德国汽车工业协会 (VDA) 多年前就推动成员企业符合信息安全标准,很多年前就建立了VDA-ISA( Information Security Assessment)信息安全评估标准,然后在2017年联合ENX(欧洲汽车工业安全数据交换协会)推出新的TISAX机制,同年,TISAX已成为VDA的一项信息安全强制要求,是供应商采购订单、项目合作、数据交换、资格延续的必备前提条件。简而言之,虽然当前TISAX认证的强制范围暂限定在德系车企,但欧系、美系和国内厂商也在纷纷跟进。为了确保供应链安全,很多德国主机厂(如奔驰、宝马、大众、奥迪等)都已强制要求其各个级别的供应商必须通过TISAX认证才能与他们交换数据,国内很多汽车零部件供应商公司也都收到了强制认证的通知。2. 为何国内外都信这个标准呢?一般而言,标准即基于良好实践形成的适用性较强的规定,难道这个标准真的优xiu得突破天际,凭啥欧盟、美国、国内对其认可度不一般?主要是因为TISAX认证是唯一对汽车产业链进行信息安全认证的机制,而且基于它的强制属性及德系车企对其实践落地效果的认可,所以在汽车行业它的认可度高。就像目前广泛应用的ISO27001,其实蕞早也是基于英国的BS7799来的,(哪家公司没有ISO9001和ISO27001,感觉都不好意思投标似的,狗头~),也许哪天TISAX也成了汽车行业的国ji标准,基于汽车行业历史性变革,“电动化、网联化、智能化、共享化”,也许这块即将登台(其实TISAX本身就参考多项标准要求,比如ISO27001、CMM等)。比如,国内刚发布的《信息安全技术 车载网络设备信息安全技术要求》(征求意见稿)。
3.哪些企业应进行TISAX认证?TISAX认证适用于整个汽车行业的供应链。各位看官,可对应以下例子,简单对号入座。
4. TISAX的三步流程TISAX流程通常起始于供应商按照主机厂要求发起TISAX认证,向主机厂证明其信息安全管理所达到的规定级别。
1. 注册在ENX平台完成信息注册,获得TISAX注册凭证。1) 与业务合作伙伴(如主机厂)沟通确认:a) 确定评估范围b) 规定保护级别c) 评估对象2) 在线注册流程(20min):
流程包括:创建TISAX门户账号,注册TISAX ID,设置联系信息,接受与ENX协会之间的“TISAX 参与一般条款和条件(TISAX GTC)”,登记评估范围(包括付款),收到确认邮件。
2. 评估
经过TISAX认可的审核机构进行实际评估。
D. 详细评估结果
E. VDA-ISA各控制项成熟度级别
3. 交换
与业务合作伙伴分享评估结果,需受审公司明确许可方会交换共享。
注:可按需选择分享的对象、分享报告的相应章节;
分享许可在评估结果有效期内不可撤销。
1) Information Security(IS)模块——52项
框架和控制点要求基本来自ISO27001,增加关于云服务在各个控制域的具体要求,并根据汽车行业特性进行了部分调整。
2) Connection to 3rd parties模块——4项
该模块内容实质是从IS模块中将第三方连接相关的四条控制项抽离,形成独立模块,主要考虑供应商如果存在与主机厂进行系统互通的情况下如何保证信息传输和使用的安全。
3) Data protection模块——4项
该模块根据欧盟GDPR的条款28,实现对个人信息保护的法规要求的响应。即供应商是否制定和实施了与数据保护相关的制度和措施来对核心数据资产进行保护以满足安全需求并符合法律合规。
4) Prototype Protection模块——22项
原型保护模块包含车辆原型(试验车、核心零部件样件)保护的物理和组织要求,并适用于组织处理车辆原型的各流程(运输、停放等)。
以上,就是今天为大家简单介绍的TISAX体系认证的内容,从是什么,到为什么,谁需要认证,以及具体的认证流程,想必大家对TISAX有了初步的认识,TISAX的体系认证的实际工作可能涉及到的内容和要素会更广,考虑到对TISAX体系的认识需要,我们将会针对TISAX的内容做进一步解读,敬请期待!