TISAX汽車行業(yè)信息安全認(rèn)證條件和流程(可信信息安全評估交換)

一、什么是TISAX?

隨著信息化的普及，信息系統(tǒng)的基礎(chǔ)性、全局性日益突出，信息資源已成為重要的戰(zhàn)略資源之一。

汽車行業(yè)也是一樣，每日產(chǎn)生著大量的交互數(shù)據(jù)。供應(yīng)鏈中的任何一家機(jī)密信息被泄露，都會(huì)對整個(gè)供應(yīng)鏈照成巨大損失。這就要求整車制造商及其上游所有企業(yè)都能協(xié)調(diào)一致采取共同行動(dòng)應(yīng)對日趨嚴(yán)峻的網(wǎng)絡(luò)安全威脅。

德國汽車工業(yè)協(xié)會(huì)(VDA)多年前就推動(dòng)成員企業(yè)符合信息安全標(biāo)準(zhǔn)，很多年前建立VDA-ISA信息安全評估標(biāo)準(zhǔn)，通常被用于組織的內(nèi)部控制要求。從供需雙方的角度，不同的客戶以及供方審核導(dǎo)致眾多資源的浪費(fèi)。為此，VDA聯(lián)合ENX推出了信息安全評估流程，并將其審核結(jié)果放在一個(gè)可供信息交換的可信平臺(tái)(TISAX)上，其評估結(jié)果能夠進(jìn)一步相互認(rèn)可，交換和信任，從而減少不同整車制造商的頻繁審核。

圖片來自于"Beschreibung TISAX und VDA-ISA für VDA"，通過監(jiān)管“ENX治理三角”得到保證，包括ENX協(xié)會(huì)與ENX認(rèn)可的審核機(jī)構(gòu)之間以及ENX協(xié)會(huì)與每個(gè)參與者之間的合作。

二、通過TISAX認(rèn)證的好處：

2.1能夠滿足外部需求方的直接要求，行業(yè)內(nèi)的相互認(rèn)可:所有VDA成員和OEM都需要獲得TISAX認(rèn)證,

TISAX認(rèn)證為汽車行業(yè)內(nèi)的信息安全評估提供了統(tǒng)-且有約束力標(biāo)準(zhǔn),評估結(jié)果得到其他TISAX參與者共同認(rèn)可從而實(shí)現(xiàn)汽車行業(yè)企業(yè)之間安全互信;

2.2避免多次檢查降低了管理成本:TISAX認(rèn)證基于統(tǒng)-的VDA-ISA安全評估目錄和標(biāo)準(zhǔn)，通常每年只需

要進(jìn)行次TISAX評估;

2.3提升員工安全意識(shí)，員工的行為對公司內(nèi)部的安全有重大影響,通過TISAX提高員工安全意識(shí)與能力。

三、申請認(rèn)證條件：

3.1申請者必須為合法經(jīng)營的企業(yè)單位;

3.2能夠提供汽車行業(yè)供應(yīng)鏈的證據(jù);

四、認(rèn)可流程：

4.1.去ENX官網(wǎng)注冊，確定好審核的信息安全范圍等級和地點(diǎn)。注冊完成后和審核公司約好審核的時(shí)間

和地點(diǎn)，確定好費(fèi)用。

4.2.內(nèi)部自查，根據(jù)VDA-ISA_EN_4-1-0里面的詳細(xì)要求，找到目前公司的信息安全體系和標(biāo)準(zhǔn)之間的

差距。

4.3.內(nèi)部整改，根據(jù)評審出的差異點(diǎn)進(jìn)行內(nèi)部整改，同時(shí)開展內(nèi)部信息安全培訓(xùn)。

4.4.文件編寫和信息安全的運(yùn)行。根據(jù)標(biāo)準(zhǔn)要求，編寫和實(shí)施相關(guān)的信息安全文件，讓相應(yīng)的部門執(zhí)行

文件。同時(shí)，對于缺少的軟硬件都必須到位。

4.5.公司內(nèi)部再次根據(jù)VDA ISA評估目前公司的信息安全運(yùn)行情況，如果評分可以達(dá)到TISAX的要求，

可以調(diào)整到最佳狀態(tài)迎接TISAX審核員的外審。

4.6.外審?fù)ㄟ^，等待外審機(jī)構(gòu)報(bào)告，如果未通過，根據(jù)情況，再次審核，知道審核通過為止。需要注意

的是，您必須在9個(gè)月的時(shí)間內(nèi)通過全部審核，否則需要全部重新開始申請一次。

五、審核注意事項(xiàng)：

5.1在執(zhí)行TISAX審核之前需要企業(yè)與授權(quán)認(rèn)證審核服務(wù)機(jī)構(gòu)確定TISAX的審核對象，審核范圍和審核級別。

審核對象：是指企業(yè)組織范圍，部門范圍，物理地點(diǎn)等范圍;

審核范圍：是指標(biāo)準(zhǔn)范圍，壓縮范圍還是擴(kuò)展范圍;

審核級別：分為3個(gè)級別，不同的審核級別是由參與方期望達(dá)到的保護(hù)級別所決定的，TISAX區(qū)分三個(gè)不同的“保護(hù)級別”(正常，高和非常高)，其對應(yīng)AL1.AL2和AL3的審核級別;如果只是AL1級別的審核，不需要外部審核方參與企業(yè)執(zhí)行自我評估即可，但注意此級別無法獲得TISAX標(biāo)簽;因此企業(yè)通常都需要外部認(rèn)證審核方執(zhí)行AL2或AL3級別審核從而實(shí)現(xiàn)高和非常高的保護(hù)級別;

5.2對于TISAX審核時(shí)的具體技術(shù)標(biāo)準(zhǔn)的依據(jù)是VDA-ISA標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)是VDA組織基于ISO/IEC27XXX

不同信息安全相關(guān)標(biāo)準(zhǔn)定制而來，其中主要包括信息安全體系，第三方聯(lián)系，數(shù)據(jù)保護(hù)，原型保護(hù)等四個(gè)方面，包括多個(gè)控制檢查點(diǎn)組成。

評估的基礎(chǔ)是VDA信息安全評估(ISA)調(diào)查問卷，由VDA信息安全委員會(huì)創(chuàng)建和維護(hù)。它可以從VDA 網(wǎng)站下載德語或英語。

5.3對于擁有多個(gè)地點(diǎn)的公司，常規(guī)TISAX評估流程可能非常廣泛。在某些條件下，我們提供了另一種選

擇“簡化群體評估”(SGA)。簡化的小組評估是TISAX評估過程的一個(gè)特例。如果滿足前提條件，與常規(guī)TISAX評估過程相比，它可以減少工作量。這種特殊的TISAX評估流程專為擁有至少三個(gè)地點(diǎn)和集中，高度發(fā)達(dá)的信息安全管理系統(tǒng)(ISMS)的公司而設(shè)計(jì)。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識(shí)產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202111/ccaa_32329.html