随着世界经济的飞速发展,跨国经贸的网络化、数字化、信息化已经成为各行各业的主要业务手段,“信息安全、知识产权保护”已经成为各个行业经贸合作的必备基础条件。信息安全的风险管控至关重要,关乎企业的生存和可持续发展。
我国的信息安全认证ISO27001 & ISO20000,是从服务外包行业ITO、BPO开始的,逐步向金融、保险、银行等信息安全及知识产权要求比较高的行业扩展。
伴随汽车行业供应链系统的全球化,信息安全 & 知识产权保护也在全行业得到足够重视,并实施了许多相关的信息安全以及知识产权保护措施。 其中,德国汽车工业协会(VDA) 基于ISO27000系列标准建立了VDA-ISA(Information Security Assessment)信息安全评估标准,这个标准主要用于行业成员内部评审目的。为进一步推动整个汽车供应链(例如零部件厂商,供应商,服务商)实施VDA-ISA信息安全评估,并满足不同相关方的信息安全保护要求,评估结果应能够得到进一步互认,交换和信任,以减少不同整车制造商的重复审核。基于上述目的,VDA于2017年联合ENX推出新的”可信信息安全评估交换“Trusted Information Security Assessment Exchange (TISAX) ”机制,此机制可以实现汽车行业信息安全评估的相互认可,并提供通用的信息安全评估和交换机制。
目前主流德国主机厂已强制要求其供应商通过TISAX认证才能够和他们交换数据。国内许多具有跨境合作的汽车供应商已经陆续接到TISAX认证的要求,并启动了TISAX认证项目。
TISAX认证由VDA/ENX组织授权的第三方认证机构实施,TISAX评估的基本流程如下:
1. 注册及评估准备:
1.1 注册:TISAX网站注册获取ID,与客户确认评估范围及评估等级;
1.2 评估准备:建立满足TISAX要求的信息安全管理体系(ISMS)是蕞佳途径,准备过程建议通过TISAX认证咨询来完成;
1.3 选择评估机构:选定一家由VDA/ENX官方授权的评估机构。
2. 评估执行及问题整改:
2.1 评估执行:
评估机构召开启动会议,开始正式的评估工作。通过文件审查,现场评估,得出企业信息安全的评估结果。
2.2 问题整改:
次会议后9个月内,需完成所有的问题整改,并视情况完成后续的现场跟 踪评审。认证机构会完成蕞终的评估报告。
3. 结果交互:
认证机构在TISAX网站上传蕞终的评估报告,并申请TISAX标签。企业可通过与客户分析评估结果,以获得与客户数据交互的权限。