01
汽车行业TISAX体系认证
TISAX的英文全称是“Trusted Information Security Assessment Exchange (TISAX) ”,直译为可信信息安全评估交换。当然这个可信跟等级保护沈院士提的可信还不是同一个概念,这里的“可信”,可以理解为,TISAX作为汽车行业共同认可信任的一个信息安全能力的评估结果,进一步推动行业上下游企业(例如零部件厂商,供应商,服务商)在满足不同相关方(主要是OEM)的VDA-ISA信息安全评估的同时,其评估结果能够进一步相互认可,交换和信任,从而减少不同OEM的频繁审核。
当客户要求证明公司的信息安全管理,符合「VDA-Information-Security-Assessment」(VDA ISA 所定义的级别)。您就必须通过ENX 平台,分享信息安全管理之评估结果。
02
为什么需要这个标准呢?
为保护汽车行业数据交互的安全,德国汽车工业协会 (VDA) 多年前就基于ISO27000系列标准建立了VDA-ISA(Information Security Assessment)信息安全评估标准。VDA于2017年联合ENX推出新的”可信信息安全评估交换“Trusted Information Security Assessment Exchange (TISAX) ”机制,此机制可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。
案例1
小鹏汽车曾因违规采集客户人脸数据而被罚款10万元,而该行为未经得消费者同意,针对违规问题,小鹏汽车对本次处罚表示完全服从并深刻反省,另外还解释涉事门店的本意是希望通过对门店客流等数据的收集与分析,改善接待流程,从而更好地服务于到店客户,但由于对相关法律条款的不熟悉,误采购并使用了违反了相关法律条款的第三方供应商(悠洛客)的产品。
案例2
蔚来汽车深陷“泄露门”据统计,此次泄露数据高达百万条以上。网上列出的数据涉及蔚来的经营以及客户隐私,比如订单数据、车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等隐私信息也全部涵盖在内。这些信息被明码标价,且均以比特币为单位。
案例3
日本汽车大厂本田汽车(Honda Motor)一个内含超过1亿份文件,包含员工计算机主机名称、IP、使用哪套安全软件的数据库,由于未设密码,恐让全球公司计算机安全部署及漏洞状况被人看光。
有鉴于此,汽车产业信息安全事件层出不穷,促使欧系车厂加速供应链完成汽车安全评估讯息交换平台(TISAX)-VDA ISA 的决心。欧系车厂大众 / 宝马 / 保时捷已开始要求供应链必须取得 TISAX 认证。
自TISAX评估推出以来,很多小伙伴都收到德系主机厂落实TISAX的要求。可以说,通过TISAX认证,将是未来进入德系主机厂,获得数据交互权限的必经之路。经过几年的推广实施,已有数千家企业获得了TISAX标签。通过收集各家机构在评估过程中对于标准内容的反馈,为了推动TISAX标准更好的适用于全球汽车产业链,VDA当前推出了VDA-ISA 5.1.0版本,并更新了对应的TISAX 用户手册Zui新版本。
03
TISAX认证与ISO 27001的关系是什么?
两者都旨在提升组织的信息安全能力。ISO 27001是适用于各个行业的信息安全管理体系认证。TISAX基于ISO 27001,但在许多方面专注于汽车行业的特定要求,如:TISAX采用三种审核等级,AL1为自评、AL2和AL3需要第三方审核员进行现场审核;在关注点方面,TISAX必须实施好ISMS体系的控制点要求,并能证明PDCA循环在发生作用以及提供足够的支持文档。
此外,无论是从审核频率、结果证明、适用范围、还是从不符合项处理规则来看,TISAX®和ISO27001都存在着显著的差异。例如评估方法,ISO27001要求进行年度审计,而TISAX则是一次评估,有效期为三年。在一致性确认方面,ISO 27001颁发证书,而TISAX是标签。对ISO27001的认证是通过满足标准的要求来实现的,而实现TISAX标签的基础是满足VDA评估目录中的评估目标的要求。
04
获得 TISAX 认证的价值
1
TISAX认证都源自主机厂的强制要求,获得认证就满足了客户方的直接要求;
2
通过TISAX的导入和运行,可以很好地提升员工的安全意识和能力。员工的行为对公司内部的安全有重大影响,员工的安全意识和能力的提升,无疑可以更好地增强企业的竞争力;
3
行业内相互认可,可以Zui大程度的节省时间和管理成本: 所有VDA成员和OEM都需要获得 TISAX 认证,TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准,评估结果得到其他TISAX参与者共同认可从而实现汽车行业企业之间的安全互信。
TISAX®标签认证有三个评估等级
评估级别 1(AL 1)
主要针对公司内部用途,是真正意义上的自我评估(self-assessment)。
评估级别 2(AL 2)
为确认是否符合级别2,审计服务提供商会对您的自我评估结果(针对评估范围内的所有地点)执行合理性检查。此外,审计服务提供商通常会以电话会议的形式完成谈话过程。
该级别一般不包含现场检查。但如果您选择了其中一个“原型”评估对象,则评估过程将总是包含一次现场检查。
评估级别 3(AL 3)
为确认是否符合级别3,审计服务提供商会执行评估级别2所要求的所有检查,只不过,相关检查的范围会更广,并且审计服务提供商将通过深入开展现场检查以及面对面谈话等形式,来全面核查您的自我评估结果。
评估级别规定了我们的TISAX审计服务提供商所执行的审核深度以及使用的审计方法。
企业TISXA认证步骤
企业首先开展自评估,填写VDA-ISA表格内容并完成成熟度的打分。必要时可由外部咨询公司提供专业支持;
企业在ENX网站上,注册全部信息,成为TISAX参与者;
企业选择TISAX审核机构,签订《认证审核合同》;
召开KOM会议,企业接受审核机构的首次审核;
制定整改行动计划提交审核机构/完成纠正计划审核;
实施整改计划(通常2-6个月);
完成跟进审核(限9个月内);
获得TISAX标签(Label);审核结果发布和共享。
三年内再次完成以上流程,标签维持。