TISAX可信信息安全评估交换
- 专业服务保障
- 一对一全程指导
- 高效快捷体验
2019年初,德国大众率先要求其所有产品制造商、外围服务商均必须满足TISAX评估要求,德国宝马和戴姆勒等欧洲汽车厂商均随后跟进。作为全球一体化的重要组成部分,越来越多的中国企业面临着TISAX体系导入迫切需求。
在线咨询
产品介绍
大部分企业可能不知道TISAX信息安全评估主要是做什么的,其实TISAX评估是适用于汽车行业的上下游供应链中的所有组织,这些企业主机厂都已经强制要求各个级别的供应商是必须通过TISAX的认证。所以,接下来擎标会带着大家了解TISAX信息安全评估的起源,评估的流程以及对企业的效益。
汽车逐渐摆脱了作为“交通工具”的单一设定,进化成了类似手机的智能产品。为了帮助主机厂保证其供应链的信息安全,2017年初,德国汽车工业协会(VDA)和ENX协会联合推出了可信信息安全评估交易所(TISAX),实现了数字汽车行业信息安全的可信评估。VDA ISA(Information Security Assessment,信息安全评估)是组织内大多数成员认可的信息安全评估流程,其审核结果经被审核方授权后,放在平台上供参与者查询。它是参考ISO 27001、ISO 27001等标准和规范制定的信息安全评估结果的交流平台。
TISAX审计的对象,一般是面向传统的汽车零部件供应商,从国内市场覆盖范围方面来看,无论是跨国经营企业发展还是本土文化企业,审计工作地点会包括一个公司总部的办公网络环境、研发技术环境,也包括其在各地的工厂、实验室、测试场地等。
随着汽车的节能化和数字化程度的提高,新能源汽车、移动互联网、自动驾驶等领域的公司,以及相应的技术开发和相关服务,成为汽车供应链不可或缺的一部分。 许多著名的科技巨头和高度创新的初创企业已经开始进军TISAX。
此外,从事汽车市场研究,以客户为中心的服务(如研究机构)和提供支持 ICT 服务(包括系统运营服务,电子邮件服务,云服务等)的公司也需要向其原始设备制造商客户和/或汽车客户提供有效的 tisax 标签。
办理流程
TISAX流程通常始于要求您根据“VDA信息安全评估”(VDAISA)的要求证明定义的信息安全管理级别的合作伙伴之一。为了满足这一要求,您可以参考以下咨询和评估全部流程。
具体流程包括以下步骤:
1.注册
我们收集有关贵公司的信息以及评估中而要包含的内容。
2.咨询
我们将和您一起实现您的目标标签。
3.评估
您将通过我们TISAX认可的审计提供商进行的评估。
4.交换
你和你的搭档分享你的评估结果。
每个步骤由子步骤组成。这些再下面的四个部分中进行了概述,并在下面的相应部分中就行了详细描述。
注意:TISAX过程的总持续时间取决于太多的因素。比如:公司规模、评估目标和信息安全管理系统的准备程度。不过,TISAX规定整个TISAX评估过程的最长持续时间为9个月。
1.TISAX注册
TISAX注册的主要目的是收集有关贵公司的信息。这是所有后续步骤的先决条件。在线注册过程中:
我们询问联系方式和账单信息。你必须接受我们的条款和条件。您可以定义信息安全评估的范围。
2.咨询
| 项目阶段 | 项目具体内容 |
| TISAX前期准备阶段 | 1.TISAX项目启动会 |
| 2.成立TISAX专项小组及确定交流机制 | |
| 3.TISAX培训 | |
| 4.差异分析(策划类) | |
| 5.确定公司文件架构 | |
| 6.信息资产风险评估专项培训 | |
| 7.信息安全&数据保护风险评估 | |
| 8.(物理场所&原型区域差异分析) | |
| TISAX中期制定阶段 | 1.策划TISAX相关SOP&WI |
| 2.编制TISAX程序文件 | |
