什么是TISAX,认证,怎样确保TISAX审核认证? TISAX认证机构和费用是什么?
前言:
在过去十年里,智能和联网汽车的兴起导致涉及汽车的网络攻击急剧增加。根据上游安全公司2020年汽车网络安全报告自2016年以来,每年发生的汽车网络安全事件增加了惊人的605%。其中一半以上是由远程网络犯罪分子实施的,目的是扰乱商业、窃取财产和索要赎金。流行的攻击载体包括无键入口系统、后端服务器和移动应用程序。
因此,汽车工业正在采取措施保护其汽车和机密信息不受此类事件的影响,这一点也就不足为奇了。在德国,汽车集团Verband der AutomobilIndustry(VDA)建立了可信信息安全评估交换(TISAX)2017年作为一个评估和交流机制,各组织可通过该机制提交符合以下规定的审计VDA信息安全评估(Isa)。VDA ISA很大程度上是基于现有的国际标准。ISO/IEC 27001和27002.
TISAX由ENX协会管理,ENX协会是一个由汽车制造商、供应商和四个全国汽车协会组成的组织,旨在确保统一的信息安全水平,并为VDA ISA合规带来标准化、质量保证和相互认可的审计。
TISAX适用于谁?
德国汽车供应链中的任何公司都必须根据VDA ISA中规定的要求,证明所定义的信息安全管理水平。在全行业范围内,tISAX适用于汽车制造商和原始设备制造商(OEM),但也适用于合作伙伴和供应商,无论它们是否设在德国。
三步过程
对TISAX评估报告的需要是由合作伙伴提出的证明VDA ISA遵守情况的请求触发的。要获得评估,公司必须经过三个步骤:
- 注册:在费用的前提下,这一初步步骤允许ENX收集公司的信息,并确定哪些需要成为评估的一部分。
- 评估:该公司通过ENX授权的TISAX审计供应商之一进行评估。审计是基于一个评估范围,该范围符合要求公司证明VDA ISA符合要求的合作伙伴的要求。如果一家公司未能通过评估,TISAX流程可能需要额外的步骤。
- 交换:最后,公司可以与要求VDA ISA合规证明的合作伙伴分享评估结果。
TISAX评估的范围
TISAX评估有两种类型:标准范围和自定义范围。自定义范围允许公司选择更窄或更大的评估范围。然而,许多需要符合VDA ISA标准的公司只接受基于标准范围的信息安全评估结果。这就是ENX鼓励所有TISAX参与者选择标准范围的原因。
标准范围包括公司站点上的所有流程和资源,这些流程和资源必须符合汽车行业合作伙伴的安全要求。流程包括信息的收集、存储和处理。根据公司的规模,网站可以参考办公空间、开发和生产站点以及数据中心。同时,资源可以表示工作设备、员工、承包商和IT基础设施。
TISAX评估目标
目前有八个TISAX评估目标:
- 需要高度保护的信息
- 有很高保护需求的信息
- 原型零部件的保护
- 原型车辆的保护
- 试验车辆的处理
- 在事件、拍摄或摄影过程中对原型的保护
- 根据欧盟“公约”第28条保护数据
一般资料保护规例
(GDPR)指数据处理器 - 根据GDPR第28条(指数据处理器)和第9条(适用于特殊类别的个人数据),对特殊类别的个人数据进行特殊类别的数据保护
公司需要至少选择一个评估目标,这将被视为组织信息安全管理系统的基准。所有TISAX审计提供者的评估战略主要以评估目标为基础。每个评估目标映射到VDA ISA的标准目录。
一些目标还要求公司自动实现另一个目标。例如,“保护原型零部件”的目标要求各组织也实现“需要高度保护的信息”的目标。
每个评估目标对应于合伙人可能要求公司获得的TISAX标签。组织必须选择与所需标签相对应的目标,一旦成功通过TISAX评估,就会收到相应的标签。
基于VDA ISA的自我评估
在开始进行TISAX评估之前,ENX建议公司对其信息安全管理系统进行VDA ISA自我评估,以确保其符合TISAX所需的预期成熟度水平。
VDA ISA基于六个级别的实现成熟度:不完整、执行、管理、建立、可预测和优化。所有控制问题的目标成熟度级别为3级(已建立)。
VDA ISA有三个标准目录:信息安全、原型保护和数据保护,每个目录都包含一组问题。每个问题的目标以及实现这一问题所需的强制性和选择性要求都是详细的。
信息安全标准由41个问题组成,这些问题涉及更一般意义上的数据保护,并包括保护机密资料泄密盗窃和人为失误。
原型保护标准,由22个问题组成,指原型的物理和环境安全,它们的运输,以及拍摄和摄影的要求。与此同时,数据保护标准仅包括4个具体涉及遵守全球地质雷达的问题、对个人可识别信息的保护以及“全球地质雷达”所界定的特殊类别的敏感数据。
我们提供专业的TISAX认证和咨询,通过大量的数据累积和客户经验总结,帮助客户寻找出适合不同客户不同阶段快速获得TISAX认证的方法和技术,欢迎直线电话咨询 18115506012
