TISAX® - 汽车行业信息安全
保护原型等机密信息,保护品牌声誉,建立客户忠诚度。
在一个依赖多方合作才能成功的极具创新性的环境中,信息的安全交换至关重要。汽车行业在其漫长而复杂的供应链中需要一种“生态系统化”的信息安全方法。
在我们的数字时代,信息安全需求不仅限于汽车供应商,还涉及营销公司和其他相关方。主要需求是保护:
-
项目或设计信息、原型或投资秘密计划,
-
与数字化新概念、自动驾驶汽车开发相关的大数据和过程数据,
-
供应链网络中的互联互通,
-
以及客户的个人数据。
什么是 TISAX ?
TISAX (可信信息安全评估交换)是汽车行业的全球信息安全标准。它是一种基于成熟度的信息安全评估方法,针对汽车行业的需求而设计。主要适用于一级和二级供应商,但可扩展到更复杂的供应链,某些 OEM 要求进行评估。
该计划的目标是:
-
为汽车行业建立共同的安全水平,
-
确保评估的共同认可,以减少制造商和供应商的成本、努力和复杂性,
-
确保评估的可比性和质量,
-
交换最佳实践和经验教训,
-
让每个参与者决定向谁公开结果以及详细程度。
TISAX 结合了德国汽车工业协会( VDA )的前信息安全规则( ISA )和 ISO/IEC 27001 的附录 A (技术控制)以及一些隐私要求。
TISAX® 与 ISO/IEC 27001 的区别
TISAX 基于信息安全管理体系标准 ISO/IEC 27001 的关键要素,专注于与汽车行业背景特别相关的要素。
主要区别是:
| ISO/IEC 27001 | TISAX |
|---|---|
| 管理体系标准 | 涵盖与汽车行业合作伙伴相关的信息安全流程和部分 |
| 开/关方法 | 成熟度方法 |
| 认证前定义范围 | 范围固定 |
| 认证机构颁发证书 | ENX 颁发标签和交换注册 |
| 定期审核和 3 年后重新认证 | 3 年有效期,无定期审核 |
评估的好处
除了作为某些制造商的准入要求外, TISAX 评估有助于建立供应链信任。参与的供应商可以通过以下方式受益:
-
获得汽车制造商的认可;
-
防止信息安全漏洞和网络攻击;
-
赢得客户信任;
-
识别和应对风险;
-
获得对信息安全流程的认可;
-
通过 ENX 交换平台分享评估结果。
如何开始
进入该计划的公司必须在 ENX 注册为参与者。
该过程分阶段进行:
- 关注
了解 TISAX 要求。 - 准备
在 TISAX 门户上注册,选择您认可的审核机构,并为审核做准备。这包括进行自我评估以衡量您的合规性和准备情况。 - 评估
审核的执行方式取决于您是否符合远程( 2 级)或现场( 3 级)审核的条件。审核本身包括访谈、文件审查、澄清可能的发现和下一步行动。 - 纠正行动计划及后续行动
准备纠正行动计划( CAP )以关闭任何发现的问题(差距),并将其提交给审核提供者。 CAP 通过后续行动(或更多,如有必要)进行评估,并完成 TISAX 报告。 - 结果交换
审核提供者将 TISAX 报告上传到平台。被审核公司决定与谁共享结果。 ENX 向被审核公司颁发 TISAX 标签。
DNV 是 ENX 协会认可的保证提供者。通过我们的本地办事处和审核员网络,我们可以在全球范围内提供 TISAX 评估。
