TISAX
可信信息安全评估交换
业务背景
从五年前“电动化、网联化、智能化、共享化”概念被首次提出,汽车行业开启了前所未有的、令人惊叹的变革。在变革浪潮中,汽车已逐渐摆脱其作为“交通工具”的单一设定,演化成如同手机般的智慧产品。据高盛研究部预计,自动驾驶汽车市场到2025年有望增长到960亿美元,并在2035年达到2900亿美元的规模。有数据显示,如今智能化汽车每天能产生20GB的数据,未来拥有更强自动驾驶能力的汽车,预计每秒就能产生10GB的数据。这意味着,从零配件供应商、车联网运营服务商,到云厂商、高精地图厂商,甚至是保险公司等等汽车行业相关企业,都需要数据分析技术支持,特别是随着欧盟《通用数据保护条例》(简称GDPR)的生效,数据安全愈发受到重视。
Introduction
项目介绍
TISAX(Trusted Information Security Assessment Exchange)可信信息安全评估与交换标准是基于ISO 27001信息安全管理体系标准和VDA-ISA(Trusted Information Security Assessment Exchange)信息安全评价检查表而建立的汽车行业专用信息安全标准。由于汽车行业的供应商和服务提供商经常需要处理高度敏感的客户信息,这就要求汽车主机厂在产品开发的整个阶段内所有的利益相关方确保高度的信息安全和网络安全。至此,由欧洲网络交换协会(以下简称“ENX”)和德国汽车工业协会(以下简称“VDA”)制定,于2017年推出,基于VDA-ISA信息安全评估标准和ENX运营的通用检查和交换机制,来实现汽车企业信息安全评估认可。
TISAX 为汽车行业内不同服务商提供了信息安全评估结果互认的模式,供应商通过了该评估,即意味着其结果得到了所有参与方的认可。
TISAX认证目前在全球范围的汽车主机厂商中备受推崇,许多为主机厂商提供软硬件及相关服务的供应商,会被主机厂商要求建立和维持其TISAX管理体系并通过与之对应级别的TISAX认证作为其准入条件。
TISAX各方职责
TISAX的法律实体与组织者
ENX,所有评估结果都将放在ENX平台上。
TISAX认可的审核提供方
获得认可的第三方认证机构。
ISA: 用于组织的内部控制要求, 接触组织敏感信息的供应商(服务商)的审核要求。 VDA联合ENX推出成员组织认可的信息安全评估流程,将审核结果放在的授权平台上以供信息查询和交换。
ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会关键数据解决方案的协会。
ENX协会: TISAX的监管和组织的角色。
由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。 通过监管“ENX治理三角”得到保证,包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。
-
Question 01
-
哪些企业正在进行TISAX认证
TISAX认证适用于整个汽车行业增值链上的所有组织。随着数字化转型与行业生态的发展,跨界融合的趋势日益凸显。与此同时,信息安全问题全球化的态势,导致业内厂商对信息安全越来越重视。与此同时,随着虚拟化与云计算的应用,网上数据交互与协同办公已成为可能。事实上,大众集团已经向其供应商推行了KVS数据交互平台,其完整版已经具备协同开发设计的功能。因此,无论是原型设计与开发,还是数据安全,在信息化的条件下,信息安全已成为各大主机厂及其合作供应商的关切重点。因此,TISAX作为行业内信息安全的认证标准,已经从主机厂的一级供应商延伸到二级、三级供应商,从零部件供应商扩展到芯片等元器件供应商。所以,为满足市场与行业的要求,包括所有汽车制造商的供应商和服务提供商,以及处理相关公司敏感信息的供应商,都在积极申请获得TISAX认证。
-
-
-
关于TISAX认证的一系列问题
-
Question 02
-
在汽车行业中,TISAX认证的认可度怎么样?
TISAX认证是唯一对汽车产业链进行信息安全认证的机制,其合作协会–德国汽车工业协会(VDA)有着深刻的行业认知。在汽车行业中,德系主机厂的要求极其严格,其他欧系、美系和国内厂商也在纷纷跟进。为了确保供应链的信息安全,很多德国主机厂都已强制要求其各个级别的供应商必须通过TISAX认证才能与他们交换数据,国内很多汽车配件公司也都收到了强制认证通知。事实上,大众、奥迪、以及雪铁龙集团早在2018年就已对其供应商明确提出”必须通过TISAX认证”的要求,奔驰、宝马等也纷纷跟进对供应商在取得TISAX认证方面的要求。
-
-
-
-
Question 03
-
TISAX一共有几个级别?有什么区别?
审核等级分为AL1、AL2和AL3。AL1一般是自评,AL2和AL3需要第三方审核员对工厂进行现场审核,一般获得AL2和AL3才能够获得TISAX的认可。
-
-
-
-
Question 04
-
现行TISAX一共定义了多少个标签
ISA 5版本的TISAX一共定义了8个标签。企业通过申请,通过几个,就将获得几个标签。标签包括:2个信息安全标签(INFO HIGH,INFO VERY HIGH)、2个数据保护标签(DATA,SPECIAL DATA)、4个原型保护标签(PROTO PARTS,PROTO VEHICLES,TEST VEHICLES-,EVENTS SHOOTINGS)。
从2024年4月1日之后执行的ISA 6版本,一共定义了10个标签,包括2个保密性标签(Confidential,Strictly Confidential)、2个可用性标签(Avail High,Avail Verty High)、2个数据保护标签(DATA,SPECIAL DATA)、4个原型保护标签(PROTO PARTS,PROTO VEHICLES,TEST VEHICLES-,EVENTS SHOOTINGS)。
认证结果不以证书的形式体现,而是不同的电子标签。标签有效期3年,从末次会议当天开始计算。
-
-
-
-
Question 05
-
ISO27001 VS TISAX
TISAX®可信信息安全评估与交换标准是基于ISO 27001信息安全管理体系标准扩展到包括汽车特定要求,例如作为原型保护。获得TISAX审核的企业并不自动获得ISO 27001认证。
-
-
-
-
-
约束
互信所有VDA成员和OEM都需要获得TISAX认证, TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力标准,评估结果得到其他TISAX参与者共同认可从而实现汽车行业企业之间安全互信。
降低
成本避免多次检查降低了管理成本,TISAX认证基于统-的VDA-ISA安全评估目录和标准,通常每年只需要进行次TISAX评估。
内部
安全
提升员工安全意识,员工的行为对公司内部的安全有重大影响,通过TISAX提高员工安全意识与能力。
TISAX认证优势
-
-
我们的优势
培训讲师团队均具有大型跨国企业多年工作经验,以及数百家企业服务经验,能将客户的需求转变为切实可行的解决方案,并能够将国际一流企业的实践传递给客户。均已根据客户的实际情况,指出对企业的不足以及要解决的问题,以帮助企业持续改进。
快速优质的服务,为每位客户配备专业的客户技术支持人员,以解决客户在提出的疑惑,并通过培训确保服务标准的一致性。
我们是一支专注专业的团队:我们坚信,专业的品牌源自客户的信任。只有专注,才能更加专业。
我们是一支有梦想的团队:我们来自五湖四海,因为一个共同的梦想:做一家真正优秀的认证咨询企业,为客户提供可靠的咨询服务。