TISAX® 可信信息安全评估与交换

从“电动化、网联化、智能化、共享化”概念被首次提出后,汽车行业开启了前所未有的、令人惊叹的变革。在变革浪潮中,汽车已逐渐摆脱其作为“交通工具”的单一设定,演化成如同手机般的智慧产品,融入到大多数人的生活中,公交车、私家车每天都在路上飞驰着,为了让汽车人机交互系统操作更加便捷,汽车也在向智能化快速发展。然而,随之而来的信息安全问题日趋严重,受到了广泛关注。
如何解决汽车行业的信息安全问题?
为了帮助主机厂确保其供应链的信息安全,2017年初,德国汽车工业协会(VDA)与ENX协会联合推出了可靠交换机制TISAX(Trusted Information Security Assessment Exchange可信信息安全评估交换),实现数字化汽车行业的信息安全可信评估。把受多数组织成员认可的信息安全评估流程VDA ISA (Information Security Assessment) 之审核结果放上平台,供参与者在得到被审核者授权后做查询。
同年起,该项评估的流程和标准开始成为强制性要求,在全球范围内,包括零部件厂商、外围服务供应商等在内的所有相关供应商,都被要求建立和维持基于行业互通的信息安全管理体系,并将通过与之对应级别的TISAX认证作为准入条件。如今,众多国内汽车配件公司都收到了主机厂要求通过TISAX认证的通知,纷纷着手准备该认证。

 

什么是TISAX®?
TISAX® 可信信息安全评估与交换标准是基于ISO 27001信息安全管理体系标准和VDA-ISA信息安全评价检查表而建立的汽车行业专用信息安全标准。TISAX® 为汽车行业内不同服务商提供了信息安全评估结果互认的模式,供应商通过了该评估,即意味着其结果得到了所有参与方的认可。

 

 为什么要进行TISAX®审核?有哪些优势?
✦行业内的相互认可:所有VDA成员和OEM都需要获得TISAX认证,以证明其能够满足外部需求方的直接要求,TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准,评估结果得到其他TISAX参与者的共同认可,从而实现行业企业之间的安全互信;
✦避免多次检查降低管理成本:TISAX认证基于统一的VDA-ISA安全评估目录和标准,获得TISAX标签后,通常每三年只需要进行一次TISAX评估;
✦提升安全意识:员工的行为对公司内部安全有重大影响,通过TISAX能够有效提高员工安全意识与能力。
    
TISAX®与ISO27001有什么区别?
TISAX®可信信息安全评估与交换标准是基于ISO 27001信息安全管理体系标准扩展到包括汽车特定要求,例如作为原型保护。获得TISAX®审核的企业并不自动获得ISO 27001认证。此外,无论是从审核频率、结果证明、适用范围、还是从不符合项处理规则来看,TISAX®和ISO 27001都存在着显著的差异。
例如评估方法,ISO 27001要求进行年度审计,而TISAX则是一次评估,有效期为三年。在一致性确认方面,ISO 27001颁发证书,而TISAX是标签。对ISO 27001的认证是通过满足标准的要求来实现的,而实现TISAX标签的基础是满足VDA评估目录中的评估目标的要求。
TISAX®评估流程与周期
TISAX®评估分为三个阶段:初始评估,纠正措施计划评估和后续评估。整个评估过程最长不能超过9个月。如果在此规定时间内,没有完成评估流程,则必须重新申请。具体流程和周期安排可参考下图。

 

TISAX®注册注意事项
1、评估范围一旦被注册,TISAX参与者无法自行修改;
2、ENX批准后,应在收到发票后30天内,使用ENX在相应发票中传达的付款详情信息进行付款;
3、TISAX标签需每三年更换一次,因此要注意在标签过期前一年着手准备。再次进行评估之前,需要注册一个新的范围。新范围只需分配一个新的范围名称、添加联系人、选择评估对象并添加评估地点即可。

TISAX®评估范围和评估对象
评估范围指的是信息安全评估工作的范围,它规定了审核提供方需要评估的内容。其主要分为标准范围,压缩范围及扩展范围三大类。需要注意的是,压缩范围是无法获得TISAX审核标签的。
评估对象作为TISAX认证的关键输入,它规定了参与者信息安全管理体系应当满足的有关要求。评估对象的确定是咨询和评估工作开展的必要前提。
VDA- ISA结构
VDA-ISA 检查表共有3个模块(信息系统安全、原型保护、数据保护)和67个控制项,它是TISAX 审核提供商颁发 TISAX 标签的依据。
VDA-ISA问卷的评估结果最终会以蜘蛛图的样式呈现,通过此图,我们可以清楚地了解到每个审核领域的绩效。
TISAX®能力成熟度等级划分
TISAX采用“成熟度等级”的概念用于评估控制项的完成质量,在实际审核过程中,分为6个成熟度等级:

1、不完整的成熟度为0:表示没有流程或流程未运行(没做),属于重大不符合;
2、已执行的成熟度为1:表示有运行的流程,但是流程没有被记录(做了没记录),属于重大不符合/轻微不符合;
3、已管理的成熟度为2:表示运行且有记录的流程,但是同一目标有多个不同的流程(流程不统一),属于轻微不符合/观察项;
4、已建立的成熟度为3:表示有运行的流程,也有实时更新的运行记录,且流程是在一个统一的信息安全框架下管理的(有流程有记录,但是没测量),属于观察项/无偏差;
5、可预测的成熟度为4:表示在成熟度3的基础上有运行的流程并可以测量,属于无偏差;
6、在优化的成熟度为5:表示在成熟度4的基础上有专人负责持续提升优化,属于无偏差。

 

TISAX®评估级别
保护需求越高,您的合作伙伴就越希望确保能够放心地让您处理他们的信息。因此,TISAX定义了三大“评估级别(Assessment Level, 简称AL)”。
评估级别 1(AL 1):
评估级别 1 主要针对公司内部用途,是真正意义上的自我评估(self-assessment)。
评估级别 2(AL 2):
为确认是否符合级别2,审计服务提供商会对您的自我评估结果(针对评估范围内的所有地点)执行合理性检查。此外,审计服务提供商通常会以电话会议的形式完成谈话过程。
该级别一般不包含现场检查。但如果您选择了其中一个“原型”评估对象,则评估过程将总是包含一次现场检查。
评估级别 3(AL 3):
为确认是否符合级别3,审计服务提供商会执行评估级别 2 所要求的所有检查,只不过,相关检查的范围会更广,并且审计服务提供商将通过深入开展现场检查以及面对面谈话等形式,来全面核查您的自我评估结果。
评估级别规定了我们的TISAX审计服务提供商所执行的审核深度以及使用的审计方法。简单来说,评估级别越高,相应的评估强度就越高,使用评级方法也就越高级。大部分情况下,建议企业选择级别AL3。
TISAX®标签的获得与结果分享
就TISAX®标签而言,企业通过申请,通过几个,就将获得几个标签,可以同时发起申请。
认证结果不以证书的形式体现,而是不同的电子标签。标签有效期3年,从末次会议当天开始计算。