Tisax 信息安全评估与 ISO/ice27001有何不同?

Vda-isa 和 iso/iec 27001在 tisax 认证方面有着悠久的历史。该标准以 ISO/iec27001国际信息安全管理系统标准为基础,亦涵盖了 ISO/iec27001标准的基本要求。
这两个框架都支持各种规模的组织将信息安全规定集成到他们的业务运营中,以保护敏感信息。它们是互补的方法,可以帮助组织增强其信息和供应链弹性。首先,让我们看看它们之间的相似之处:
一、两者的相同点:

二者进行管理研究思路基本一致,同样可以按照内部控制域评估工作方式:如ISO/IEC 27001:2013共有14个控制域114个控制项,VDA-ISA 5分为3个模块(信息系统安全、原型保护、数据保护)和67个控制项,且二者相互之间也保持了一定的映射关系。


Tisax 信息安全评估与 ISO/ice27001有何不同?

二、两者的不同点:

1、应用范围不同:

Tisax 定义了汽车行业中信息安全的具体含义,包括关于原型车、零部件、测试车辆的处理和在事件中保护信息的具体章节,ISO/iec 27001另一方面允许在不同情况下对信息安全的定义作出某种程度的解读:
ISO/IEC 27001由两部分组成。除第4章至第10章外,附录a中还有114项信息安全控制措施。ISO/IEC 27001认证表明企业建立、实施、保持并持续改进了ISMS要求。
TISAX VDA-ISA 参考 ISO 27001、ISO 27002等规范外,并参照法律法规(例如: 通用数据保护法 GDPR)及汽车技术产业之要求我们作为管制项目。

2、级别机制不同:

ISO/IEC 27001没有评级系统,而TISAX有评级系统。 共有三个审计级别(评估级别(AL))。 企业可以选择自己的认证级别通过。 AL1一般为自我评估。 AL2和AL3要求第三方审计员对本公司进行现场审计,且仅在获得AL2和AL3批准后,TISAX一般才批准。 ISO/IEC 27001证书是指通过审核和评估的结果基本理解TISAX对应的AL2。
根据不同的对象,TISAX证书的内容分为几个层次,可以在TISAX官方网站上找到。一般有四个等级。不同的合作伙伴有五个级别,其中最详细的级别允许合作伙伴查看详细的审计结果和成熟度级别描述等内容。

3、评估方法不同:

ISO/IEC 27001证书有效期为三年,每年都要接受监督和审核。而TISAX评估一次,有效期三年。在符合性确认方面,ISO/IEC 27001颁发证书,而TISAX颁发标签。ISO/IEC 27001的认证是通过满足标准的要求来实现的,而TISAX标签的实现是基于满足VDA评估目录中评估目标的要求。
ISO/IEC 27001的证书内,包含风险评估的基本实现信息,例如企业产品名称、审核工作范围和证书有效期等简单问题描述等,不公布不符合项的数量和报告主要内容等整体评估结果描述。ISO/IEC 27001的证书的内容相当于TISAX 证书中我们面对一个普通社会大众的等级。此外,ISO/IEC 27001的证书通常由获证企业员工自愿、自行在网站上张贴并进行学习宣传,或者认证服务机构的网站或监管金融机构备案信息技术平台上进行分析查询。

三、TISAX实施的组织效益

1、行业认可: 所有 VDA 成员和原始设备制造商都需要 Tisax 认证来证明他们能够满足外部需求者的直接要求,Tisax 认证为汽车行业的信息安全评估提供了一个统一的、具有约束力的标准,评估结果被其他 Tisax 参与者接受,从而实现了行业内企业之间的相互信任。
2、避免多次检查以降低管理成本:TISAX认证基于统一的VDA-ISA安全评估目录和标准。获得TISAX标签后,通常只需要每三年进行一次TISAX评估;
3、提升企业安全管理意识:员工的行为对公司进行内部信息安全有重大影响,通过TISAX能够得到有效提高员工安全风险意识与能力;
4、延伸至互信领域:TISAX审查对象为传统汽车产业链零部件供应商、汽车市场研究和保险配套服务公司。 它延伸到自动驾驶、互联网和车辆互联网研发领域的高科技公司,以及提供信息和通信技术相关服务(云计算、大数据分析和运营)的公司。 TISAX认证已经成为该组织满足汽车行业甚至移动领域特定信息安全要求的有力证明。