400-677-1258
2022/04/21
未來是信息化時代,政府和企業(yè)越來越意識到信息安全至關(guān)重要。歐盟于2016年4月14日投票通過了商討四年的《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation,簡稱GDPR),該法案于2018年5月25日生效。
在日趨嚴(yán)格的信息安全合規(guī)要求與層出不窮的信息安全事件下,供應(yīng)商如何向主機廠(OME)證明其自身的信息安全能力,如何保護(hù)主機廠的原型、樣件、各類商業(yè)機密與客戶數(shù)據(jù),成為了汽車行業(yè)近年來的熱門話題。
為推動成員企業(yè)符合信息安全法規(guī)/標(biāo)準(zhǔn),德國汽車工業(yè)聯(lián)合會(VDA)多年前就基于ISO27000系列國際標(biāo)準(zhǔn)建立了自己的信息安全評估標(biāo)準(zhǔn):VDA-ISA(Information Security Assessment)。
VDA于2017年聯(lián)合ENX(歐洲汽車工業(yè)通信網(wǎng)絡(luò)協(xié)會)推出了“可信信息安全評估交換 Trusted Information Security Assessment Exchange(TISAX?)”機制,此機制可以實現(xiàn)汽車行業(yè)信息安全評估的相互認(rèn)可,并提供通用的評估和交換機制。
TISAX相關(guān)專業(yè)知識請閱讀企航顧問原創(chuàng)推文:
1、企航顧問TISAX可信信息安全評估交換機制服務(wù)介紹
2、TISAX與ISO/IEC27001的比較研究
3、TISAX(可信信息安全評估及交換機制)合規(guī)體系建設(shè)方案
一、什么是TISAX?
TISAX可信信息安全評估交換機制是基于ISO/IEC 27001信息安全管理體系標(biāo)準(zhǔn)和VDA-ISA信息安全評價檢查表而建立的汽車行業(yè)專用信息安全標(biāo)準(zhǔn)。TISAX 為汽車行業(yè)內(nèi)不同服務(wù)商提供了信息安全評估結(jié)果互認(rèn)的模式,供應(yīng)商通過了該評估,即意味著其結(jié)果得到了所有參與方的認(rèn)可。
1、TISAX?的擁有者和主持者:德國汽車工業(yè)聯(lián)合會VDA,VDA同時控制VDA-ISA檢查表。
2、TISAX?的法律實體與組織者:ENX,所有評估結(jié)果都將放在ENX平臺上。
3、TISAX?認(rèn)可的審核提供方:獲得認(rèn)可的第三方認(rèn)證機構(gòu)。
TISAX為汽車行業(yè)提供了一致的評估標(biāo)準(zhǔn)(VDA-ISA)以替代之前來自各主機廠不同的標(biāo)準(zhǔn)要求,它通過一次評估、可供多方使用的機制,為主機廠和供應(yīng)商提供了長達(dá)三年的安全標(biāo)簽,每個注冊參與者在完成審核后,可以有選擇性的在平臺上共享審核結(jié)果。
二、TISAX 評估等級、范圍和具體要求
TISAX按照信息安全保護(hù)程度,一共分為三個級別:AL-1、AL-2(High)、AL-3(Very High):
1、AL-1:標(biāo)準(zhǔn)保護(hù)級別,只對企業(yè)的信息安全進(jìn)行審核,多用于企業(yè)內(nèi)部的自評估,無需審核方介入。
2、AL-2:高保護(hù)級別,審核方根據(jù)“高保護(hù)要求”進(jìn)行審核,審核可遠(yuǎn)程進(jìn)行,最終獲得2級標(biāo)簽。
