TISAX 认证的有效期通常为三年。
在这三年有效期内,企业不需要每年进行外部监督审核。但企业需要定期进行自我评估,以确保其信息安全管理体系的有效性和合规性。
需注意的是,TISAX 认证标准和流程可能会随时间推移而发生变化,因此企业应随时关注相关动态,以确保符合最新的认证要求。
TISAX(可信信息安全评估交换)是基于 ISO 27001 信息安全管理体系标准和 VDA-ISA 信息安全评价检查表而建立的汽车行业专用信息安全标准,旨在确保组织在处理敏感的汽车数据时具备足够的信息安全保障措施,以保护数据的安全性和机密性。
如果企业想维持 TISAX 认证的有效性,在证书有效期到期前,需要申请更新认证。
企业申请 TISAX 认证的流程通常如下:
-
注册:在 ENX 网站上注册全部信息,成为 TISAX 参与者。ENX 门户网站将使用在线注册流程收集有关公司的信息以及评估中需要包含的内容,包括联系方式、账单信息等,同时需接受相关的条款和条件,并定义信息安全评估的范围。需注意,注册是收费的,且注册表单提交后所有信息均无法修改;部分注册环节填写完成后不可修改,即使没有最终提交;另外,scope name 只能用3年,3年后需重新注册 scope。
-
选择审核机构并签订合同:选择 TISAX 认可的审核机构,并与之签订《认证审核合同》。
-
自评估:企业建立 TISAX 体系并开展自评估,填写 VDA-ISA 表格内容并完成成熟度的打分。必要时可由外部咨询公司提供专业支持。
-
召开 kick-off meeting(启动会)。
-
接受初始审核:审核机构对企业进行首次审核。审核级别分为 al1、al2 和 al3:al1 一般是自评;al2 和 al3 需要第三方审核员对工厂进行现场审核,通常获得 al2 和 al3 才能够获得 TISAX 认可。其中,al3、或带有原型保护的 al2、或带有第三方连接的 al2,均必须(对每个涉及的工作场所)进行现场审计。常见的审计方法包括人员访谈、现场检查、取证确认等。
-
制定整改行动计划:根据审核结果,制定整改行动计划并提交给审核机构。如有必要,可能需要完成纠正计划审核。
-
实施整改计划:通常需要在 2-6 个月内完成整改计划。
-
完成跟进审核:需在限 9 个月内完成跟进审核。
-
获得 TISAX 标签:通过审核后,企业将获得 TISAX 标签,同时审核结果将发布和共享。TISAX 标签的有效期为 3 年,从末次会议当天开始计算。在现行 TISAX(5.1 版本)中,一共有 10 个标签,包括 2 个信息安全标签(必选)、2 个可用性标签、4 个原型保护标签(可选)以及 2 个数据保护标签(可选),企业通过申请并评估后获得相应标签。
-
维持认证:三年内再次完成以上流程,以维持 TISAX 认证。假定三年后仍是合作伙伴的供应商,则需要按照上述步骤再次更新评估结果。
TISAX 认证的流程总持续时间取决于许多因素,如公司规模、评估目标和信息安全管理系统的准备程度等,因此难以可靠预测获得评估结果的时长。但 TISAX 规定整个评估过程的最长持续时间为 9 个月,如果在此规定时间内没有完成评估流程,则必须重新申请评估流程。同时,企业应随时关注 TISAX 认证标准和流程的变化,以确保符合最新要求。
136
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
