2019年初,德国大众率先要求其所有产品制造商、外围服务商均必须满足TISAX®评估要求,德国宝马和戴姆勒等欧洲汽车厂商均随后跟进。作为全球一体化的重要组成部分,越来越多的中国企业面临着TISAX®体系导入迫切需求。
Trusted Information Security Assessment Exchange (TISAX) for Automotive Industry
汽車業信息安全評估交流機制
Are you a supplier or service provider for the automotive industry? Do you need to assure customers that you are keeping their information secure – Participation in the TISAX Exchange.
On the request of some of the largest automotive manufactures, a common assessment and exchange mechanism, based on VDA Information Security Assessment (ISA) criteria, has been developed: Trusted Information Security Assessment Exchange (TISAX).
Entrusted by VDA, ENX Association is operating the TISAX. ENX is a Managed Security Service for secure and reliable communication, being used by more than 1,000 automotive companies in over 30 countries.
You undergo a VDA Information Security Assessment (ISA) administered by an accredited audit provider, such as DQS. As a registered TISAX participant, your assessment result will be accepted by all other participants in the scheme.
您是汽車行業的供應商或服務提供商嗎? 您需要向客戶保證您的信息安全嗎? – 參與TISAX 交換機制。
在几家全球知名汽車主機廠的推動下,基於VDA 信息安全評估標準的一個共同認可評估和交換機制已經建立:TISAX汽車行業信息安全評估交流機制。
在VDA的信任下,TISAX由ENX協會運營。ENX是一個安全服務相關的信息交流機制,目前在30多個國家有1,000多家汽車行業的公司在使用此服務。
您接受由經認可的審核提供商管理的VDA ISA信息安全評估, 例如DQS。作為註冊的TISAX參與者,您的評估結果將被機制中其他的參與者接受。
Assessment Standard 評估标准
The VDA’s Information Security working group recently developed an information security assessment (ISA) based on essential aspects of ISO/IEC 27001 and 27002, but with the addition of a maturity level model. Version 4.1 of the VDA ISA was published in late-2018.
VDA的信息安全工作組最近在ISO/IEC 27001 和 27002 的基礎上開發了信息安全評估基準(ISA),但增加了成熟度級別模型。 VDA ISA的4.1版本於2018年末發布。
Harmonizatio of Security Levles 安全等级协调
A comparison within the automotive industry revealed differences between the companies regarding the number and the designation of information classification levels.
The VDA’s Information Security working group has developed a standard scheme for classifying information, which has been published as a White Paper.
In conjunction with the requirements of the VDA’s Information Security Assessment (VDA ISA), it helps to prevent misunderstandings and risks during the exchange of information and thus fosters appropriate information handling.
The VDA recommends its members to use this White Paper for orientation and to implement the described scheme for information classification in the companies.
汽車行業內的比較揭示了不同公司在信息分類水平的數量和名稱方面的差異。
VDA的信息安全工作組制定了一個標準的信息分類方案,並作為白皮書發布。
結合VDA信息安全評估基準的要求,它有助於防止信息交換過程
目前现行TISAX®一共定义了10个标签。企业通过申请,通过几个,就将获得几个标签。目前标签包括:2个信息安全标签(INFO HIGH,INFO VERY HIGH)、2个第三方连接标签(CON HIGH,CON VERY HIGH)、4个原型保护标签(PROTO PARTS,PROTO VEHICLES,TISAX®评估分为三个阶段:初始评估,纠正措施计划评估和后续评估。整个评估过程最长不能超过9个月。如果在此规定时间内,没有完成评估流程,则必须重新申请评估流程。
TISAX认证–程序
注册:一家公司注册TISAX,并根据VDA ISA问卷提交其自我评估,包括其目标证书级别。
选择审计提供者:公司选择独立的审计提供者。
合理性检查/初步检查:审计提供者验证是否已完成自我评估,包括任何支持文件。
优化:公司消除了在初始审核期间发现的缺陷。
评估:公司接受TISAX评估(2级:远程,3级:现场)。
优化:公司消除了TISAX评估期间发现的弱点。
跟进:公司必须证明在评估期间发现的所有缺陷均已消除。
交易所:公司通过TISAX交易所公布审计结果(自愿)。
不同的防护等级和评估等级
ENX协会作为TISAX®计划的运营商,明确定义了评估的级别和范围。TISAX®区分了三种不同的“保护级别”(正常、高和极高),定义了所需的信息保护级别。此外,TISAX®区分了定义评估深度和评估方法的三个“评估级别”:
防护等级正常的信息:以自我评估的形式评估等级1。TISAX®通常不使用评估级别为1的评估结果,但可能会在计划之外要求使用。
高保护级别的信息:通过审计组织进行的评估级别2,以自我评估为基础,以及各种文件和电话采访(如果需要,现场检查)。
具有极高保护级别的信息:由独立审计提供商根据文件和现场审计进行的3级评估。
在每种情况下,TISAX®评估的范围和持续时间基本上是根据待处理的标准清单、保护目标、ISMS的复杂性和涉及的场地数量来确定的。