Trusted Information Security Assessment Exchange(德国汽车行业的通用信息安全评估,TISAX),最早起源于德国大众内部对其合作伙伴的信息安全审计,以实现对敏感信息的共享和保护,目前已通过德国汽车工业协会(VDA)逐渐扩展到所有的德国汽车主机厂(包括戴姆勒、宝马等),成为一种通用的对供应商信息安全能力水平的评估和交换机制,目的是为了实现德国汽车行业信息安全评估的相互接受,该项评估的流程和标准在2017年开始成为强制性要求,全球所有供应商(包括零部件厂商、外围服务商等)均应建立和维持其信息安全管理体系,并通过与之对应级别的TISAX审计,作为准入条件。
TISAX 审计级别、范围和具体要求
1.审计级别
审核级别 |
描述 |
A1.1 |
由被审核方执行自我评估审核,使用VDA ISA自评问卷执行评估即可 |
A1.2 |
对被审核方的自评结果执行真实性检查,检查时主要通过支持文档的评估和专家访谈执行 |
A1.3 |
执行完整的审核评估包括支持文档的评估,现场检查,和专家访谈等 |
TISAX按照信息安全保护程度,一共分为三个级别:AL1,AL2 (High), AL3 (Very High)。除AL1只需要供应商进行自评估外,其余等级均需要通过第三方审计。中国国内的供应商,无论是AL2还是AL3,都需要(对每个涉及的工作场所)进行现场评估,包括人员访谈、实地查看、取证确认等。
2.评估内容
从具体的评估内容来看,至少包括信息安全评估(ISA)共计52个控制点,这些控制点主要参照ISO/IEC27001和27002标准体系,并根据德国汽车行业特点进行相应的调整。不同的供应商根据与主机厂的业务合作,还可能包括对原型保护、第三方连接、数据保护的额外控制点的审计。每一项控制点按照信息安全保护能力成熟度,得分范围在0-5之间,最终得分由各项汇总后,按照偏差百分比决定是否通过TISAX审计(供应商可以根据偏差发现进行及时整改,并在规定时间内寻求审计确认)。
通过TISAX认证的好处
- 能够满足外部需求方的直接要求,行业内的相互认可。所有VDA成员和OEM都需要获得ISAX认证, TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力标准,评估结果得到其他TISAX参与者共同认可从而实现汽车行业企业之间安全互信;
- 避免多次检查降低了管理成本。TISAX认证基于统一的VDA-ISA安全评估目录和标准,通常每年只需要进行次TISAX评估;
- 提升员工安全意识。员工的行为对公司内部的安全有重大影响,通过TISAX提高员工安全意识与能力。
TopSek将为汽车行业的客户提供TISAX安全评估认证,包括TISAX体系介绍和应审培训,协助客户进行自评估和差距分析,协助客户制定整改计划并跟进,TISAX应审准备(材料、人员等);按需提供现场审核(预审、正审),包括适用性分析、差异分析、初步改进建议等;与客户现场沟通确认审计报告(包括整改后的再次确认),完成TISAX正式审计报告,客户最终确认后上传ENX平台。