wèn)在汽車(chē)供應(yīng)鏈領(lǐng)域提供的服務(wù)有：

• 1、IATF16949、VDA6.1、VDA6.2、VDA6.4：汽車(chē)工業(yè)質(zhì)量管理體系咨詢(xún)和培訓(xùn)

• 2、TISAX：可信信息安全評(píng)估交流機(jī)制咨詢(xún)和培訓(xùn)

• 3、ASPICE：汽車(chē)軟件過(guò)程改進(jìn)及能力評(píng)定咨詢(xún)和培訓(xùn)

• 4、ISO26262：汽車(chē)功能安全咨詢(xún)和培訓(xùn)

• 5、ISO/SAE 21434：道路車(chē)輛 信息安全工程咨詢(xún)和培訓(xùn)

• 6、MMOG/LE：全球物料管理運(yùn)作指南/物流評(píng)估培訓(xùn)和輔導(dǎo)

• 7、BIQS、QSB+、Ford-Q1、Formel-Q：OEM汽車(chē)供應(yīng)鏈驗(yàn)廠(chǎng)輔導(dǎo)

• 8、CQI-x：熱處理、電鍍、涂裝、焊接、錫焊、模塑、鑄造、釬焊等特殊工藝過(guò)程控制與管理的培訓(xùn)和咨詢(xún)

• 9、APQP、FMEA、MSA、SPC、PPAP：汽車(chē)工業(yè)五大核心工具的培訓(xùn)和輔導(dǎo)

• 10、其它 ......

企航顧問(wèn)在汽車(chē)供應(yīng)鏈項(xiàng)目上的優(yōu)勢(shì)：

• 1、4,000+ 汽車(chē)整車(chē)及零部件企業(yè)全程輔導(dǎo)獲得16949（ISO/TS or IATF）證書(shū)

• 2、4,500+ 汽車(chē)整車(chē)及零部件VDA6.1&6.4\16949\ISO26262\ASPICE\TISAX全程輔導(dǎo)

• 3、6,000+ 客戶(hù)包括眾多國(guó)際及國(guó)內(nèi)知名企業(yè)全過(guò)程咨詢(xún)經(jīng)驗(yàn)

• 4、10,000+ 培訓(xùn)企業(yè)客戶(hù)（內(nèi)訓(xùn)+公開(kāi)課+游學(xué)+研修）

• 5、100,000+ 課時(shí)AIAG核心工具、VDA-x、CQI-x、BIQS、MMOG/LE、Q1及內(nèi)審員授課經(jīng)驗(yàn)

• 6、東風(fēng)汽車(chē)有限公司連續(xù)9年華東地區(qū)唯一指定咨詢(xún)合作伙伴

• 7、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)（CNCA）首批備案之16949、EMS、OHSMS顧問(wèn)機(jī)構(gòu)

• 8、中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）理事單位、上海市認(rèn)證協(xié)會(huì)（SCA）理事單位

• 9、全國(guó)六西格瑪推行工作委員會(huì)（CCPSS）委員單位