3、AL-3:極高保護(hù)級別,通過后可獲得TISAX 3級標(biāo)簽。若企業(yè)需要審核樣件,則審核級別必須定為AL3。AL3級別的企業(yè)必須接受現(xiàn)場審核。
需要的保護(hù)級別越高,評估級別就越高(與評估目標(biāo)相關(guān))。通常,為獲取AL-3級標(biāo)簽,則參與者必須接受現(xiàn)場審核。
從具體的評估內(nèi)容來看,至少包括信息安全(Information Security)模塊的七個審核領(lǐng)域(信息安全策略和組織、人力資源、物理安全和業(yè)務(wù)連續(xù)性、身份與訪問管理、IT安全/網(wǎng)絡(luò)安全、供方關(guān)系、合規(guī))的41個控制項,這些控制項主要參照ISO/IEC27001和27002標(biāo)準(zhǔn),并根據(jù)德國汽車行業(yè)特點進(jìn)行相應(yīng)的調(diào)整。不同的供應(yīng)商根據(jù)與主機廠的業(yè)務(wù)合作,還可能包括對原型保護(hù)(Prototype Protection)、數(shù)據(jù)保護(hù)(Data Protection)模塊的額外控制項的審核。
每一項控制項的成熟度水平(Maturity Levels)分為0~5這6個級別,同時也考慮了不適用N/A的情況。最終分?jǐn)?shù)會根據(jù)各控制項的分?jǐn)?shù)進(jìn)行綜合計算。平均分需要3分以上(目標(biāo))。另外 ,評估的最終結(jié)果中不能出現(xiàn)任何一處輕微不符合(<2.7低于目標(biāo)10%以上)或重大不符合項(<2.1低于目標(biāo)30%以上),需要全部關(guān)閉。
基于ISA問卷的評估結(jié)果將以蜘蛛圖(見下圖)的樣式顯示,通過此圖,可以清楚地了解每個審核領(lǐng)域的績效。
三、TISAX評估流程
1、確認(rèn)信息安全范圍及目標(biāo)等,并選擇評估機構(gòu):當(dāng)企業(yè)成功在平臺注冊TISAX審核后,將可查詢到官方授權(quán)的機構(gòu)清單,選擇并確認(rèn)審核機構(gòu),并與其約定好期望的評估日期。
2、文件審核:在企業(yè)確認(rèn)好認(rèn)證機構(gòu)后,機構(gòu)會要求企業(yè)提供相關(guān)資料進(jìn)行初步文件審核。若沒有按約定時間提交,將會導(dǎo)致審核延期。
3、現(xiàn)場審核:根據(jù)TISAX要求,AL-3級別的企業(yè)必須強制性接受現(xiàn)場審核。
4、出具審核報告
5、整改跟進(jìn):糾正行動審核和跟進(jìn)審核取決于貴司是否有不符合項,允許在九個月內(nèi)關(guān)閉。
6、獲取TISAX標(biāo)簽:TISAX標(biāo)簽有限期為3年。
四、TISAX咨詢流程
1、官網(wǎng)注冊指導(dǎo)
2、匯總及整理評估表格(按客戶要求模塊內(nèi)容進(jìn)行評估填寫差距項并模擬打分)
3、自評表填寫指導(dǎo)
4、差距改進(jìn)報告和改進(jìn)措施輔導(dǎo)
5、涉及大眾、寶馬等項目的部門信息資產(chǎn)識別和風(fēng)險評估輔導(dǎo)
6、大眾、寶馬等項目風(fēng)險評估輔導(dǎo)
7、技術(shù)改造及落實推進(jìn)輔導(dǎo)
8、TISAX管理制度及記錄輔導(dǎo)
9、體系實施和運行輔導(dǎo)
10、現(xiàn)場審計陪同及支持服務(wù)
11、授權(quán)機構(gòu)外部審計
12、審計不符合項整改服務(wù)
13、證據(jù)準(zhǔn)備支持服務(wù)
14、獲取正式的Label ID
五、哪些企業(yè)需要實施TISAX?
