TISAX® 是汽车行业用于信息安全的跨公司检测与数据交换程序。它关注在汽车制造过程以及车辆运行过程中数据的保护、数据完整性和可用性。
这一目标的实现依赖于一套类似于 ISO 27001 标准的信息安全管理体系(ISMS)。在此基础上,德国汽车工业协会(VDA)针对汽车行业制定了特殊的信息安全评估(ISA)要求和检测目录 。
信息安全管理体系的有效性可通过依据 VDA - ISA 标准进行的评估(审核)来验证。若评估成功,例如通过TÜV NORD的评估,TISAX® 项目的管理机构 ENX * 会在其数据库中颁发 TISAX® 标签。该标签得到所有 VDA 成员以及奥迪、大众、宝马等汽车制造商的认可与要求。
参与 TISAX® 流程的各方通过一个共享在线平台,就信息安全状况进行信息交流。要参与 TISAX® 流程,必须在该平台上注册。除了交换评估数据,该平台还方便参与方与评估服务机构相互联系。在这种信息交换模式下,每家公司可根据自身需求,担任以下两种角色之一。
被动参与方例如汽车制造商。他们要求其他公司(例如其供应商)提供特定TISAX®标签的证明,从而执行符合相应评估目标的评估,并要求获取评估结果。
主动参与方或被审核方例如供应商:某公司要么应另一公司(如OEM、汽车制造商)要求依据标准目录接受审核,要么主动接受审核。评估完成后,主动参与方决定TISAX®网络中哪些主体可访问其评估结果。
参与TISAX®流程的各方通过联合在线平台交换信息安全状态信息。参与TISAX®流程必须在该平台完成注册。除评估数据交换外,该平台还支持参与方与评估服务商建立联系。在信息交换模式中,每家企业可根据需求承担两种角色之一。
TISAX®流程主要包含三个阶段:注册、评估和交换。您是否想详细了解如何掌握这三个阶段?我们的指南《TISAX®评估如何运作?》将助您全面掌握整个流程。
作为TISAX®计划的运营方,ENX协会已明确定义评估的等级与范围。TISAX®根据组织所处的信息保护要求,划分出三类不同的保护等级与评估层级。这些评估目标取决于信息的保护需求。
适用于常规保护要求。审核员可采用自评估形式实施评估。
Level 2评估适用于具有高保护要求的供应商和服务提供商。前提条件是需提供完整的自我评估报告。审核机构随后将执行以下测试步骤:
评估Level 3具有极高的保护要求。此处必须引入审核服务提供商(TISAX® AP),且需提供完整的自我评估报告。后续审核步骤与Level 2评估类似,但现场审核期间将重点考量关键要素。
TISAX®代表可信信息安全评估交换,描述了汽车行业信息安全评估与交换的流程。
仅经ENX授权的评估服务提供商(TISAX® AP)有权执行TISAX®评估。TÜV NORD CERT是ENX签订的合作伙伴。
TISAX®由德国汽车工业协会(VDA)开发,由ENX协会管理,该协会负责监督评估实施的质量和结果。
TISAX®评估的范围和持续时间主要取决于商定的评估目标、信息安全管理体系(ISMS)的成熟度和复杂性,以及待评估的站点数量。
从闭幕会议(初始评估的最终讨论)到整个评估流程完成(包括验证必要纠正措施的有效实施),仅有九个月的有限期限。若未能在期限内完成,则必须从头重启流程。三年后(TISAX®认证标签的有效期),该程序必须重新进行。
所有处理汽车制造商及供应商敏感信息的供应商和服务提供商,都应积极参与TISAX®评估。一方面,这能帮助他们满足客户的要求;另一方面,可避免反复接受客户重复的相同审核。因为客户通常会要求供应商提供符合信息安全要求的证明文件。
如需获取TISAX®评估报价,意向方须先在ENX门户注册并填写相关信息。若需协助报价申请流程,请随时联系我们。
企业可通过参与者注册访问TISAX®门户,该门户便于评估数据的交换。这是委托评估服务提供商(TISAX® AP)如TÜV NORD进行评估的前提条件。
ENX在其网站上发布了关于TISAX®的详细信息,并将其汇总在参与者手册中。
有关ENX的声明与分析详见:TISAX与工业网络安全——专家分析确认符合NIS2要求 · ENX门户
在信息安全管理体系(ISMS)的质量保障方面,TÜV NORD始终是您值得信赖的合作伙伴。我们已获得德国认证机构(DAkkS)多年授权,可开展ISMS的审核与认证工作。针对汽车行业,TÜV NORD经ENX协会授权成为TISAX®审核机构(TISAX® AP),可在全球范围内开展评估业务。
*注:TÜV NORD CERT GmbH经ENX授权提供TISAX®评估服务。TISAX®项目相关品牌、商标及知识产权均归ENX所有。
8621-3319 6282(Pauline chen电话)
SEND E-MAIL: dxie@tuv-nord.com