2022/04/21
未来是信息化时代,政府和企业越来越意识到信息安全至关重要。欧盟于2016年4月14日投票通过了商讨四年的《一般数据保护条例》(General Data Protection Regulation,简称GDPR),该法案于2018年5月25日生效。
在日趋严格的信息安全合规要求与层出不穷的信息安全事件下,供应商如何向主机厂(OME)证明其自身的信息安全能力,如何保护主机厂的原型、样件、各类商业机密与客户数据,成为了汽车行业近年来的热门话题。
为推动成员企业符合信息安全法规/标准,德国汽车工业联合会(VDA)多年前就基于ISO27000系列国际标准建立了自己的信息安全评估标准:VDA-ISA(Information Security Assessment)。
VDA于2017年联合ENX(欧洲汽车工业通信网络协会)推出了“可信信息安全评估交换 Trusted Information Security Assessment Exchange(TISAX®)”机制,此机制可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。
TISAX相关专业知识请阅读企航顾问原创推文:
1、企航顾问TISAX可信信息安全评估交换机制服务介绍
2、TISAX与ISO/IEC27001的比较研究
3、TISAX(可信信息安全评估及交换机制)合规体系建设方案
一、什么是TISAX?
TISAX可信信息安全评估交换机制是基于ISO/IEC 27001信息安全管理体系标准和VDA-ISA信息安全评价检查表而建立的汽车行业专用信息安全标准。TISAX 为汽车行业内不同服务商提供了信息安全评估结果互认的模式,供应商通过了该评估,即意味着其结果得到了所有参与方的认可。
1、TISAX®的拥有者和主持者:德国汽车工业联合会VDA,VDA同时控制VDA-ISA检查表。
2、TISAX®的法律实体与组织者:ENX,所有评估结果都将放在ENX平台上。
3、TISAX®认可的审核提供方:获得认可的第三方认证机构。
TISAX为汽车行业提供了一致的评估标准(VDA-ISA)以替代之前来自各主机厂不同的标准要求,它通过一次评估、可供多方使用的机制,为主机厂和供应商提供了长达三年的安全标签,每个注册参与者在完成审核后,可以有选择性的在平台上共享审核结果。
二、TISAX 评估等级、范围和具体要求
TISAX按照信息安全保护程度,一共分为三个级别:AL-1、AL-2(High)、AL-3(Very High):
1、AL-1:标准保护级别,只对企业的信息安全进行审核,多用于企业内部的自评估,无需审核方介入。
2、AL-2:高保护级别,审核方根据“高保护要求”进行审核,审核可远程进行,最终获得2级标签。
3、AL-3:极高保护级别,通过后可获得TISAX 3级标签。若企业需要审核样件,则审核级别必须定为AL3。AL3级别的企业必须接受现场审核。
需要的保护级别越高,评估级别就越高(与评估目标相关)。通常,为获取AL-3级标签,则参与者必须接受现场审核。
从具体的评估内容来看,至少包括信息安全(Information Security)模块的七个审核领域(信息安全策略和组织、人力资源、物理安全和业务连续性、身份与访问管理、IT安全/网络安全、供方关系、合规)的41个控制项,这些控制项主要参照ISO/IEC27001和27002标准,并根据德国汽车行业特点进行相应的调整。不同的供应商根据与主机厂的业务合作,还可能包括对原型保护(Prototype Protection)、数据保护(Data Protection)模块的额外控制项的审核。
每一项控制项的成熟度水平(Maturity Levels)分为0~5这6个级别,同时也考虑了不适用N/A的情况。最终分数会根据各控制项的分数进行综合计算。平均分需要3分以上(目标)。另外 ,评估的最终结果中不能出现任何一处轻微不符合(<2.7低于目标10%以上)或重大不符合项(<2.1低于目标30%以上),需要全部关闭。
基于ISA问卷的评估结果将以蜘蛛图(见下图)的样式显示,通过此图,可以清楚地了解每个审核领域的绩效。
三、TISAX评估流程
1、确认信息安全范围及目标等,并选择评估机构:当企业成功在平台注册TISAX审核后,将可查询到官方授权的机构清单,选择并确认审核机构,并与其约定好期望的评估日期。
2、文件审核:在企业确认好认证机构后,机构会要求企业提供相关资料进行初步文件审核。若没有按约定时间提交,将会导致审核延期。
3、现场审核:根据TISAX要求,AL-3级别的企业必须强制性接受现场审核。
4、出具审核报告
5、整改跟进:纠正行动审核和跟进审核取决于贵司是否有不符合项,允许在九个月内关闭。
6、获取TISAX标签:TISAX标签有限期为3年。
四、TISAX咨询流程
1、官网注册指导
2、汇总及整理评估表格(按客户要求模块内容进行评估填写差距项并模拟打分)
3、自评表填写指导
4、差距改进报告和改进措施辅导
5、涉及大众、宝马等项目的部门信息资产识别和风险评估辅导
6、大众、宝马等项目风险评估辅导
7、技术改造及落实推进辅导
8、TISAX管理制度及记录辅导
9、体系实施和运行辅导
10、现场审计陪同及支持服务
11、授权机构外部审计
12、审计不符合项整改服务
13、证据准备支持服务
14、获取正式的Label ID
五、哪些企业需要实施TISAX?
