TISAX® - 汽车行业信息安全

保护原型等机密信息,保护品牌声誉并建立客户忠诚度。

在一个崇尚和追求创新的环境中,成功依赖于多方参与,安全的信息交换至关重要。汽车行业的供应链长而复杂,需要一种“生态系统化”的信息安全方法。

在数字时代,汽车供应商,营销公司和其他相关方都有信息安全的需求。首要需求是保护:

  • 项目或设计信息、原型样件、或秘密投资计划
  • 与数字化新概念、开发自动汽车驾驶相关的大数据和过程数据
  • 供应链网络内的互联
  • 顾客的隐私数据

TISAX

TISAX(Trusted Information Security Assessment eXchange)是针对汽车行业需求的一种基于成熟度的信息安全评估方法。评估是特定整车制造商提出的必须要求,主要适用于一级和二级供应商, 但也可扩展到更复杂的供应链。

方案目标:

  • 为汽车行业建立一个通用的安全等级
  • 确保对评估的一致认可,以降低制造商和供应商的成本、工作量和复杂性
  • 确保评估的可比性和质量
  • 交流最佳实践和经验教训
  • 让每个参与者决定将结果透露给谁以及细节程度

TISAX结合了德国Verband der Automobilindustrie(VDA)的以往信息安全规则(ISA)和ISO/IEC 27001的附录A(技术控制)以及一些隐私要求。

TISAX® vs ISO/IEC 27001

TISAX更关注于信息安全管理体系标准ISO/IEC 27001的关键要素,尤其关注汽车行业的特定要素。

主要区别:

ISO/IEC 27001TISAX
管理体系标准关注与合作伙伴相关的信息安全流程和组成部分
通过/不通过方法成熟度级别方法
认证前范围是可以定义的范围是固定的
基于公司的风险分析基于VDA-ISA工作组的风险分析
认证公司颁发证书TISAX颁发标签并交流注册信息
年度审核和3年换证审核3年有效期,没有年度评估

获得评估后的优势

除了作为某些制造商的商业贸易要求之外,TISAX评估也有助于建立供应链信任。参与的供应商可通过以下方式获益:

  • 获得汽车制造商的认可
  • 防止信息安全漏洞和网络攻击
  • 赢得客户信任
  • 识别和解决风险
  • 对信息安全流程获得尽职认可
  • 通过ENX交流和分享评估结果

如何获得评估

参与TISAX评估的公司必须在ENX注册。 

这一过程是分阶段进行的:

  • 关注
    了解TISAX的要求。
  • 准备
    在TISAX网站上注册,选择贵司的评估机构,并为审核做准备。包括自我评估,以衡量贵司的符合性和准备情况 。
  • 评估
    视贵方符合远程评估(二级)或现场评估(三级)条件的情况,确定评估的具体展开形式,评估包括面谈、文件评估、澄清可能的发现和下一步的工作内容。
  • 纠正行动计划和跟踪
    准备一份纠正行动计划(CAP),以消除差距,并提交给评估提供方。双方通过沟通和讨论,评估CAP有效性,并完成TISAX报告。
  • 结果的交流
    评估提供者将TISAX报告上传到ENX平台,被评估公司决定向谁分享评估结果。ENX向被评估的公司颁发TISAX标签。

DNV是经过批准的TISAX供应商,在全球范围内,通过DNV的当地办事处和评估师网络,为TISAX提供评估服务。

ENX维护评估提供者标准和评估要求(TISAX ACAR) 。它批准评估提供者,并监测执行质量和评估结果。ENX由TISAX委员会支持,该委员会由制造商、供应商和协会的代表组成。