TISAX与ISO27001的联系与区别

今天擎标就给大家详细的介绍一下TISAX和ISO27001之间的共同点和相应的区别,希望帮忙大家更好的理解TISAX认证。

TISAX和ISO27001之间联系:TISAX采用的VDA ISA评估标准与ISO 27001信息安全管理体系源远流长,TISAX认证审核(基于VDA协会的ISA-Information Security Assessment安全评估标准)以ISO 27001为基础,遵循其主要管理思路与原则,内容也覆盖了ISO 27001标准的基本要求。

TISAX和ISO27001区别:TISAX以ISO 27001为基础,并对其进行了调整,使其更具有汽车专用性。这两种方法都提供了独立的证据,使信息得到安全可靠的处理。组织是根据适当级别的标准清单进行评估的,以表明是否符合TISAX标准。通过对该组织的信息安全政策和流程进行严格评估实现TISAX标签表明该组织是汽车供应链中可靠的合作伙伴。TISAX以ISO 27001为基础,遵循其主要原则,但也有一些不同之处。最重要的区别是TISAX明确定义了什么是“安全”应用于汽车行业的信息,而ISO 27001是开放的一定程度的解释。有一些关于原型车辆、零部件、测试车辆的处理以及在活动、电影和照片拍摄期间保护信息的具体章节。两者的另一个不同之处是评估方法。例如,ISO 27001要求进行年度审计,而TISAX则需要一次评估,有效期为三年。在一致性确认方面,ISO 27001颁发证书,而TISAX是标签。对ISO 27001的认证是通过满足标准的要求来实现的,而实现TISAX标签的基础是满足VDA评估目录中的评估目标的要求是一开始就要求这样做。二者的使用范围:ISO 27001适用产业的范围较TISAX更广。TISAX安全审计聚焦在汽车行业相互接受信息安全评估,由ENX认可的第三方审核机构进行,并为专业交流提供共同的评估机制。

TISAX和ISO27001之间共同点:TISAX是基于ISO 27001信息安全管理体系标准扩展到包括汽车特定要求,所以二者之间的管理思路基本一致,同样也按照控制域评估方式。如ISO 27001:2013共有14个控制域114个控制项,TISAX ISA 5.0.4 分为3个模块:信息安全(7个控制域,41个控制项)、原型保护(5个控制域,22个控制项)、数据安全(4个控制项),共67个控制项,且信息安全控制域与VDA ISA二者之间也保持了一定的映射关系。同样,为保证审核的客观、独立性、公正性和证书或标签的权威性,TISAX和ISO 27001都要求认证机构和咨询机构为不同的单位。

TISAX和ISO27001审核标准的比较:TISAX 审核基于VDA ISA标准,从内容上看,最新的5.0版本依旧基于ISO 27001与ISO 27002的主要内容,但在结构和内容方面进行了优化,区别于TISAX 4.1,TISAX 5.0不再使用ISO 27001的框架,而是将其内容分为了7个控制域,然后在此基础之上添加了,原型保护与数据安全控制域,并且,TISAX 4.1中的第三方联系控制域也合并入信息安全控制域中。新版本的目的是使用更轻松,更高效,从而减少了公司和审核员的工作量。TISAX审核之所以 以ISO 27001为基础是因为该信息安全管理要求已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。VDA建立其“信息安全”工作组已十多年,始终致力于开发成熟的适用于汽车行业的信息安全要求。作为VDA下的一员,之前的ISA标准通常被用于组织的内部控制要求,或者是作为那些能接触组织敏感信息的供应商的审核要求。从供应商的角度来说,频繁地接受来自于不同主机厂的审核,且其审核要求大同小异,已经越来越成为供应商自身运营的负担。为此,VDA联合ENX协会推出了得到大部分成员组织认可的信息安全评估流程,并将据此得到的审核结果放在一个可供信息交换的可信平台(ENX)上,以替代之前各主机厂的频繁审核,供各需求方进行授权查询。二者审核方式的比较:从二者审核方式总体上来看,TISAX的成熟度评估是针对每个控制要求的,每个要求必须达到最低成熟度。在具体审核时,审计师会对各个单项控制点的成熟度情况进行评分,最终得出整体分数。ISO 27001并没有按成熟度评分的机制,而是根据风险评估的结果对风险实施保护控制,并且ISO 27001更强调PDCA的概念。PDCA循环的含义是将质量管理分为四个阶段,即Plan计划(包括方针和目标的确定,以及活动规划的制定)、Do执行(根据已知的信息,设计具体的方法、方案和计划布局;再根据设计和布局,进行具体运作,实现计划中的内容)、Check检查(总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题)、Act处理(对总结检查的结果进行处理,对成功的经验加以肯定,并予以标准化;对于失败的教训也要总结,引起重视),而TISAX则没有突出PDCA。另外,在具体操作时,TISAX审核相比 ISO 27001也存在诸多差异。如:评估模块与评估级别需要主机厂协助判定,以主机厂的要求为准;样件保护标签可多选,由主机厂确认需要通过哪类标签;TISAX评分需要遵循cut back机制等。

TISAX标准的价值:行业内的相互认可:所有VDA成员和OEM都需要获得TISAX认证,以证明其能够满足外部需求方的直接要求,TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准,评估结果得到其他TISAX参与者的共同认可,从而实现行业企业之间的安全互信;避免多次检查降低管理成本:TISAX认证基于统一的VDA-ISA安全评估目录和标准,获得TISAX标签后,通常每三年只需要进行一次TISAX评估;提升安全意识:员工的行为对公司内部安全有重大影响,通过TISAX能够有效提高员工安全意识与能力。