|
|
|
|
|
|
来源: 发布日期:2019.04.10 点击量:
近日,安言咨询成功中标国内某动力能源有限公司TISAX-ISA认证咨询项目。
一、什么是TISAX
VDA和ENX联合为VDA ISA创建TISAX(Trusted Information Security Assessment Exchange):信息安全的评估和交换机制,可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。
ISA: 用于组织的内部控制要求, 接触组织敏感信息的供应商(服务商)的审核要求。
VDA联合ENX推出成员组织认可的信息安全评估流程,将审核结果放在的授权平台上以供信息查询和交换。
ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会。
ENX协会:TISAX的监管和组织的角色。
由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。
通过监管“ENX治理三角”得到保证,包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。
二、TISAX由来
(一)事件驱动:
1. 2018年度信息安全事件频频发生:来自UpGuard 安全团队的研究员Chris Vickery 在网上发现了汽车供应商Level One 的不安全数据库,数据库包括将近47000 份文件,涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等)。
2. 小鹏汽车员工遭FBI逮捕,指控窃取苹果公司无人驾驶商业机密。
(二)监管驱动:
1. 欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)在2018年5月25日生效,政府和企业越来越意识到信息安全至关重要,未来是信息化时代,信息安全至关重要。
2. 在这样的背景下,德国汽车工业联合会(VDA)信息安全要求(ISA— Information Security Assessment)的升级版,TISAX已于2017年底“重磅”推出。
三、TISAX架构模型
TISAX主要包含体系策划、原型保护、对供应商的要求及数据保护四个模块,在每个模块下都设有不同的安全控制点,共计85项。这些安全控制点涉及到ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等标准,对于所有的控制点来讲,均会予以成熟度的评估工作。
四、TISAX实施现状
据不完全统计自TISAX发布后,在德国,大众、奥迪等多家厂商已开始要求其供应商必须通过TISAX才能够与其进行数据交换,2018年度同时向中国进行推广,目前各大汽车公司正处于准备阶段,对于各大汽车行业供应商来讲,通过TISAX认证已是刻不容缓。
五、如何依据TISAX建立管理体系并通过认证
(一)明确审核范围和审核等级
审核范围共分为组织范围、物理范围和目标范围。
组织范围:即哪些公司、哪些分公司、哪些分部门需要涉及信息安全;
物理范围:即组织范围所设计的所有办公场所;
目标范围:一般需要和客户沟通,看看他们需要达到等级的要求,需要审核哪些内容。审核等级分为AL1、AL2和AL3。AL1一般是自评,AL2和AL3需要第三方审核员对工厂进行现场审核,一般获得AL2和AL3才能够获得TISAX的认可。
(二)实施差距分析与风险评估
再确定好实施范围后,需根据TISAX的要求和自身工厂的情况做一个诊断分析。主要从Information Security Assessment(ISA)的要求进行打分,看看自身公司的差距与风险点在哪里示例如下:
(三)管理体系建设
基于标准去要求及差距分析及风险评估的结果,并结合企业实际情况制定符合TISAX的管理体系。
(四)体系试运行
完善第三步后,就需要运行一段时间管理体系体系,开展内部体系审核,管理评审方面的工作,运行中发现的问题需要整改。
(五)TISAX审核认证
在完成以上步骤后,企业可酌情预约审核员开展TISAX认证工作,并最终取得认证证书。
六、联系我们
如需了解详情,欢迎联系我们,联系方式如下:
电话:021-62101209-811/17721199231
邮箱:mkt@aryasec.com
相关新闻:
