TISAX汽車行業信息安全認證條件和流程(可信信息安全評估交換)
一、什么是TISAX?
隨著信息化的普及,信息系統的基礎性、全局性日益突出,信息資源已成為重要的戰略資源之一。
汽車行業也是一樣,每日產生著大量的交互數據。供應鏈中的任何一家機密信息被泄露,都會對整個供應鏈照成巨大損失。這就要求整車制造商及其上游所有企業都能協調一致采取共同行動應對日趨嚴峻的網絡安全威脅。
德國汽車工業協會(VDA)多年前就推動成員企業符合信息安全標準,很多年前建立VDA-ISA信息安全評估標準,通常被用于組織的內部控制要求。從供需雙方的角度,不同的客戶以及供方審核導致眾多資源的浪費。為此,VDA聯合ENX推出了信息安全評估流程,并將其審核結果放在一個可供信息交換的可信平臺(TISAX)上,其評估結果能夠進一步相互認可,交換和信任,從而減少不同整車制造商的頻繁審核。
圖片來自于"Beschreibung TISAX und VDA-ISA für VDA",通過監管“ENX治理三角”得到保證,包括ENX協會與ENX認可的審核機構之間以及ENX協會與每個參與者之間的合作。
二、通過TISAX認證的好處:
2.1能夠滿足外部需求方的直接要求,行業內的相互認可:所有VDA成員和OEM都需要獲得TISAX認證,
TISAX認證為汽車行業內的信息安全評估提供了統-且有約束力標準,評估結果得到其他TISAX參與者共同認可從而實現汽車行業企業之間安全互信;
2.2避免多次檢查降低了管理成本:TISAX認證基于統-的VDA-ISA安全評估目錄和標準,通常每年只需
要進行次TISAX評估;
2.3提升員工安全意識,員工的行為對公司內部的安全有重大影響,通過TISAX提高員工安全意識與能力。
三、申請認證條件:
3.1申請者必須為合法經營的企業單位;
3.2能夠提供汽車行業供應鏈的證據;
四、認可流程:
4.1.去ENX官網注冊,確定好審核的信息安全范圍等級和地點。注冊完成后和審核公司約好審核的時間
和地點,確定好費用。
4.2.內部自查,根據VDA-ISA_EN_4-1-0里面的詳細要求,找到目前公司的信息安全體系和標準之間的
差距。
4.3.內部整改,根據評審出的差異點進行內部整改,同時開展內部信息安全培訓。
4.4.文件編寫和信息安全的運行。根據標準要求,編寫和實施相關的信息安全文件,讓相應的部門執行
文件。同時,對于缺少的軟硬件都必須到位。
4.5.公司內部再次根據VDA ISA評估目前公司的信息安全運行情況,如果評分可以達到TISAX的要求,
可以調整到最佳狀態迎接TISAX審核員的外審。
4.6.外審通過,等待外審機構報告,如果未通過,根據情況,再次審核,知道審核通過為止。需要注意
的是,您必須在9個月的時間內通過全部審核,否則需要全部重新開始申請一次。
五、審核注意事項:
5.1在執行TISAX審核之前需要企業與授權認證審核服務機構確定TISAX的審核對象,審核范圍和審核級別。
審核對象:是指企業組織范圍,部門范圍,物理地點等范圍;
審核范圍:是指標準范圍,壓縮范圍還是擴展范圍;
審核級別:分為3個級別,不同的審核級別是由參與方期望達到的保護級別所決定的,TISAX區分三個不同的“保護級別”(正常,高和非常高),其對應AL1.AL2和AL3的審核級別;如果只是AL1級別的審核,不需要外部審核方參與企業執行自我評估即可,但注意此級別無法獲得TISAX標簽;因此企業通常都需要外部認證審核方執行AL2或AL3級別審核從而實現高和非常高的保護級別;
5.2對于TISAX審核時的具體技術標準的依據是VDA-ISA標準,這個標準是VDA組織基于ISO/IEC27XXX
不同信息安全相關標準定制而來,其中主要包括信息安全體系,第三方聯系,數據保護,原型保護等四個方面,包括多個控制檢查點組成。
評估的基礎是VDA信息安全評估(ISA)調查問卷,由VDA信息安全委員會創建和維護。它可以從VDA 網站下載德語或英語。
5.3對于擁有多個地點的公司,常規TISAX評估流程可能非常廣泛。在某些條件下,我們提供了另一種選
擇“簡化群體評估”(SGA)。簡化的小組評估是TISAX評估過程的一個特例。如果滿足前提條件,與常規TISAX評估過程相比,它可以減少工作量。這種特殊的TISAX評估流程專為擁有至少三個地點和集中,高度發達的信息安全管理系統(ISMS)的公司而設計。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
