从“电动化、网联化、智能化、共享化”概念被首次提出后,汽车行业开启了前所未有的、令人惊叹的变革。在变革浪潮中,汽车已逐渐摆脱其作为“交通工具”的单一设定,演化成如同手机般的智慧产品,融入到大多数人的生活中,公交车、私家车每天都在路上飞驰着,为了让汽车人机交互系统操作更加便捷,汽车也在向智能化快速发展。然而,随之而来的信息安全问题日趋严重,受到了广泛关注。今天擎标就给大家详细的介绍一下TISAX可信信息安全评估交换。
汽车行业的核心信息安全问题
什么是TISAX?
TISAX 可信信息安全评估与交换标准是基于ISO 27001信息安全管理体系标准和VDA-ISA信息安全评价检查表而建立的汽车行业专用信息安全标准。TISAX 为汽车行业内不同服务商提供了信息安全评估结果互认的模式,供应商通过了该评估,即意味着其结果得到了所有参与方的认可。
谁需要TISAX?
从传统零部件供应商到更广泛的合作伙伴。
TISAX审计的对象,一般是面向传统的汽车零部件供应商,从国内覆盖范围来看,无论是跨国企业还是本土企业,审计地点会包括公司总部的办公环境、研发环境,也包括其在各地的工厂、实验室、测试场地等。
随着汽车发展变得更加节能和数字化,新能源汽车、移动互联网和自动驾驶领域的公司及其相应的技术研发和相关服务也成为汽车供应链中不可或缺的一部分。许多知名的科技巨头和高创新的初创企业已开始踏上他们的TISAX之路。
此外,从事汽车市场研究、以客户为中心的服务的公司(如研究机构)以及提供支持性ICT服务(包括系统运营服务、邮箱服务、云服务等)的公司也需要向其OEMs客户和/或汽车客户提供有效的TISAX标签。
为什么要进行TISAX审核?有哪些优势?
德国大众等主机厂已经将TISAX作为其供应商必须通过的资格要求。企业通过TISAX评估后,可以被众多主机厂认可。
三年有效期内只需要一次TISAX审核,避免多次审核的需要,节约成本和时间。
企业通过TISAX审核后,证明其实力,尤其在参与投标时,可以作为有利附加条件。
允许跨公司之间的审核结果互认。
现行TISAX一共定义了多少个标签?
企业通过申请,通过几个,就将获得几个标签。可以同时发起申请,目前标签包括:
2个信息安全标签(INFO HIGH,INFO VERY HIGH)、2个第三方连接标签(CON HIGH,CON VERY HIGH)、4个原型保护标签(PROTO PARTS,PROTO VEHICLES.
TISAX评估分为三个阶段:初始评估,纠正措施计划评估和后续评估。整个评估过程最长不能超过9个月。如果在此规定时间内,没有完成评估流程,则必须重新申请评估流程。
处理和存储的信息敏感度,其保护级别可以分为High(AL2)和Very High(AL3) 。需要注意的是,AL3、或带有原型保护的AL2、或带有第三方连接的AL2,均必须(对每个涉及的工作场所)进行现场审计。通常的审计方法包括人员访谈、现场检查、取证确认等 。
审计结论将严格按照VDA ISA成熟度级别的方法,采用成熟度得分来表示。每一项控制点的成熟度得分范围在0-5之间(可以包括不适用项),由审计方来评价。取得TISAX标签的前提是:需要达到规定的成熟度水平,并且没有任何偏差项(被审计方必须基于发现和偏差进行及时整改,并在规定时间内由审计方进行跟进评估和确认)。
认证结果不以证书的形式体现,而是不同的电子标签。标签有效期3年,从末次会议当天开始计算。
TISAX标签的价值
1、行业内的相互认可:所有VDA成员和OEM都需要获得TISAX认证,以证明其能够满足外部需求方的直接要求,TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准,评估结果得到其他TISAX参与者的共同认可,从而实现行业企业之间的安全互信;
2、避免多次检查降低管理成本:TISAX认证基于统一的VDA-ISA安全评估目录和标准,获得TISAX标签后,通常每三年只需要进行一次TISAX评估;
3、提升安全意识:员工的行为对公司内部安全有重大影响,通过TISAX能够有效提高员工安全意识与能力。
TISAX的评估流程
1. 在TISAX平台(即ENX官网)上注册;
2. 选择审核提供方(认证机构);
3. 所选标签/范围审核提供方进行初步验证;
4. 签订审核合同;
5. 企业实施自评估,并向审核提供方提交自评估报告;
6. 审核提供方实施非现场审核 / 现场审核;
7. 企业获得TISAX标签;
8. 向合作伙伴分享TISAX评估信息。
TISAX审核内容
1、信息安全制度与组织:内容涉及信息安全策略的创建、发布或分发及定期审查,资产管理,信息安全风险管理。
2、人力资源安全:内容涉及内外部员工遵循信息安全规定的程度,内外部员工遵守信息安全策略的程度。
3、物理环境安全:内容涉及对敏感信息处理设施的安全区域的定义、保护和监测,对自然灾害、故意袭击或事故产生影响的应对,信息安全要求和危机事件下的ISMS的连续性的界定、实施、核实和评估。
