安言咨询成功中标国内某动力能源有限公司TISAX-ISA认证咨询项目

来源：    发布日期：2019.04.10   点击量：

    近日，安言咨询成功中标国内某动力能源有限公司TISAX-ISA认证咨询项目。

    一、什么是TISAX

    VDA和ENX联合为VDA ISA创建TISAX（Trusted Information Security Assessment Exchange）:信息安全的评估和交换机制，可以实现汽车行业信息安全评估的相互认可，并提供通用的评估和交换机制。
    ISA: 用于组织的内部控制要求， 接触组织敏感信息的供应商（服务商）的审核要求。
    VDA联合ENX推出成员组织认可的信息安全评估流程，将审核结果放在的授权平台上以供信息查询和交换。
    ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会。
    ENX协会：TISAX的监管和组织的角色。
    由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。
    通过监管“ENX治理三角”得到保证，包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。

    二、TISAX由来

    （一）事件驱动：
    1. 2018年度信息安全事件频频发生：来自UpGuard 安全团队的研究员Chris Vickery 在网上发现了汽车供应商Level One 的不安全数据库，数据库包括将近47000 份文件，涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料（如合同、发票、工作计划等）。
    2. 小鹏汽车员工遭FBI逮捕，指控窃取苹果公司无人驾驶商业机密。
    （二）监管驱动：
    1. 欧盟《一般数据保护条例》（General Data Protection Regulation，简称GDPR）在2018年5月25日生效，政府和企业越来越意识到信息安全至关重要，未来是信息化时代，信息安全至关重要。
    2. 在这样的背景下，德国汽车工业联合会(VDA)信息安全要求(ISA— Information Security Assessment)的升级版，TISAX已于2017年底“重磅”推出。
    三、TISAX架构模型

    TISAX主要包含体系策划、原型保护、对供应商的要求及数据保护四个模块，在每个模块下都设有不同的安全控制点，共计85项。这些安全控制点涉及到ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等标准，对于所有的控制点来讲，均会予以成熟度的评估工作。

    四、TISAX实施现状

    据不完全统计自TISAX发布后，在德国，大众、奥迪等多家厂商已开始要求其供应商必须通过TISAX才能够与其进行数据交换，2018年度同时向中国进行推广，目前各大汽车公司正处于准备阶段，对于各大汽车行业供应商来讲，通过TISAX认证已是刻不容缓。

    五、如何依据TISAX建立管理体系并通过认证

    （一）明确审核范围和审核等级
    审核范围共分为组织范围、物理范围和目标范围。

    组织范围：即哪些公司、哪些分公司、哪些分部门需要涉及信息安全；
    物理范围：即组织范围所设计的所有办公场所；
    目标范围：一般需要和客户沟通，看看他们需要达到等级的要求，需要审核哪些内容。审核等级分为AL1、AL2和AL3。AL1一般是自评，AL2和AL3需要第三方审核员对工厂进行现场审核，一般获得AL2和AL3才能够获得TISAX的认可。
    （二）实施差距分析与风险评估
    再确定好实施范围后，需根据TISAX的要求和自身工厂的情况做一个诊断分析。主要从Information Security Assessment（ISA）的要求进行打分，看看自身公司的差距与风险点在哪里示例如下：

    （三）管理体系建设
    基于标准去要求及差距分析及风险评估的结果，并结合企业实际情况制定符合TISAX的管理体系。
    （四）体系试运行
    完善第三步后，就需要运行一段时间管理体系体系，开展内部体系审核，管理评审方面的工作，运行中发现的问题需要整改。
    （五）TISAX审核认证
    在完成以上步骤后，企业可酌情预约审核员开展TISAX认证工作，并最终取得认证证书。
    六、联系我们

    如需了解详情，欢迎联系我们，联系方式如下：
    电话：021-62101209-811/17721199231
    邮箱：mkt@aryasec.com

相关新闻：