2017年底,德国汽车工业协会VDA和ENX联合为VDA ISA创建TISAX(Trusted Information SecurityAssessment Exchange):信息安全的评估和交换机制, 可以实现汽车行业信息安全评估的相互认可,并提供 通用的评估和交换机制。 ISA: 用于组织的内部控制要求, 接触组织敏感信息的 供应商(服务商)的审核要求。 VDA联合ENX推出成员组织认可的信息安全评估流程, 将审核结果放在授权的平台上以供信息查询和交换。 ENX:为欧洲汽车工业提供开发、采购和生产控制安全 交换关键数据解决方案的协会 ENX协会:TISAX的监管和组织的角色。由ENX认可 审核机构并且监督审核机构的审核结果以及审核的合规性。
申请TISAX有如下4个步骤:
注册
寻找合适的审核方
接受审核评估
与现有和潜在客户交换评估结果 (TISAX Label)
TISAX在国内目前的现状:
大众,奥迪和保时捷要求供应商必须通过TISAX ,未来其他德国车企奔驰,宝马可能也会跟 进要求供应商通过TISAX。目前主要是德国主机厂强制要求通过TISAX才能够和他们交换数 据,所以国内汽车配件公司都被通知要求通过TISAX。因为2018年中大众奥迪等公司才提出 TISAX的要求,国内大部分公司处于准备阶段。
如何审核:
对于TISAX审核时的具体技术标准依据是VDA-ISA标准,这个标准是VDA组织基于ISO/IEC 27XXX不同信息安 全相关标准定制而来,主要包括信息安全体系,第三方联系,数据保护,原型保护等四个领域,包括多个控制检查点组成。审核对象:是指企业组织范围,部门范围,物理地点等范围;审核范围:是指标准范围,压缩范围还是扩展范围;请注意压缩范围是无法获得TISAX审核标签的;
审核级别:
分为3个级别,不同的审核级别是由参与方期望达到的保护级别所决定的,TISAX区分三种不同的 “保护级别”(正常,高和非常高),其对应AL1,AL2和AL3的审核级别;如果只是AL1级别的审核,不需要外 部审核方参与企业执行自我评估即可,但注意此级别无法获得TISAX标签;因此企业通常都需要外部认证审核 方执行AL2或AL3级别审核从而实现非常高的保护级别;
通过TISAX认证企业,能够获取以下效益:
-满足外部需求方直接要求,行业内相互认可:所有VDA成员和OEM都需要TISAX认证,TISAX认证为汽车行 业内的信息安全评估提供了统一且有约束力标准,评估结果得到其他TISAX参与者共同认可从而实现汽车行业 企业之间安全互信;-避免多次检查,降低管理成本:TISAX认证基于统一的VDA-ISA安全评估目录和标准,通常每三年只需要进行 一次TISAX评估;-提升员工安全意识,员工是公司信息安全保护的重要资源与手段,他们的行为对公司内部的安全有重大影响, 通过TISAX提高员工安全意识与能力;
第三方评审流程:
客户在线注册获得TISAX 参与者ID和范围ID。-首先要成为一个TISAX参与者才能开始TISAX评审和认可。希望得到TISAX认可的公司需要填妥一个注册问卷 表对评审的范围和深度进行界定。-一旦获得了“参与者ID”,审核机构的评审过程就可以开始。必维在2019年开始可以在全球实施TISAX审核, 拥有TISAX认可的审核员。
TISAX 包括哪些? -界定评审涵盖内容的第一步是范围和评审级别。(AL2高,AL3非常高)。-评审目标直接来自VDA ISA模式,包括:信息安全基础;与第三方的联系;原型和数据保护。评审级别可以 界定为高和非常高。-关于范围,可以从TISAX要求中选择三种范围(缩减,正常,扩展),缩减范围是不能获得TISAX标签的。TISAX着重于处理合作伙伴(如客户)信息并根据实际任务和相关场所对评审进行调整。
总结:
前我们碰到的客户几乎都是为了安装KVS而申请进行的TISAX审核的,而且一般有内部的时间节点。所以,是的, 你们必须回应大众的要求开始实施TISAX审核,并按照安装KVS的时间倒推什么时候必须拿到TISAX标签。而通常距 离拿到标签的时间为好几个月,平均为六个月。一般的TISAX审核步骤和流程如下:
1) 填妥申请表后发给审核机构报价;同时,你们要去TISAX官网注册,获得ScopeID等。请仔细阅读TISAXHandbook.
2) 确定审核机构并填妥自我评审表,按照Must, should, additional的要求对每个章节逐一回答并提供支持证据的索引,及写明打分(成熟度)的理由。
3) 和审核机构商定启动会议的时间(KOM)并提交自我评审结果
4) 启动会议后审核员会对自我评审表和提交的支持证据做初步的评估,并决定第二阶段的“正式”审核。通常这 个第一阶段和第二阶段之间会间隔一个月。
5) 第二阶段即正式审核开始后的跨度大概也在一个月到两个月之间,中间会有文件往返,人员访谈等,直到双方约定的结束日期之前审核员通知出具草稿报告,确认后上传TISAX批标签。
6) 纠正行动审核和跟进审核取决于贵司是否有不符合项,允许在九个月内关闭。
7) TISAX标签有效期为三年。审核后先有一个临时标签,关闭了所有不符合项后将有一个永jiu标签。