TISAX認(rèn)證適用于整個汽車行業(yè)的供應(yīng)鏈——
TISAX認(rèn)證適用于整個汽車行業(yè)增值鏈上的所有組織。隨著數(shù)字化轉(zhuǎn)型與行業(yè)生態(tài)的發(fā)展,跨界融合的趨勢日益凸顯。與此同時,信息安全問題全球化的態(tài)勢,導(dǎo)致業(yè)內(nèi)廠商對信息安全越來越重視。與此同時,隨著虛擬化與云計算的應(yīng)用,網(wǎng)上數(shù)據(jù)交互與協(xié)同辦公已成為可能。事實上,大眾集團(tuán)已經(jīng)向其供應(yīng)商推行了KVS數(shù)據(jù)交互平臺,其完整版已經(jīng)具備協(xié)同開發(fā)設(shè)計的功能。因此,無論是原型設(shè)計與開發(fā),還是數(shù)據(jù)安全,在信息化的條件下,信息安全已成為各大主機廠及其合作供應(yīng)商的關(guān)切重點。
因此,TISAX作為行業(yè)內(nèi)信息安全的認(rèn)證標(biāo)準(zhǔn),已經(jīng)從主機廠的一級供應(yīng)商延伸到二級、三級供應(yīng)商,從零部件供應(yīng)商擴展到芯片等元器件供應(yīng)商。所以,為滿足市場與行業(yè)的要求,包括所有汽車制造商的供應(yīng)商和服務(wù)提供商,以及處理相關(guān)公司敏感信息的供應(yīng)商,都在積極申請獲得TISAX認(rèn)證。
六、TISAX與ISO/IEC27001的異同點:
TISAX認(rèn)證采用的VDA-ISA與ISO/IEC 27001源遠(yuǎn)流長,TISAX認(rèn)證審核基于VDA-ISA安全評估標(biāo)準(zhǔn)是以ISO/IEC 27001國際信息安全管理體系標(biāo)準(zhǔn)為基礎(chǔ),遵循其主要管理思路與原則,內(nèi)容也覆蓋了ISO/IEC 27001標(biāo)準(zhǔn)的基本要求。
這兩種框架均支持各種規(guī)模的組織將信息安全規(guī)定融入業(yè)務(wù)運營以保護(hù)敏感信息,它們是互補的方法,可幫助組織增強信息和供應(yīng)鏈韌性。
一、兩者的相同點:
二者管理思路一致,同樣按照控制域評估方式:如ISO/IEC 27001:2013共有14個控制域114個控制項,VDA-ISA 5分為3個模塊(信息安全、原型保護(hù)、數(shù)據(jù)保護(hù))和67個控制項,且二者之間也保持了一定的映射關(guān)系。
二、兩者的不同點:
1、應(yīng)用范圍不同:
TISAX定義了信息安全在汽車行業(yè)場景下的特定含義,包含有一些關(guān)于原型車輛、零部件、測試車輛的處理以及在活動期間保護(hù)信息的具體章節(jié),而ISO/IEC 27001則是允許在不同場景下對信息安全定義有一定程度的不同解讀:
a)ISO/IEC 27001共包含兩部分,除了條文第四章至第十章,另外還有附錄 A的114個信息安全控制措施,通過ISO/IEC 27001認(rèn)證代表企業(yè)已建立、實施及維持及持續(xù)改善ISMS要求之事項;
b)TISAX VDA-ISA 參考 ISO 27001、ISO 27002等規(guī)范外,并參照法規(guī)(例如: 通用數(shù)據(jù)保護(hù)法 GDPR)及汽車產(chǎn)業(yè)之要求作為管制項目。
2、級別機制不同:
ISO/IEC 27001無級別制,TISAX則采用級別制,共有三種審核等級 (Assessment level (AL),企業(yè)可以自行選擇其需要通過的認(rèn)證等級,AL1一般是自評,AL2和 AL3需要第三方審核員對公司進(jìn)行現(xiàn)場審核,一般獲得 AL2和 AL3才能夠獲得TISAX的認(rèn)可。ISO/IEC 27001證書是意味著通過審核和評審的結(jié)果,基本可理解對應(yīng)TISAX的AL2。
