TISAX®-汽车行业信息安全

在一个依赖多方参与者才能取得成功的极具创新性的环境中，安全的信息交换至关重要。汽车行业需要在其漫长而复杂的供应链中采用“生态系统”的信息安全方法。

在我们的数字时代，信息安全需求不仅包括汽车供应商，还包括营销公司和其他相关方。首要的需要是保护:

• 项目或设计资料、样机或秘密投资计划;
• 大数据和过程数据，与数字化的新概念，自动驾驶汽车的发展，
• 供应链网络内部的相互联系，
• 以及客户的个人数据

TISAX是什么

TISAX(可信信息安全评估交换)是汽车行业的全球信息安全标准。一种基于成熟度的信息安全评估方法，它针对汽车行业的需求。评估主要适用于一级和二级供应商，但也可扩展到更复杂的供应链，是某些原始设备制造商的要求。

该计划的目标是:

• 为汽车行业建立共同的安全水平
• 确保评估的共同认可，以降低制造商和供应商的成本、工作量和复杂性
• 确保评估的可比性和质量
• 交流最佳实践和经验教训
• 让每个参与者决定向谁透露结果和细节程度

TISAX结合了前信息安全规则(ISA)德国汽车工业协会(VDA)ISO/IEC 27001的附录A(技术控制)，以及一些私隐要求。

TISAX®vs ISO/IEC 27001

TISAX建立在信息安全管理系统标准ISO/IEC 27001的关键要素之上，重点关注与汽车行业环境特别相关的要素。

主要的区别是:

ISO / IEC 27001	TISAX
管理体系标准	涵盖与汽车行业合作伙伴相关的信息安全流程和部件
开/关的方法	成熟度级方法
认证前定义的范围	范围固定
基于公司的风险分析	基于VDA-ISA工作组的风险分析
认证机构颁发证书	TISAX签发标签和交易所注册
3年后定期审核和重新认证	有效期3年，无需定期审核

评估的好处

TISAX评估不仅是某些制造商的从票证到交易的要求，还有助于建立供应链信任。参与的供应商可受益于:

• 得到汽车厂商的认可;
• 防止信息安全漏洞和网络攻击;
• 获得客户信任;
• 识别和应对风险;
• 在适当的信息安全流程方面获得认可;
• 通过ENX交换共享评估结果。

开始

参加该项目的公司必须在ENX注册为参与者。

该过程分为以下几个阶段:

• 注意
  了解TISAX需求。
• 准备
  在TISAX门户上注册，选择您认可的审计机构，并为审计做准备。这包括一个自我评估，以衡量你的依从性和准备程度。
• 评估
  审计如何执行取决于您是否有资格进行远程(级别2)或物理(级别3)审计。审计本身包括面谈、文件审查、澄清可能的发现和下一步的步骤。
• 纠正措施计划和跟踪
  准备一份纠正行动计划(CAP)，以弥补提交给审计提供者的任何发现(差距)。通过跟踪(或更多，如有必要)评估CAP，并完成TISAX报告。
• 成果交换
  审计提供者将TISAX报告上传到平台。被审计公司决定与谁分享结果。ENX将TISAX标签发给被审计公司。

挪威船级社(DNV)是一家由英国船级社ENX协会．通过我们在当地的办事处和审计师网络，我们可以在全球范围内为TISAX提供评估。

ENX维护审计提供者标准和评估要求(TISAX ACAR)。它批准审计提供者，监测执行质量和评估结果。ENX由TISAX委员会支持，该委员会由制造商、供应商和协会的代表组成。