您好,欢迎访问三七文档
当前位置:首页 > 机械/制造/汽车 > 汽车理论 > TISAX汽车行业信息安全认证条件和流程(可信信息安全评估交换)
1一、什么是TISAX?随着信息化的普及,信息系统的基础性、全局性日益突出,信息资源已成为重要的战略资源之一。汽车行业也是一样,每日产生着大量的交互数据。供应链中的任何一家机密信息被泄露,都会对整个供应链照成巨大损失。这就要求整车制造商及其上游所有企业都能协调一致采取共同行动应对日趋严峻的网络安全威胁。德国汽车工业协会(VDA)多年前就推动成员企业符合信息安全标准,很多年前建立VDA-ISA信息安全评估标准,通常被用于组织的内部控制要求。从供需双方的角度,不同的客户以及供方审核导致众多资源的浪费。为此,VDA联合ENX推出了信息安全评估流程,并将其审核结果放在一个可供信息交换的可信平台(TISAX)上,其评估结果能够进一步相互认可,交换和信任,从而减少不同整车制造商的频繁审核。图片来自于BeschreibungTISAXundVDA-ISAfürVDA,通过监管“ENX治理三角”得到保证,包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。二、通过TISAX认证的好处:22.1能够满足外部需求方的直接要求,行业内的相互认可:所有VDA成员和OEM都需要获得TISAX认证,TISAX认证为汽车行业内的信息安全评估提供了统-且有约束力标准,评估结果得到其他TISAX参与者共同认可从而实现汽车行业企业之间安全互信;2.2避免多次检查降低了管理成本:TISAX认证基于统-的VDA-ISA安全评估目录和标准,通常每年只需要进行次TISAX评估;2.3提升员工安全意识,员工的行为对公司内部的安全有重大影响,通过TISAX提高员工安全意识与能力。三、申请认证条件:3.1申请者必须为合法经营的企业单位;3.2能够提供汽车行业供应链的证据;四、认可流程:4.1.去ENX官网注册,确定好审核的信息安全范围等级和地点。注册完成后和审核公司约好审核的时间和地点,确定好费用。4.2.内部自查,根据VDA-ISA_EN_4-1-0里面的详细要求,找到目前公司的信息安全体系和标准之间的差距。4.3.内部整改,根据评审出的差异点进行内部整改,同时开展内部信息安全培训。4.4.文件编写和信息安全的运行。根据标准要求,编写和实施相关的信息安全文件,让相应的部门执行文件。同时,对于缺少的软硬件都必须到位。4.5.公司内部再次根据VDAISA评估目前公司的信息安全运行情况,如果评分可以达到TISAX的要求,可以调整到最佳状态迎接TISAX审核员的外审。4.6.外审通过,等待外审机构报告,如果未通过,根据情况,再次审核,知道审核通过为止。需要注意的是,您必须在9个月的时间内通过全部审核,否则需要全部重新开始申请一次。3五、审核注意事项:5.1在执行TISAX审核之前需要企业与授权认证审核服务机构确定TISAX的审核对象,审核范围和审核级别。审核对象:是指企业组织范围,部门范围,物理地点等范围;审核范围:是指标准范围,压缩范围还是扩展范围;审核级别:分为3个级别,不同的审核级别是由参与方期望达到的保护级别所决定的,TISAX区分三个不同的“保护级别”(正常,高和非常高),其对应AL1,AL2和AL3的审核级别;如果只是AL1级别的审核,不需要外部审核方参与企业执行自我评估即可,但注意此级别无法获得TISAX标签;因此企业通常都需要外部认证审核方执行AL2或AL3级别审核从而实现高和非常高的保护级别;5.2对于TISAX审核时的具体技术标准的依据是VDA-ISA标准,这个标准是VDA组织基于ISO/IEC27XXX不同信息安全相关标准定制而来,其中主要包括信息安全体系,第三方联系,数据保护,原型保护等四个方面,包括多个控制检查点组成。4评估的基础是VDA信息安全评估(ISA)调查问卷,由VDA信息安全委员会创建和维护。它可以从VDA网站下载德语或英语。5.3对于拥有多个地点的公司,常规TISAX评估流程可能非常广泛。在某些条件下,我们提供了另一种选择“简化群体评估”(SGA)。简化的小组评估是TISAX评估过程的一个特例。如果满足前提条件,与常规TISAX评估过程相比,它可以减少工作量。这种特殊的TISAX评估流程专为拥有至少三个地点和集中,高度发达的信息安全管理系统(ISMS)的公司而设计。
本文标题:TISAX汽车行业信息安全认证条件和流程(可信信息安全评估交换)
链接地址:https://www.777doc.com/doc-4517621 .html