- {- item.details.type -}
- {- item.details.date -}
- {- item.details.sector -}
在一个依赖多方参与者才能取得成功的极具创新性的环境中,安全的信息交换至关重要。汽车行业需要在其漫长而复杂的供应链中采用“生态系统”的信息安全方法。
在我们的数字时代,信息安全需求不仅包括汽车供应商,还包括营销公司和其他相关方。首要的需要是保护:
- 项目或设计资料、样机或秘密投资计划;
- 大数据和过程数据,与数字化的新概念,自动驾驶汽车的发展,
- 供应链网络内部的相互联系,
- 以及客户的个人数据
TISAX是什么
TISAX(可信信息安全评估交换)是汽车行业的全球信息安全标准。一种基于成熟度的信息安全评估方法,它针对汽车行业的需求。评估主要适用于一级和二级供应商,但也可扩展到更复杂的供应链,是某些原始设备制造商的要求。
该计划的目标是:
- 为汽车行业建立共同的安全水平
- 确保评估的共同认可,以降低制造商和供应商的成本、工作量和复杂性
- 确保评估的可比性和质量
- 交流最佳实践和经验教训
- 让每个参与者决定向谁透露结果和细节程度
TISAX结合了前信息安全规则(ISA)德国汽车工业协会(VDA)ISO/IEC 27001的附录A(技术控制),以及一些私隐要求。
TISAX®vs ISO/IEC 27001
TISAX建立在信息安全管理系统标准ISO/IEC 27001的关键要素之上,重点关注与汽车行业环境特别相关的要素。
主要的区别是:
ISO / IEC 27001 | TISAX |
管理体系标准 | 涵盖与汽车行业合作伙伴相关的信息安全流程和部件 |
开/关的方法 | 成熟度级方法 |
认证前定义的范围 | 范围固定 |
基于公司的风险分析 | 基于VDA-ISA工作组的风险分析 |
认证机构颁发证书 | TISAX签发标签和交易所注册 |
3年后定期审核和重新认证 | 有效期3年,无需定期审核 |
评估的好处
TISAX评估不仅是某些制造商的从票证到交易的要求,还有助于建立供应链信任。参与的供应商可受益于:
- 得到汽车厂商的认可;
- 防止信息安全漏洞和网络攻击;
- 获得客户信任;
- 识别和应对风险;
- 在适当的信息安全流程方面获得认可;
- 通过ENX交换共享评估结果。
开始
参加该项目的公司必须在ENX注册为参与者。
该过程分为以下几个阶段:
- 注意
了解TISAX需求。 - 准备
在TISAX门户上注册,选择您认可的审计机构,并为审计做准备。这包括一个自我评估,以衡量你的依从性和准备程度。 - 评估
审计如何执行取决于您是否有资格进行远程(级别2)或物理(级别3)审计。审计本身包括面谈、文件审查、澄清可能的发现和下一步的步骤。 - 纠正措施计划和跟踪
准备一份纠正行动计划(CAP),以弥补提交给审计提供者的任何发现(差距)。通过跟踪(或更多,如有必要)评估CAP,并完成TISAX报告。 - 成果交换
审计提供者将TISAX报告上传到平台。被审计公司决定与谁分享结果。ENX将TISAX标签发给被审计公司。
挪威船级社(DNV)是一家由英国船级社ENX协会.通过我们在当地的办事处和审计师网络,我们可以在全球范围内为TISAX提供评估。
ENX维护审计提供者标准和评估要求(TISAX ACAR)。它批准审计提供者,监测执行质量和评估结果。ENX由TISAX委员会支持,该委员会由制造商、供应商和协会的代表组成。