4、访问控制:内容涉及访问IT系统政策和程序的适用性,特权用户和技术账户的分配和使用的监督审查,用户遵守创建和处理机密信息约束性政策的情况,授权人员的信息和应用程序的获取,与其他组织共享的环境中的数据分离。
5、信息安全与网络安全:内容涉及密码学,操作安全,系统采购、需求管理和开发。
6、供应商关系:内容涉及供应商获得公司信息资产时的风险控制,供应商服务的定期检测、审查和审计。
7、合规:内容涉及相关法律(特定国家)法规和合同要求的符合情况,个人身份信息的保护,独立第三方定期或发生重大变化时对ISMS的审核。
8、样件保护:除物理及环境要求、组织架构要求外,内容还涉及整车及零配件处理(车辆或部件在运输过程中根据客户要求的保护情况,停放/存放需要保护车辆或部件的实施情况),测试车要求(预先定义的伪装法规的实施情况,测试场地的保护措施,公开批准试驾的保护措施),活动拍摄及拍照要求(涉及车辆、部件或配件的演示和活动的安全要求,涉及车辆、部件或配件的胶片和照片拍摄的保护措施)。
9、数据保护:内容涉及数据保护的实施程度,个人身份数据处理的合法性保障措施,内部或工作流程在数据保护法规下进行,有关处理流程在何种程度上记录了其可受理性。
TISAX审核要求
在5.0的官方目录中,各类要求以表格的形式体现:
"must"(必须满足)类别的要求是强制性要求,没有任何例外。
"should"(相应满足)类别的要求通常由组织总体实施。但是,在某些情况下,对于不遵守“相应满足”类别的要求,可能有正当理由, 如有任何偏差,组织应了解其影响,并有合理理由或补偿措施与控制。
如果评估级别是“高保护要求”,则必须另外满足“高保护要求”类别的要求。
如果评估级别是“极高保护要求”,则必须额外满足“高保护要求”与“极高保护要求”类别中的要求。
在5.0版本中,原则上不允许有“不适用”项。
VDA ISA评估标准目前仅支持英文版、德文版,评估内容仅限此两种语言填写,尚不支持中文。
TISAX审核评分方式
TISAX采用“成熟度等级”的概念用于评估控制项的完成质量,在实际审核过程中,分为6个成熟度等级:
1、不完整的成熟度为0:表示没有流程或流程未运行(没做),属于重大不符合;
2、已执行的成熟度为1:表示有运行的流程,但是流程没有被记录(做了没记录),属于重大不符合/轻微不符合;
3、已管理的成熟度为2:表示运行且有记录的流程,但是同一目标有多个不同的流程(流程不统一),属于轻微不符合/观察项;
4、已建立的成熟度为3:表示有运行的流程,也有实时更新的运行记录,且流程是在一个统一的信息安全框架下管理的(有流程有记录,但是没测量),属于观察项/无偏差;
5、可预测的成熟度为4:表示在成熟度3的基础上有运行的流程并可以测量,属于无偏差;
6、在优化的成熟度为5:表示在成熟度4的基础上有专人负责持续提升优化,属于无偏差。
在评分0-5分的基础上,TISAX还使用了cut back机制,每个大控制点的目标成熟度都是3分,为了确保低分项不会被高分项拉高最终评分,实际得分超过目标成熟度的分数均会被折算为目标成熟度。具体操作如下图所示,当实际成熟度评分为4分或5分时,将调整为3分;实际成熟度评分为1-3分的将维持原分数不变。
TISAX评估范围-评估级别(AL)
保护需求越高,您的合作伙伴就越希望确保能够放心地让您处理他们的信息。因此,TISAX定义了三大“评估级别(Assessment Level, 简称AL)”。
评估级别 1(AL 1):
评估级别 1 主要针对公司内部用途,是真正意义上的自我评估(self-assessment)。
评估级别 2(AL 2):
为确认是否符合该级别(级别 2),审计服务提供商会对您的自我评估结果(针对评估范围内的所有地点)执行合理性检查。此外,审计服务提供商还会检查相关的证据,并约您以及其他同事谈话。
审计服务提供商通常以电话会议的形式完成谈话过程,您亦可要求其与您进行面对面谈话。
该评估级别(级别 2)一般不包含现场检查。但如果您选择了其中一个“原型”评估对象,则评估过程将总是包含一次现场检查。
评估级别 3(AL 3):
为确认是否符合该级别(级别 3),审计服务提供商会执行评估级别 2 所要求的所有检查,只不过,相关检查的范围会更广,并且审计服务提供商将通过深入开展现场检查以及面对面谈话等形式,来全面核查您的自我评估结果。
评估级别规定了我们的TISAX审计服务提供商所执行的审核深度以及使用的审计方法。简单来说,评估级别越高,相应的评估强度就越高,使用评级方法也就越高级。大部分情况下,建议企业选择级别AL3。
以上就是TISAX可信信息安全评估交换的详细介绍,擎标是一家致力于科技风险与合规内控领域提供解决方案的咨询服务机构。公司主要从事DCMM、CMMM、ITSS、A-SPICE、CMMI、ISO27001、ISO27701、ISO22301、ISO20000、涉密资质等领域的管理规划、体系建设、工具支持及咨询评估服务。需要了解TISAX项目的企业,可继续沟通。