什么是TISAX认证
当今世界正处于数字化的洪流中,从个人到企业,每天都面临着大量的数据交互。如何保护这些数据的安全,已成为当前不可回避的话题。汽车行业作为一个拥有复杂上下游供应链的行业,其中任何一家企业的信息安全问题都有可能对上下游整个供应链造成巨大影响。
为推动成员企业符合信息安全标准,德国汽车工业协会 (VDA) 多年前就基于ISO27000系列标准建立了VDA-ISA(Information Security Assessment)信息安全评估标准。之前,汽车行业成员多将VDA ISA用于其内部目的,对于信息安全审核,特别是服务提供商和供应商的审核,经常由公司自己进行。
为进一步推动企业(例如零部件厂商,供应商,服务商)在满足不同相关方(主要是汽车整车制造商)的VDA-ISA信息安全评估时,其评估结果能够进一步相互认可,交换和信任,从而减少不同整车制造商的频繁审核。
VDA于2017年联合ENX推出新的”可信信息安全评估交换Trusted Information Security Assessment Exchange (TISAX)”机制,此机制可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。
TISAX评估流程
目前主流德国主机厂已强制要求通过TISAX认证才能够和他们交换数据。
为了通过机构的认证,企业通常需要通过以下步骤完成最终的评估工作。
评估准备
在TISAX网站注册,获取ID。并与客户确认评估范围及评估等级。选择评估机构并准备相关的自评估文件。准备过程中,也可视情况获得相应的咨询与培训服务。
评估执行
评估机构召开启动会议,开始正式的评估工作。通过文件审查,现场评估,得出企业信息安全的评估结果。
问题整改
末次会议后9个月内,需完成所有的问题整改,并视情况完成后续的现场跟踪评审。认证机构会完成最终的评估报告。
结果交互
认证机构在TISAX网站上上传最终的评估报告,并申请TISAX标签。企业可通过与客户分析评估结果,以获得与客户数据交互的权限。
TISAX认证的价值
通过TISAX认证企业,能够获取以下效益:
1、满足外部需求方直接要求,行业内相互认可:所有VDA成员和OEM都需要TISAX认证,TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力标准,评估结果得到其他TISAX参与者共同认可从而实现汽车行业企业之间安全互信;
2、避免多次检查,降低管理成本:TISAX认证基于统一的VDA-ISA安全评估目录和标准,通常每三年只需要进行一次TISAX评估;
3、提升员工安全意识,员工是公司信息安全保护的重要资源与手段,他们的行为对公司内部的安全有重大影响,通过TISAX提高员工安全意识与能力。