TISAX證書的內(nèi)容根據(jù)不同對象劃分為若干等級,可在TISAX官方網(wǎng)站上查詢。對于普通大眾有四個等級。對于不同的合作伙伴可劃分為五個等級,其中最詳細(xì)的等級允許合作伙伴查看詳細(xì)的審核結(jié)果和成熟度等級描述等內(nèi)容。
3、評估方法不同:
ISO/IEC 27001證書有效期為三年,每年要進(jìn)行監(jiān)督審核;而TISAX則一次評估,有效期為三年。在一致性確認(rèn)方面,ISO/IEC 27001頒發(fā)證書,而TISAX頒發(fā)標(biāo)簽。對ISO/IEC 27001的認(rèn)證是通過滿足標(biāo)準(zhǔn)的要求來實現(xiàn)的,而實現(xiàn)TISAX標(biāo)簽的基礎(chǔ)是滿足VDA評估目錄中的評估目標(biāo)的要求。
ISO/IEC 27001的證書內(nèi),包含評估的基本信息,例如企業(yè)名稱、審核范圍和證書有效期等簡單描述等,不公布不符合項的數(shù)量和報告內(nèi)容等整體評估結(jié)果描述。ISO/IEC 27001的證書的內(nèi)容相當(dāng)于TISAX 證書中面對普通大眾的等級。此外,ISO/IEC 27001的證書通常由獲證企業(yè)自愿、自行在網(wǎng)站上張貼并進(jìn)行宣傳,或者認(rèn)證機構(gòu)的網(wǎng)站或監(jiān)管機構(gòu)備案信息平臺上進(jìn)行查詢。
七、實施TISAX對組織的益處
1、行業(yè)內(nèi)的相互認(rèn)可:所有VDA成員和OEM都需要獲得TISAX認(rèn)證,以證明其能夠滿足外部需求方的直接要求,TISAX認(rèn)證為汽車行業(yè)內(nèi)的信息安全評估提供了統(tǒng)一且有約束力的標(biāo)準(zhǔn),評估結(jié)果得到其他TISAX參與者的共同認(rèn)可,從而實現(xiàn)行業(yè)企業(yè)之間的安全互信;
2、避免多次檢查降低管理成本:TISAX認(rèn)證基于統(tǒng)一的VDA-ISA安全評估目錄和標(biāo)準(zhǔn),獲得TISAX標(biāo)簽后,通常每三年只需要進(jìn)行一次TISAX評估;
3、提升安全意識:員工的行為對公司內(nèi)部安全有重大影響,通過TISAX能夠有效提高員工安全意識與能力;
4、與互信領(lǐng)域延伸:TISAX的審核對象一從傳統(tǒng)汽車產(chǎn)業(yè)鏈零部件供應(yīng)商以及汽車市場研究、保險配套服務(wù)公司,擴展到自動駕駛、互聯(lián)網(wǎng)、車聯(lián)網(wǎng)研發(fā)類的高科技公司以及提供ICT支持相關(guān)服務(wù)(云計算、大數(shù)據(jù)分析和運營)的公司。通過TISAX認(rèn)證,成為了組織滿足汽車行業(yè)乃至Mobility領(lǐng)域特定信息安全需求的強有力證明。
八、關(guān)于企航顧問
企航顧問汽車供應(yīng)鏈服務(wù)項目有:
企航顧問在汽車供應(yīng)鏈項目上的優(yōu)勢:
1、4,500+ 汽車整車及零部件企業(yè)TISAX、ISO26262、ASPICE、VDA6、IATF16949全過程輔導(dǎo);
2、10,000+ 培訓(xùn)企業(yè)客戶(內(nèi)訓(xùn)+公開課+游學(xué)+研修);
3、100,000+ 課時TISAX、ASPICE、ISO26262、AIAG核心工具、VDA-x、CQI-x、BIQS、Q1標(biāo)準(zhǔn)及內(nèi)審員授課經(jīng)驗;
4、東風(fēng)汽車有限公司連續(xù)9年華東地區(qū)唯一指定咨詢合作伙伴;
5、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(CNCA)首批備案之16949、EMS、OHSMS顧問機構(gòu);
6、中國認(rèn)證認(rèn)可協(xié)會(CCAA)理事單位、上海市認(rèn)證協(xié)會(SCA)理事單位;
7、全國六西格瑪推行工作委員會(CCPSS)委員單位;
