400-88-27001
service@aryasec.com

安言咨询成功中标国内某动力能源有限公司TISAX-ISA认证咨询项目

来源:    发布日期:2019.04.10   点击量:

    近日,安言咨询成功中标国内某动力能源有限公司TISAX-ISA认证咨询项目。

    一、什么是TISAX

    VDAENX联合为VDA ISA创建TISAX(Trusted Information Security Assessment Exchange):信息安全的评估和交换机制,可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。
    ISA: 用于组织的内部控制要求, 接触组织敏感信息的供应商(服务商)的审核要求。
    VDA联合ENX推出成员组织认可的信息安全评估流程,将审核结果放在的授权平台上以供信息查询和交换。
    ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会。
    ENX协会:TISAX的监管和组织的角色。
    由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。
    通过监管“ENX治理三角”得到保证,包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。

    二、TISAX由来

    (一)事件驱动:
    1. 2018年度信息安全事件频频发生:来自UpGuard 安全团队的研究员Chris Vickery 在网上发现了汽车供应商Level One 的不安全数据库,数据库包括将近47000 份文件,涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等)。
    2. 小鹏汽车员工遭FBI逮捕,指控窃取苹果公司无人驾驶商业机密。
    (二)监管驱动:
    1. 欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)在2018年5月25日生效,政府和企业越来越意识到信息安全至关重要,未来是信息化时代,信息安全至关重要。
    2. 在这样的背景下,德国汽车工业联合会(VDA)信息安全要求(ISA— Information Security Assessment)的升级版,TISAX已于2017年底“重磅”推出。
    三、TISAX架构模型

    TISAX主要包含体系策划、原型保护、对供应商的要求及数据保护四个模块,在每个模块下都设有不同的安全控制点,共计85项。这些安全控制点涉及到ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等标准,对于所有的控制点来讲,均会予以成熟度的评估工作。

    四、TISAX实施现状

    据不完全统计自TISAX发布后,在德国,大众、奥迪等多家厂商已开始要求其供应商必须通过TISAX才能够与其进行数据交换,2018年度同时向中国进行推广,目前各大汽车公司正处于准备阶段,对于各大汽车行业供应商来讲,通过TISAX认证已是刻不容缓。

    五、如何依据TISAX建立管理体系并通过认证

    (一)明确审核范围和审核等级
    审核范围共分为组织范围、物理范围和目标范围

    组织范围:即哪些公司、哪些分公司、哪些分部门需要涉及信息安全;
    物理范围:即组织范围所设计的所有办公场所;
    目标范围:一般需要和客户沟通,看看他们需要达到等级的要求,需要审核哪些内容。审核等级分为AL1、AL2和AL3。AL1一般是自评,AL2和AL3需要第三方审核员对工厂进行现场审核,一般获得AL2和AL3才能够获得TISAX的认可。
    (二)实施差距分析与风险评估
    再确定好实施范围后,需根据TISAX的要求和自身工厂的情况做一个诊断分析。主要从Information Security Assessment(ISA)的要求进行打分,看看自身公司的差距与风险点在哪里示例如下:

    (三)管理体系建设
    基于标准去要求及差距分析及风险评估的结果,并结合企业实际情况制定符合TISAX的管理体系。
    (四)体系试运行
    完善第三步后,就需要运行一段时间管理体系体系,开展内部体系审核,管理评审方面的工作,运行中发现的问题需要整改。
    (五)TISAX审核认证
    在完成以上步骤后,企业可酌情预约审核员开展TISAX认证工作,并最终取得认证证书。
    六、联系我们

    如需了解详情,欢迎联系我们,联系方式如下:
    电话:021-62101209-811/17721199231
    邮箱:mkt@aryasec.com

分享到:

相关新闻: