TISAX-信息安全的评估和交换机制
一、背景
在日趋严格的信息安全合规要求与层出不穷的信息安全事件下,供应商如何向主机厂(OME)证明其自身的信息安全能力,如何保护主机厂的原型、样件、各类商业机密与客户数据,成为了汽车行业近年来的热门话题。
TISAX作为VDA德国汽车工业协会对所有 德系汽车主机厂、合资企业和供应商的信息安全要求,给出了德系汽车工业对于供应商技术评估、系统管理、项目合作、供应商资格延续在内的最佳实践。
供应商、OEM之间的关系图一
二、TISAX概述
2017年底,VDA和ENX联合为VDA ISA创建TISAX(Trusted Information Security Assessment Exchange):信息安全的评估和交换机制,可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。
ISA: 用于组织的内部控制要求, 接触组织敏感信息的供应商(服务商)的审核要求。
VDA联合ENX推出成员组织认可的信息安全评估流程,将审核结果放在的授权平台上以供信息查询和交换。
ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会
ENX协会:TISAX的监管和组织的角色。
由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。
通过监管“ENX治理三角”得到保证,包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。
三、流程
1、注册;
2、评估;
3、交换;
1、注册:
1.1、TISAX 注册的主要目的,是采集关于您公司的信息。我们使用在线注册流程,来帮助您向我们提供该信息。
注册是所有后续步骤的先决条件,并需要缴纳费用。
在线注册过程中:
- 提供联系方式与地址信息。
- 须接受相应的条款和条件。
- 自定义信息安全评估的范围。
2、评估
2.1、第二步是完成信息安全评估。
其中,包含四个子步骤:
a.评估准备
您需要针对评估工作进行准备,其程度视您的信息安全管理体系目前的成熟度而定。准备工作应基于 ISA 目录进行。
b.选择审计服务提供商
在准备好接受评估后,您需要选择一名由我方指定的 TISAX 审计服务提供商。
c.信息安全评估
您选定的审计服务提供商将从满足合作伙伴的要求出发,依照评估范围来相应开展评估工作。评估流程将包括预审计这一基本步骤。
如果您的公司未能立即通过评估,则评估流程可能需要增加额外的步骤。
d.评估结果
一旦您的公司通过评估,您的审计服务提供商将向您提供正式的 TISAX 报告。您的评估结果亦将印上“TISAX 标签”。
3、交换
3.1、第三步,也就是最后一步,是与您的合作伙伴共享自己的评估结果。TISAX 报告的内容按照等级进行划分,您可自行决定合作伙伴有权查看哪一级别的内容。
评估结果的有效期为三年,假设届时您仍是合作伙伴的供应商,那么您需要再次完成上述三大步骤。
注:一旦Share以后不得更改Share对象,因此在获得Label以后需谨慎共享。
2021年12月27日,continue…………
预告:下一节简述TISAX建设的具体步骤
399
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
