2022/09/11
2022年9月上旬,企航顾问启动了泰信电机(苏州)有限公司的TISAX AL3(信息安全+原型保护)可信信息安全评估及交换机制咨询项目。
TISAX相关专业知识请阅读企航顾问原创推文:
1、企航顾问TISAX可信信息安全评估交换机制服务介绍
2、TISAX与ISO/IEC27001的比较研究
3、TISAX(可信信息安全评估及交换机制)合规体系建设方案
泰信电机(苏州)有限公司为韩国独资企业,专业生产压缩机电机、吸尘器电机、汽车电机等。
德国汽车工业联合会(VDA)多年前建立了VDA–ISA 信息安全评估标准来推动其成员企业符合信息安全标准,又于2017年联合欧洲汽车工业通信网络协会(ENX)推出新的可信信息安全评估及交换机制TISAX (TrustedInformation Security Assessment Exchange ),此机制能减少不同汽车制造商的频繁审核,推动企业之间的相互认可、交换和信任,目前已经逐渐扩展到所有的德国乃至欧洲汽车行业,成为一种评价供应商信息安全能力的通用评估和交换机制。
TISAX代表可信信息安全评估交换,它被认为是汽车行业信息安全的锚。VDA和ENX协会制定了一致的质量标准来提高信息安全性。TISAX规定了汽车整个供应链上的评估标准、评估方法和评估信息交换标准,适用于所有相关方。这是一个用于跨公司交换汽车行业信息安全测试结果而专门开发的在线平台。公司通过在平台上激活结果就可以通知其直接业务合作伙伴其信息安全符合TISAX。
企航顾问是国内最早开展TISAX培训和辅导的专业机构,也是目前辅导TISAX项目最多的顾问机构之一。了解更多TISAX知识,可点击阅读企航顾问原创推文:
2、TISAX(可信信息安全评估及交换机制)合规体系建设方案;
建设TISAX合规体系的基本步骤
0、内部启动
TISAX考察的是组织内不同领域的信息安全能力,这必定是涉及多部门的合作,因此在TISAX合规工作启动之初,管理层的沟通、项目负责人的汇报是必不可少的。在得到管理层的支持后,应当拉通各个信息安全相关的部门,组建TISAX合规体系建设项目组,如业务部门、IT部门、内部支持性部门等。项目组一般包含以下部门:
1、业务部门包括对车机、样车等进行项目管理,开发,测试和运维的所有职能。每个职能需指定一名同事作为对应TISAX 要求的负责人;
2、IT部门包括服务器,网络,信息安全等部门,作为IT基础设施和内部信息安全控制的接口;
3、内部支持性部门主要包括采购,人力资源,安保,法务,合规等部门,作为人力资源,物理安全等控制域的接口。
值得注意的一点:企业在准备审核的过程中常常认为,只需要安全团队的核心成员参与准备,了解TISAX要求就足够应审。这是一个很危险的想法,因为TISAX考察的是企业信息安全体系的整体成熟度,包括在运行过程中与业务的结合度,因此在项目过程中以培训等形式对组织内所有成员进行宣贯是必要的。
1、现状摸底
在确定TISAX合规体系建设项目组的部门组成后,项目负责人应召集一个内部启动会议,邀请各部门派遣代表理解项目背景、实施周期、各个部门的职责分工,并最好建立一个以周为单位的沟通机制,定期更新项目进展。
如条件允许,项目负责人可组织核心团队成员参加企航顾问举办的TISAX培训,了解TISAX的标准要求与审核流程,然后依据TISAX的审核标准,共同进行一轮内部摸底。根据各个部门的职责,勾选对应的TISAX控制域,填写当前的安全控制成熟度,充分了解当前差距,评估后续需要开展的工作;如,是否引入的其他内部资源,请企航顾问提供辅导,购买新的软硬件设备等。基于初步评估的结果,向管理层汇报后续的工作计划,人员安排和资金投入。
2、体系建立
体系建设项目需要将企航顾问的实践经验与企业的实际情况相结合。这里再次强调:在项目初期,应明确各安全控制域的负责人,确保项目组成员了解TISAX的战略目标,通过统筹安排、协同作战,才能最终获得TISAX标签。
在确定了项目启动后,项目负责人与企航顾问开始密切的交流和合作,在企航顾问的配合下完成差距分析、体系建设与运行工作。
1、全面“诊断”
根据现状摸底中各个控制域的职责分工, 通过多轮访谈,帮助企航顾问充分了解企业的业务需求和安全现状,逐条对应已有的制度流程或执行记录。同时,需要企航顾问对各个不符合项的控制要求进行解读,制定详细的整改计划,明确整改责任人,整改完成时间,整改审批人等。
