企航顾问启动上海鹰峰电子科技股份有限公司的TISAX AL3（信息安全+原型保护）咨询项目

2022/08/29

2022年8月下旬，企航顾问启动了上海鹰峰电子科技股份有限公司的TISAX AL3（信息安全+原型保护）可信信息安全评估及交换机制咨询项目。

【4585】上海鹰峰电子科技股份有限公司TISAX咨询项目（党伟宁）.jpg

logo鹰峰-1.jpg

上海鹰峰电子科技股份有限公司成立于2003年9月，是一家集研发、制造、销售、服务于一体的电力电子无源器件行业的高新技术企业。主要服务于西门子、ABB、施耐德、艾默生、日立、比亚迪等众多知名品牌客户。

【图18】TISAX封面.jpg

信息安全对每个企业或组织来说都是需要的，所以信息安全管理具有普遍的适用性，不受地域、产业类别和公司规模限制。VDA（德国汽车工业联合会）于2017年联合ENX（欧洲汽车工业通信网络协会）推出针对汽车行业的“可信信息安全评估及交换 Trusted Information Security Assessment Exchange（TISAX®）”机制，该机制进一步的推动企业在满足不同相关方（主要是汽车整车制造商）的VDA-ISA（Information Security Assessment）信息安全评估，其评估结果能够进一步相互认可、交换和信任，从而减少不同整车制造商的频繁审核。

【图15】从VDA-ISA到TISAX.jpg

有关TISAX的详细介绍，请阅读企航顾问原创推文《企航顾问TISAX®可信信息安全评估及交换机制服务介绍》。

TISAX 审核内容

【图8】VDA ISA 问卷包括七个审核领域内的 41 个控制项，以及数据保护和原型件保护的控制。.png

信息安全策略和组织Information Security Policies and Organization
内容涉及信息安全策略的创建、发布或分发及定期审查，资产管理，信息安全风险管理。
人力资源Human Resources
内容涉及内外部员工遵循信息安全规定的程度，内外部员工遵守信息安全策略的程度。
物理安全和业务连续性Physical Security and Business Continuity
内容涉及对敏感信息处理设施的安全区域的定义、保护和监测，对自然灾害、故意袭击或事故产生影响的应对，信息安全要求和危机事件下的ISMS的连续性的界定、实施、核实和评估。
身份与访问管理Identity and Access Management
内容涉及访问IT系统政策和程序的适用性，特权用户和技术账户的分配和使用的监督审查，用户遵守创建和处理机密信息约束性政策的情况，授权人员的信息和应用程序的获取，与其他组织共享的环境中的数据分离。
IT安全/网络安全IT Security / Cyber Security
内容涉及密码学，操作安全，系统采购、需求管理和开发。
供方关系Supplier Relationships
内容涉及供应商获得公司信息资产时的风险控制，供应商服务的定期检测、审查和评估。
合规Compliance
内容涉及相关法律（特定国家）法规和合同要求的符合情况，个人身份信息的保护，独立第三方定期或发生重大变化时对ISMS的审核。
原型件保护Prototype Protetion
除物理及环境要求、组织架构要求外，内容还涉及整车及零配件处理（车辆或部件在运输过程中根据客户要求的保护情况，停放/存放需要保护车辆或部件的实施情况），测试车要求（预先定义的伪装法规的实施情况，测试场地的保护措施，公开批准试驾的保护措施），活动拍摄及拍照要求（涉及车辆、部件或配件的演示和活动的安全要求，涉及车辆、部件或配件的胶片和照片拍摄的保护措施）。
数据保护Data Protection
内容涉及数据保护的实施程度，个人身份数据处理的合法性保障措施，内部或工作流程在数据保护法规下进行，有关处理流程在何种程度上记录了其可受理性。

TISAX标签

根据VDA要求，企业首先需要和主机厂确定TISAX的评估范围Assessment Scopes、评估目标Assessment Objective和评估级别Assessment Level，并在ENX（第三方平台）上完成上述信息的注册，然后选择具备TISAX评估资质的评估机构开展信息安全评估，并最终出具TISAX评估评估报告，报告经评估机构和企业双方签字后，获取TISAX标签（TISAX Label），作为供应商和主机厂申请采购订单、项目合作、系统开账号、供应商资格延续的必要条件。
很多国内企业在这方面受传统体系认证的影响，觉得TISAX也是必须先做咨询后拿证书，这是一个很大的误区，TISAX就是德国汽车行业委托第三方评估机构开展的一项信息安全评估，最终得到的是一份评估报告（三年有效），并不存在所谓的证书，TISAX Label是一个在 ENX 第三方平台上可供行业内共享的评估记录，这点类似国内基于《网络安全法》开展的网络安全等级保护测评，测评机构出具的是一份测评报告，TISAX评估机构出具的也是一份评估报告，而TISAX Label类似公安部门发的备案证明。

目前现行TISAX一共定义了8个标签。企业通过申请，通过几个，就将获得几个标签。目前标签包括：
2个信息安全标签（INFO HIGH，INFO VERY HIGH）；
2个数据保护标签（DATA，SPECIAL DATA）；
4个原型保护标签（PROTO PARTS，PROTO VEHICLES，TEST VEHICLES，EVENTS SHOOTINGS）。

【图7】评估目标与评估级别的关系.png

TISAX 评估方式

TISAX评估结论将严格按照VDA-ISA成熟度级别的方法，采用成熟度得分来表示。每一个控制项的成熟度得分范围在0-5之间（可以包括不适用项），由评估机构来评价。

【图16】TISAX成熟度评估.jpg

1、不完整的成熟度为0：没有过程，或者过程不起作用、不适合实现目标；

2、起一定作用的成熟度为1：遵循未记录/未完整记录过程，有指标达成目标，并由证据证明预期的基本实践已经实施；

3、勉力应付的成熟度为2：遵循实现目标的过程，过程文件和过程实施证据可用。

过程实施控制：确定目标、计划并监控实施、适时调整、定义分配和实施职责和权限、确定分配使用资源、管理相关方接口及沟通到位。
工作成果管理：确定工艺要求、定义工作成果的文件和控制要求、对工作成果进行识别和控制、根据计划对工作成果进行评审并适时调整。

4、已获确认的成熟度为3：遵循集成到整个系统中的标准流程。对其他过程的依赖被记录下来，并创建合适的接口。有证据表明，这一过程在很长一段时间内得到了持续和积极的使用。

过程定义：定义标准过程、确定顺序和相互作用、能力和角色、基础设施和环境、监控有效性和适宜性。
过程部署：部署、分配角色职责权限、员工有经验被培训、提供资源、维保、收集数据证明有效性和适宜性。

5、可预测的成熟度为4：同3级，另外流程可被测量和控制；

6、使优化的成熟度为5：同4级，另外有专门的资源负责持续积极改进。

在评分0-5分的基础上，TISAX还使用了cut back机制，每个大控制点的目标成熟度都是3分，为了确保低分项不会被高分项拉高最终评分，实际得分超过目标成熟度的分数均会被折算为目标成熟度。具体操作如下图所示，当实际成熟度评分为4分或5分时，将调整为3分；实际成熟度评分为1-3分的将维持原分数不变。

【图14】TISAX评分方法.png