TISAX认证适用于整个汽车行业的供应链——
TISAX认证适用于整个汽车行业增值链上的所有组织。随着数字化转型与行业生态的发展,跨界融合的趋势日益凸显。与此同时,信息安全问题全球化的态势,导致业内厂商对信息安全越来越重视。与此同时,随着虚拟化与云计算的应用,网上数据交互与协同办公已成为可能。事实上,大众集团已经向其供应商推行了KVS数据交互平台,其完整版已经具备协同开发设计的功能。因此,无论是原型设计与开发,还是数据安全,在信息化的条件下,信息安全已成为各大主机厂及其合作供应商的关切重点。
因此,TISAX作为行业内信息安全的认证标准,已经从主机厂的一级供应商延伸到二级、三级供应商,从零部件供应商扩展到芯片等元器件供应商。所以,为满足市场与行业的要求,包括所有汽车制造商的供应商和服务提供商,以及处理相关公司敏感信息的供应商,都在积极申请获得TISAX认证。
六、TISAX与ISO/IEC27001的异同点:
TISAX认证采用的VDA-ISA与ISO/IEC 27001源远流长,TISAX认证审核基于VDA-ISA安全评估标准是以ISO/IEC 27001国际信息安全管理体系标准为基础,遵循其主要管理思路与原则,内容也覆盖了ISO/IEC 27001标准的基本要求。
这两种框架均支持各种规模的组织将信息安全规定融入业务运营以保护敏感信息,它们是互补的方法,可帮助组织增强信息和供应链韧性。
一、两者的相同点:
二者管理思路一致,同样按照控制域评估方式:如ISO/IEC 27001:2013共有14个控制域114个控制项,VDA-ISA 5分为3个模块(信息安全、原型保护、数据保护)和67个控制项,且二者之间也保持了一定的映射关系。
二、两者的不同点:
1、应用范围不同:
TISAX定义了信息安全在汽车行业场景下的特定含义,包含有一些关于原型车辆、零部件、测试车辆的处理以及在活动期间保护信息的具体章节,而ISO/IEC 27001则是允许在不同场景下对信息安全定义有一定程度的不同解读:
a)ISO/IEC 27001共包含两部分,除了条文第四章至第十章,另外还有附录 A的114个信息安全控制措施,通过ISO/IEC 27001认证代表企业已建立、实施及维持及持续改善ISMS要求之事项;
b)TISAX VDA-ISA 参考 ISO 27001、ISO 27002等规范外,并参照法规(例如: 通用数据保护法 GDPR)及汽车产业之要求作为管制项目。
2、级别机制不同:
ISO/IEC 27001无级别制,TISAX则采用级别制,共有三种审核等级 (Assessment level (AL),企业可以自行选择其需要通过的认证等级,AL1一般是自评,AL2和 AL3需要第三方审核员对公司进行现场审核,一般获得 AL2和 AL3才能够获得TISAX的认可。ISO/IEC 27001证书是意味着通过审核和评审的结果,基本可理解对应TISAX的AL2。
TISAX证书的内容根据不同对象划分为若干等级,可在TISAX官方网站上查询。对于普通大众有四个等级。对于不同的合作伙伴可划分为五个等级,其中最详细的等级允许合作伙伴查看详细的审核结果和成熟度等级描述等内容。
3、评估方法不同:
ISO/IEC 27001证书有效期为三年,每年要进行监督审核;而TISAX则一次评估,有效期为三年。在一致性确认方面,ISO/IEC 27001颁发证书,而TISAX颁发标签。对ISO/IEC 27001的认证是通过满足标准的要求来实现的,而实现TISAX标签的基础是满足VDA评估目录中的评估目标的要求。
ISO/IEC 27001的证书内,包含评估的基本信息,例如企业名称、审核范围和证书有效期等简单描述等,不公布不符合项的数量和报告内容等整体评估结果描述。ISO/IEC 27001的证书的内容相当于TISAX 证书中面对普通大众的等级。此外,ISO/IEC 27001的证书通常由获证企业自愿、自行在网站上张贴并进行宣传,或者认证机构的网站或监管机构备案信息平台上进行查询。
七、实施TISAX对组织的益处
1、行业内的相互认可:所有VDA成员和OEM都需要获得TISAX认证,以证明其能够满足外部需求方的直接要求,TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准,评估结果得到其他TISAX参与者的共同认可,从而实现行业企业之间的安全互信;
2、避免多次检查降低管理成本:TISAX认证基于统一的VDA-ISA安全评估目录和标准,获得TISAX标签后,通常每三年只需要进行一次TISAX评估;
3、提升安全意识:员工的行为对公司内部安全有重大影响,通过TISAX能够有效提高员工安全意识与能力;
4、与互信领域延伸:TISAX的审核对象一从传统汽车产业链零部件供应商以及汽车市场研究、保险配套服务公司,扩展到自动驾驶、互联网、车联网研发类的高科技公司以及提供ICT支持相关服务(云计算、大数据分析和运营)的公司。通过TISAX认证,成为了组织满足汽车行业乃至Mobility领域特定信息安全需求的强有力证明。
八、关于企航顾问
企航顾问汽车供应链服务项目有:
企航顾问在汽车供应链项目上的优势:
1、4,500+ 汽车整车及零部件企业TISAX、ISO26262、ASPICE、VDA6、IATF16949全过程辅导;
2、10,000+ 培训企业客户(内训+公开课+游学+研修);
3、100,000+ 课时TISAX、ASPICE、ISO26262、AIAG核心工具、VDA-x、CQI-x、BIQS、Q1标准及内审员授课经验;
4、东风汽车有限公司连续9年华东地区唯一指定咨询合作伙伴;
5、国家认证认可监督管理委员会(CNCA)首批备案之16949、EMS、OHSMS顾问机构;
6、中国认证认可协会(CCAA)理事单位、上海市认证协会(SCA)理事单位;
7、全国六西格玛推行工作委员会(CCPSS)委员单位;