1、汽車行業TISAX體系認證
為保護汽車行業數據交互的安全,德國汽車工業協會 (VDA) 多年前就基于ISO27000系列標準建立了VDA-ISA(Information Security Assessment)信息安全評估標準。VDA于2017年聯合ENX推出新的”可信信息安全評估交換“Trusted Information Security Assessment Exchange (TISAX) ”機制,此機制可以實現汽車行業信息安全評估的相互認可,并提供通用的評估和交換機制。
自TISAX評估推出以來,很多小伙伴都收到德系主機廠落實TISAX的要求。可以說,通過TISAX認證,將是未來進入德系主機廠,獲得數據交互權限的必經之路。
經過3年的推廣實施,已有數千家企業獲得了TISAX標簽。通過收集各家機構在評估過程中對于標準內容的反饋,為了推動TISAX標準更好的適用于全球汽車產業鏈,VDA于2020年7月正式推出了VDA-ISA 5.0.1版本(之前的最新版本為4-1-1版),并更新了對應的TISAX 用戶手冊V 2.2版本。
小伙伴們注意啦!!!自2020年10月1日起,認證機構已接受最新版VDA-ISA 5.0.4審核申請。
老版的VDA-ISA 4.1.1版本,仍將適用至2021年3月31日。
2021年3月31日起,認證機構證書開始按最新版VDA-ISA 5.0.1開始審核。審核完成后以電子標簽形式發放評估結果,電子標簽有效期3年。
國際社會對信息安全越來越重視,其中汽車行業因其自身影響力本身就擁有極其復雜的上下游供應鏈,隨著車輛網聯化發展,跨界入局者也與日俱增,其中任何一家企業發生信息安全問題都可能會對整個供應鏈造成巨大影響,帶來安全隱患。
在此背景下,TISAX(可信信息安全評估交換)應運而生,它是由德國汽車工業協會(VDA)與ENX協會聯合推出的可靠交換機制,旨在幫助主機廠確保其供應鏈的信息安全,在汽車行業具有標桿地位。
TISAX改版要點搶先看
2020年7月,ENX對TISAX的要求進行了重要改版,TISAX手冊從2.1版本升級到2.2版本,VDA-ISA評估標準從4.1.1版本升級到5.0版本,其中評估標準的章節、要求和檢查項等都發生了重大變化。
VDA ISA 5.0改版要點包括:
新版只保留了must和should項,取消了may的項目,評估要求更清晰且嚴格新版自評表結構更簡潔,內容更清晰準確,填寫難度加大原型保護的編號從25修改為8,評分體系更直觀數據保護24不變,修改了部分審核內容,如數據識別、合同事項等第三方連接的要求點融入了ISMS部分,增加了IS模塊的通過難度增加了遠程辦公,員工資質等特定的控制要求。
以上更新都體現了TISAX新版的難點,這無疑對企業通過TISAX認證提出了更多新的挑戰,建議有TISAX認證需求或即將續證的客戶,積極關注并早做準備。
常見Q&A
2、哪些企業需要進行TISAX認證?
TISAX認證適用于汽車行業上下游供應鏈中的所有組織。奔馳、寶馬、大眾、奧迪等主機廠都已強制要求其各個級別的供應商必須通過TISAX認證,才能與之進行數據交換;國內眾多零部件供應商也都接到了主機廠的通知而紛紛著手準備。
3、TISAX認證與ISO 27001的關系是什么?
兩者都旨在提升組織的信息安全能力。ISO 27001是適用于各個行業的信息安全管理體系認證。TISAX基于ISO 27001,但在許多方面專注于汽車行業的特定要求,如:TISAX采用三種審核等級,AL1為自評、AL2和AL3需要第三方審核員進行現場審核;在關注點方面,TISAX必須實施好ISMS體系的控制點要求,并能證明PDCA循環在發生作用以及提供足夠的支持文檔。
4、什么是TISAX認證中的獨立性原則?
ENX曾多次對審核的獨立性進行說明,明確同一組織機構,不能同時為客戶提供TISAX審核和咨詢,或類似于咨詢的培訓服務。
5、TISAX描述
申請級別 | ¨LEVEL2(遠程審核) | ¨LEVEL 3(現場審核) | |
涉及類型 | ¨信息安全 | ¨原型保護 | ¨數據安全 |
現場地址1 | 雇員數: | ||
現場地址2 | 雇員數 | ||
現場地址3 | 雇員數: | ||
IT人員數 | IT安全人員數 | ||
6、TISAX的證明材料和周期
ISO/IEC27001:2013 | TISAX? | |
Audit frequency 審核頻率 | Annually 每年 | Every three years 每三年一次 |
Proof 證明 | Certificate 證書 | Electronic label (only available in the ENX data base) 電子標簽(僅在ENX平臺中發布) |
sphere of application 適用范圍 | Generic 通用 | Automobile industry 汽車行業 |
Dealing with deviations 不符合項處理規則 | Major deviations must be closed before the certificate is issued 獲證前必須關閉嚴重不符合 | All major and minor deviations must be closed before the label is issued 所有嚴重和輕微不符合都必須關閉后才能獲得標簽 |
7、可能涉及的費用,僅為常規客戶,以300人左右為例:
注冊費用:405歐元
(1) 認證費用,僅信息安全類別,約12-15萬。
(2) 認證費用,如增加原型保護和數據安全,每一類增加約3萬元。
(3) 咨詢費,僅信息安全約15萬元增加原型保護和數據安全,每類增加約3萬元。
(4) 企業自身信息安全改造也會產生費用。
在線客服1號