TISAX汽車行業(yè)信息安全認證條件和流程(可信信息安全評估交換)

一、什么是TISAX?

隨著信息化的普及，信息系統(tǒng)的基礎(chǔ)性、全局性日益突出，信息資源已成為重要的戰(zhàn)略資源之一。

汽車行業(yè)也是一樣，每日產(chǎn)生著大量的交互數(shù)據(jù)。供應(yīng)鏈中的任何一家機密信息被泄露，都會對整個供應(yīng)鏈照成巨大損失。這就要求整車制造商及其上游所有企業(yè)都能協(xié)調(diào)一致采取共同行動應(yīng)對日趨嚴峻的網(wǎng)絡(luò)安全威脅。

德國汽車工業(yè)協(xié)會(VDA)多年前就推動成員企業(yè)符合信息安全標準，很多年前建立VDA-ISA信息安全評估標準，通常被用于組織的內(nèi)部控制要求。從供需雙方的角度，不同的客戶以及供方審核導致眾多資源的浪費。為此，VDA聯(lián)合ENX推出了信息安全評估流程，并將其審核結(jié)果放在一個可供信息交換的可信平臺(TISAX)上，其評估結(jié)果能夠進一步相互認可，交換和信任，從而減少不同整車制造商的頻繁審核。

圖片來自于"Beschreibung TISAX und VDA-ISA für VDA"，通過監(jiān)管“ENX治理三角”得到保證，包括ENX協(xié)會與ENX認可的審核機構(gòu)之間以及ENX協(xié)會與每個參與者之間的合作。

二、通過TISAX認證的好處：

2.1能夠滿足外部需求方的直接要求，行業(yè)內(nèi)的相互認可:所有VDA成員和OEM都需要獲得TISAX認證,

TISAX認證為汽車行業(yè)內(nèi)的信息安全評估提供了統(tǒng)-且有約束力標準,評估結(jié)果得到其他TISAX參與者共同認可從而實現(xiàn)汽車行業(yè)企業(yè)之間安全互信;

2.2避免多次檢查降低了管理成本:TISAX認證基于統(tǒng)-的VDA-ISA安全評估目錄和標準，通常每年只需

要進行次TISAX評估;

2.3提升員工安全意識，員工的行為對公司內(nèi)部的安全有重大影響,通過TISAX提高員工安全意識與能力。

三、申請認證條件：

3.1申請者必須為合法經(jīng)營的企業(yè)單位;

3.2能夠提供汽車行業(yè)供應(yīng)鏈的證據(jù);

四、認可流程：

4.1.去ENX官網(wǎng)注冊，確定好審核的信息安全范圍等級和地點。注冊完成后和審核公司約好審核的時間

和地點，確定好費用。

4.2.內(nèi)部自查，根據(jù)VDA-ISA_EN_4-1-0里面的詳細要求，找到目前公司的信息安全體系和標準之間的

差距。

4.3.內(nèi)部整改，根據(jù)評審出的差異點進行內(nèi)部整改，同時開展內(nèi)部信息安全培訓。

4.4.文件編寫和信息安全的運行。根據(jù)標準要求，編寫和實施相關(guān)的信息安全文件，讓相應(yīng)的部門執(zhí)行

文件。同時，對于缺少的軟硬件都必須到位。

4.5.公司內(nèi)部再次根據(jù)VDA ISA評估目前公司的信息安全運行情況，如果評分可以達到TISAX的要求，

可以調(diào)整到最佳狀態(tài)迎接TISAX審核員的外審。

4.6.外審通過，等待外審機構(gòu)報告，如果未通過，根據(jù)情況，再次審核，知道審核通過為止。需要注意

的是，您必須在9個月的時間內(nèi)通過全部審核，否則需要全部重新開始申請一次。

五、審核注意事項：

5.1在執(zhí)行TISAX審核之前需要企業(yè)與授權(quán)認證審核服務(wù)機構(gòu)確定TISAX的審核對象，審核范圍和審核級別。

審核對象：是指企業(yè)組織范圍，部門范圍，物理地點等范圍;

審核范圍：是指標準范圍，壓縮范圍還是擴展范圍;

審核級別：分為3個級別，不同的審核級別是由參與方期望達到的保護級別所決定的，TISAX區(qū)分三個不同的“保護級別”(正常，高和非常高)，其對應(yīng)AL1.AL2和AL3的審核級別;如果只是AL1級別的審核，不需要外部審核方參與企業(yè)執(zhí)行自我評估即可，但注意此級別無法獲得TISAX標簽;因此企業(yè)通常都需要外部認證審核方執(zhí)行AL2或AL3級別審核從而實現(xiàn)高和非常高的保護級別;

5.2對于TISAX審核時的具體技術(shù)標準的依據(jù)是VDA-ISA標準，這個標準是VDA組織基于ISO/IEC27XXX

不同信息安全相關(guān)標準定制而來，其中主要包括信息安全體系，第三方聯(lián)系，數(shù)據(jù)保護，原型保護等四個方面，包括多個控制檢查點組成。

評估的基礎(chǔ)是VDA信息安全評估(ISA)調(diào)查問卷，由VDA信息安全委員會創(chuàng)建和維護。它可以從VDA 網(wǎng)站下載德語或英語。

5.3對于擁有多個地點的公司，常規(guī)TISAX評估流程可能非常廣泛。在某些條件下，我們提供了另一種選

擇“簡化群體評估”(SGA)。簡化的小組評估是TISAX評估過程的一個特例。如果滿足前提條件，與常規(guī)TISAX評估過程相比，它可以減少工作量。這種特殊的TISAX評估流程專為擁有至少三個地點和集中，高度發(fā)達的信息安全管理系統(tǒng)(ISMS)的公司而設(shè)計。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202111/ccaa_32329.html