| 3.策划TISAX手册&策略&方针 | |
| 4.关闭前期准备阶段差距分析中不可接收风险 | |
| 5.识别信息资产 | |
| 6.信息资产风险评估 | |
| 7.信息资产资产&风险评估初稿 | |
| 8.完成手册&策略&方针初稿 | |
| 9.完成程序文件初稿 | |
| 10.策划TISAX所需必要表格记录 | |
| 11.信息资产资产&风险评估定稿 | |
| 12.完成信息资产风险评估报告 | |
| 13.TISAX表格手册&策略&方针定稿发布 | |
| 14.TISAX表格程序文件定稿发布 | |
| 15.TISAX表格制度&办法定稿发布 | |
| 16.提供TISAX表格填写模板 | |
| TISAX后期完成阶段 | 1.公司物理场所整改完成 |
| 2.公司技术策略类整改完成 | |
| 3.公司手册、策略、制度类文件运行 | |
| 4.系统性回顾所有TISAX内容并找差异 | |
| 5.系统性针对回顾的TISAX差异项整改 | |
| 6.ENX网站注册 | |
| 7.联系审核机构并约定审核时间 | |
| 8.内审员培训&考试 | |
| 9.完成TISAX差异项整改 | |
| 10.执行内部审核 | |
| 11.内部审核不符合项整改 | |
| 12.执行管理评审 | |
| 13.攥写TISAX自评表 | |
| 14.最终1回顾所有TISAX内容是否无缺陷 | |
| 审核阶段 | 1.KICK-OFF MEETING(审核启动会) |
| 2.正式审核 | |
| 3.整改不符合项 | |
| 4.临时标签 | |
| 5.取得正式标签 |
3.评估
信息安全评估包含四个子步骤:
a)评估准备
你必须准备评估,准备到何种程度,取决于当前信息安全管理系统的成熟度。但你的准备工作必须以VDAISA目录为基础。
b)审核提供程序选择
一旦你准备好评估,你就必须选择我们TISAX认可的审计提供商之一。
c)信息安全评估
你的审核提供商将会基于匹配你合作伙伴要求的评估范围来进行评估。整个评估过程将至少包括初始审计。
d)评估结果
一旦你的公司通过了评估,你的审核供应商将提供TISAX官方报告给你。你的评估结果也将收到TISAX标签。
3.交换
第三步,也是最后一步是去和你的合作伙伴分享你的评估结果。TISAX报告的内容是由等级结构组成的。您可以决定您的合作伙伴可以访问的级别。你的评估结果具有三年的有效期。
所需材料
申请认证条件:
1申请者必须为合法经营的企业单位。
2能够提供汽车行业供应链的证据。
扩展支持服务
2. 项目生命周期过程中的任何不满,均可以通过公司400电话和在线方式进行投诉反馈。
3. 周期性的回访,以确保项目交付验收后的任何变更、年审、升级或续证等提醒事项。
服务指标 全天候擎标在线,7×12小时的400电话和线上支持,提供现场/远程服务。我们承诺服务响应速度不超过60分钟。我们注重服务效率,在目标时间内保质保量的交付每一次服务。
工具支持 可提供ITSM运维工具、终端保密管理工具、风险评估工具、漏洞扫描工具、BUG管理工具、评估用PIID表、软件建模工具、项目管理工具、知识库管理工具等系列解决方案。
知识中心 1. 通过咨询顾问和培训老师,可获取各类业务相关的标准库、知识库、文档库。
2. 标新领异,我们可提供部分国际最新标准的中文译本和业内的政策动态资讯。
2. 标新领异,我们可提供部分国际最新标准的中文译本和业内的政策动态资讯。
培训增值 1. 擎标每年不定期的举办培训公开课,签约客户均可享受优惠折扣和部分免费名额。
2. 部分基于线上的培训方式,受邀客户可以免费不计人数的参与研讨学习。
2. 部分基于线上的培训方式,受邀客户可以免费不计人数的参与研讨学习。
