可信信息安全评估交换
德国汽车工业协会 (VDA)在2017年联合ENX(欧洲汽车工业安全数据交换协会)推出TISAX机制,成为VDA的一项信息安全强制要求,是供应商采购订单、项目合作、数据交换、资格延续的必备前提条件。虽然当前TISAX认证的强制范围暂限定在德系车企,但欧系、美系和国内厂商也在纷纷跟进。为了确保供应链安全,很多德国主机厂(如奔驰、宝马、大众、奥迪等)都已强制要求其各个级别的供应商必须通过TISAX认证才能与他们交换数据。
什么是TISAX?
TISAX(Telecommunications Security Assessment Exchange)是一个用于评估和交换组织信息安全风险评估结果的工具。它旨在提供一个通用的评估方法,使组织能够评估和比较其信息安全风险控制措施的有效性,同时促进组织之间的信息共享和合作。
TISAX评估的对象为汽车产业相关企业及其供应商,包括OEM、Tier1供应商和其他相关企业。评估基于国际通用的信息安全标准ISO/IEC 27001和VDA ISA(Information Security Assessment),其中VDA ISA标准是由VDA和德国信息安全机构联合制定的信息安全标准,与ISO/IEC 27001相互补充。
TISAX评估涉及多个方面的信息安全管理,包括组织安全、人员安全、访问控制、系统开发和维护、物理安全、通信和网络安全等。评估的目标是确定企业的信息安全现状,发现和纠正潜在的信息安全风险和漏洞,为企业提供持续的信息安全保障。
VDA-ISA结构由三部分共67个控制目标组成:
为什么需要考虑TISAX?
TISAX作为汽车行业共同认可信任的一个信息安全能力的评估结果,进一步推动行业上下游企业(例如零部件厂商,供应商,服务商)在满足不同相关方(主要是OEM)的VDA-ISA信息安全评估的同时,确保生产过程的完整性和可用性保护数据,其评估结果能够进一步相互认可,交换和信任。通过专用在线平台,使汽车行业内的信息安全评估结果得以交流,从而减少不同OEM的频繁审核(一次审核,多次使用,主机厂不用自己对每个供应商进行审核,配套厂商不用再频繁应对不同客户的审核),为制造商及供应商节约成本和工作量,促进现有供应商合同的持续。
谁需要用到TISAX?
汽车零部件制造厂、汽车应用产品厂商及汽车供应链成员;
自动驾驶技术提供者;
自动驾驶数据服务提供者;
地图服务提供商;
MUNIK能提供什么样的服务?
MUNIK秒尼科专业的信息安全管理体系团队,由国内外的专业信息安全公司核心骨干组成,我们提供TISAX可信信息安全评估交换的全程技术服务,这包括:
l TISAX标准培训:基于培训教材,提供1~2天TISAX标准培训服务;
l 差距分析:基于客户现状,实施差距分析,并提供差距分析报告;
l 信息安全体系建设与运行:帮助企业定义TISAX的评估范围,辅导企业进行流程文件 修订,流程试运行及完善;
l 信息安全体系全面运行与检查:帮助企业全面实施信息安全体系;
l 全部流程文档预评估:所有TISAX文档的检查和预评估及预评估的问题关闭,协助办理第三方评估的申请和准备。
MUNIK提供的项目实施流程有哪些?
u 前期准备阶段
Ø TISAX项目启动会
Ø 标准培训
Ø 差距分析(文档类、技术策略类、物理场所)
u 中期制定阶段
Ø 修订TISAX手册、策略、方针、程序文件等
Ø 持续跟踪公司物理场所、技术策略类整改情况
Ø TISAX文档类文件完成定稿并发布
u 后期完成阶段
Ø 公司技术策略类整改完成
Ø 回顾TISAX内容,找出差异项,进行整改
Ø 撰写TISAX自评表
u 审核阶段
Ø 正式审核
Ø 整改不符合项
Ø 获得标签
如果您需要技术交流,欢迎和我们邮件联系!Shmunik@munik.com
交流内容如下但不限于以下内容 :
TISAX区分了哪几个等级?
VDA-ISA三部分由哪些控制目标组成?