2、制度流程完善
在制度流程补足过程中,企业需要充分输出已有信息安全的制度、策略、流程。在辅导机构的协助下,依据TISAX的要求和当前文档的差距,进行文档体系建设、成立信息安全小组。大多数企业都面临的一个常见风险是,业务流程中已经有部分安全管控措施,但是缺少固化流程和方案。因此企业需要协同辅导机构一起制定制度化、规范化、标准化的业务流程,使其能满足信息安全要求、避免信息安全风险的发生。
体系编写完毕后,项目负责人会进行内部的评审,确保制度流程与当前的业务相契合。经过多轮评审后,就可以发布到企业的制度文档管理系统。体系发布后,通过培训在企业内部 “官宣”信息安全小组、介绍文档体系并进行信息安全意识贯宣,为接下来将信息安全体系落实到日常业务工作中奠定基础;依据以往的经验,企业日常运行中,常有以下不足之处,需要在体系推行过程中吸取经验:
1、体系运行过程中,企业需要在关键的业务流程中,嵌入信息安全的要求,并且在实施过程中留下实施有效性的证明。企业往往缺少对信息资产全生命周期的管理视角,如:企业在内/外部员工账号开通、授权、权限变更、账号关闭等业务流程中,是否进行权限审批、授权是否设置有效期、是否及时关闭账号,是否定期对账号的使用状态进行审核等,在此基础上能否提供书面证据证明以上行为的有效实施;
2、往往企业在已有管控策略的情况下,落地模式尚未成型,如未符合要求存在使用共享账号的情况,需要加强信息安全体系落实过程中加强监督。
体系运行一段时间后,组织需要进行内部审核、管理评审,针对信息安全体系文档适用性、推行有效性进行验证,保证信息安全体系的持续有效运行。
3、技术工具加固
TISAX对于数据,应用系统和网络等都有较高的技术保护要求,数据传输存储的加密,应用系统的高可用性,网络的冗余及带外管理等安全要求,都需要结合企业自身情况,通过技术手段或者工具进行加固。TISAX对于样件保护的物理环境、访问控制有许多安全要求,门窗安全设计、监控设备、报警装置、门禁/门锁等设施的现场情况。往往没有涉及样件生产(含有工厂)的企业,如进行车联网业务的企业,在这方面差距较大,需要结合审核条款,进行实施改造,准备专门的样件保护空间、设立门禁、门窗并做好封闭防盗处理。
4、应审准备
针对审核条款对应的文档记录,制作清晰的证据文件目录结构,提前准备好记录,指定各领域的负责人;在应审前进行培训和演练,互相挑战和提问,考虑各种可能遇到的类似问题。同时,在正式审计前,与选定的外审机构进行审计计划、待准备材料的沟通。一切准备就绪后,正式应审的前一天,再次召开全员会议,确保大家进入最佳状态,迎接审核!
关于企航顾问
企航顾问在汽车供应链领域提供的服务有:
1、IATF16949、VDA6.1、VDA6.2、VDA6.4:汽车工业质量管理体系咨询和培训
2、TISAX:可信信息安全评估交流机制咨询和培训
3、ASPICE:汽车软件过程改进及能力评定咨询和培训
4、ISO26262:汽车功能安全咨询和培训
5、ISO/SAE 21434:道路车辆 信息安全工程咨询和培训
6、MMOG/LE:全球物料管理运作指南/物流评估培训和辅导
7、BIQS、QSB+、Ford-Q1、Formel-Q:OEM汽车供应链验厂辅导
8、CQI-x:热处理、电镀、涂装、焊接、锡焊、模塑、铸造、钎焊等特殊工艺过程控制与管理的培训和咨询
9、APQP、FMEA、MSA、SPC、PPAP:汽车工业五大核心工具的培训和辅导
10、其它 ......
企航顾问在汽车供应链项目上的优势:
1、4,000+ 汽车整车及零部件企业全程辅导获得16949(ISO/TS or IATF)证书
2、4,500+ 汽车整车及零部件VDA6.1&6.4\16949\ISO26262\ASPICE\TISAX全程辅导
3、6,000+ 客户包括众多国际及国内知名企业全过程咨询经验
4、10,000+ 培训企业客户(内训+公开课+游学+研修)
5、100,000+ 课时AIAG核心工具、VDA-x、CQI-x、BIQS、MMOG/LE、Q1及内审员授课经验
6、东风汽车有限公司连续9年华东地区唯一指定咨询合作伙伴
7、国家认证认可监督管理委员会(CNCA)首批备案之16949、EMS、OHSMS顾问机构
8、中国认证认可协会(CCAA)理事单位、上海市认证协会(SCA)理事单位
9、全国六西格玛推行工作委员会(CCPSS)委员单位