TISAX认证详细介绍
TISAX介绍
汽车行业正在蓬勃发展。为了保证整个规划和制造过程中的高标准,制造商与供应商密切合作,通常让他们直接参与产品开发过程。但是,要做到这一点,他们必须传递高度敏感的数据。但是,这些信息的丢失或滥用可能导致潜在的严重经济和金融后果。
因此,德国汽车工业协会(简称VDA)建立了一个信息和网络安全标准,专门用于满足汽车行业的要求。该标准被称为TISAX®(代表可信信息安全评估交换),虽然它是德国标准,但已得到全球认可,因此也适用于希望与德国汽车行业开展业务的外国供应商。
在本文中,我们将研究TISAX与ISO 27001的区别究竟是什么,以及组织必须满足哪些要求才能完成TISAX认证。
汽车行业的TISAX认证
在TISAX之前,汽车制造商已经要求供应商和其他服务提供商证明他们有合适的ISMS(信息安全管理系统),以便充分保护这些制造商提供给他们的数据。当时,他们将根据VDA与ENX合作开发的信息安全评估(ISA)需求目录对从供应商处收到的信息进行评估。
然而,问题在于,制造商被迫对每个服务提供商单独进行评估。供应商必须允许每个制造商单独评估他们,如果他们想继续接收订单。他们需要的是一个标准化的流程和透明的方法,以便在各组织之间交换评估结果。
信息和网络安全行业标准
2017年推出的TISAX解决了这两个问题。ENX协会是TISAX内部的治理组织。德国汽车行业的许多汽车制造商和供应商现在都希望他们的业务合作伙伴获得TISAX认证。
虽然外国供应商可以获得TISAX®认证,但它不是全球公认的ISO标准。为美国供应商和原始设备制造商推出TISAX的产品仍有待解决。美国的一些制造商依赖于称为TPISR的安全标准,该标准是第三方信息安全要求的缩写。
TISAX® 评估和交换机制
TISAX 所做的不仅仅是“仅仅”推荐汽车行业的信息安全措施。注册参与者可以通过专门开发的在线平台(TISAX Exchange)交换评估结果,定义的标准确保所有参与者都能识别这些结果。
在平台上分享您的结果不仅可以向您的直接业务合作伙伴,还可以向所有参与组织传达您的公司在信息安全方面符合TISAX®的要求。
蒂萨克斯 vs.ISO 27001
ISA的TISAX认证要求目录源自国际行业标准ISO 27001。但是,VDA和ENX协会已经扩大了要求,以包括与汽车行业特别相关的其他兴趣领域。
这些领域包括将合作伙伴集成到公司自己的IT基础架构中,以及数据保护和原型保护。ISO 27001和TISAX之间的其他差异包括定义的范围,评估过程和推荐措施的资格认证。
TISAX 与.ISO 27001 – 范围
网络安全标准的范围决定了在认证过程中将评估公司的哪些部分。虽然对于ISO 27001,公司可以在很大程度上自己确定其评估范围,但ENX协会指定了TISAX认证的标准范围。
标准范围构成了TISAX评估的基础,并被所有参与者所接受。在某些情况下,评估的范围可能会调整(例如,如果原始设备制造商需要更彻底的检查)。
希望获得TISAX®认证的公司必须在评估中包括所有接触与相关汽车行业相关的敏感信息的员工。
TISAX 与ISO 27001 – 评估流程
TISAX 和 ISO 27001 认证流程都始于自我评估。申请公司可以在多个认证级别之间进行选择,两个审核流程都包括多个步骤。不同之处在于,在TISAX审核过程中,必须解决评估期间发现的所有弱点,以便公司获得TISAX®标签或证书。
TISAX 与ISO 27001 – 成熟度级别
TISAX® 评估目录基于 ISO 27001 中定义的控制措施。然而,要成功获得TISAX认证的资格,公司必须在实施这些控制措施及其背后的流程方面达到一定的“成熟度水平”。TISAX® 中定义的成熟度级别范围从 0(不完全)到 5(优化)。您可以在TISAX参与者手册中了解有关这些成熟度级别的更多信息。
蒂萨克斯®认证
TISAX 认证是在 VDA 信息安全评估(VDA ISA)目录的基础上进行的,该目录已被40个国家/地区的 2500家公司用作审核的共同基础,并有助于为汽车行业的信息安全建立明确的标准。公司可以在三种不同的评估级别之间进行选择。
对于审核,您必须聘请经ENX协会批准的独立审核服务提供商。ENX协会监控审核和审核结果的质量,并确保符合审核提供商标准和评估要求(TISAX ACAR)。
要求
要获得TISAX认证,组织必须满足VDA ISA评估目录规定的要求,该目录由三个模块组成:(1)信息安全,(2)原型保护和(3)数据保护。信息安全是在每种情况下都要评估的主要模块。
该模块根据ISO 27001/ISO 27002和ISO 27017(云安全要求)的要求进行评估。TISAX问卷直接引用了ISO标准。必要时,根据所选级别(2和3)评估其他三个模块。
根据成熟度级别模型评估需求和基础流程的实现,其中3是目标成熟度级别。一个领域的成熟度高于平均水平并不能弥补另一个领域低于平均水平的结果。
TISAX 问卷
当前的 VDA ISA 目录(版本 5.1.0)构成了自 2020 年 10 月 1 日起所有新 TISAX 审核的基础。以前版本的目录 (VDA ISA 4.1.1) 已不再使用,但它在 2021 年 3 月 31 日之前仍然有效。
TISAX 认证 – 程序
• 注册: 一家公司注册TISAX并根据VDA ISA问卷提交自我评估,包括其目标证书级别。
• 选择审计提供商:公司选择独立的审计提供商。
• 合理性检查/初始检查:审计提供者验证自我评估(包括任何证明文件)是否已完成。
• 优化:公司消除了在初始审核期间发现的弱点。
• 评估:公司接受TISAX评估(2级:远程,3级:现场)。
• 优化:公司消除了在TISAX评估期间发现的弱点。
• 跟进:公司必须证明评估期间发现的所有弱点都已消除。
• 交易所:公司通过TISAX交易所(自愿)发布审计结果。
审计提供商将最终评估结果提交给ENX协会。如果与标准有轻微的偏差,公司只会获得临时TISAX®标签,该标签仅在有限的时间内有效。在纠正偏差之前,不会授予永久认证。在出现重大偏差的情况下,TISAX 认证仅在偏差得到纠正之日生效,这一点可以得到证明。
TISAX 认证 – 评估级别
适用于贵公司的评估级别取决于特定环境所需的保护级别(从低到高再到非常高)。由您决定要使公司达到哪个评估级别。但是,许多制造商确实希望其潜在供应商获得一定程度的认证。
TISAX 1 级适用于具有标准保护要求的公司。 被审计对象根据VDA ISA问卷进行自我评估。但是,此自我评估不经过审核,不算作 TISAX 认证。
TISAX 2 级适用于具有高级别保护需求的公司。被审计对象根据 VDA ISA 目录执行自我评估。在现场审计面谈后,审计提供者检查这种自我评估的合理性以及是否已经完整地提交了所有证明文件。实际的2级评估以电话面试的形式进行。如果原型保护和/或第三方连接也是评估的一部分,则应在现场进行。
TISAX 3级适用于具有非常高级别保护要求的公司。该过程与2级评估(审计师的自我评估,合理性和文档检查)相同,只是评估始终在现场进行。ISMS的有效性和成熟度是通过现场访谈和对关键区域和场所进行演练来验证的。
TISAX 认证 – 持续时间
从初始检查(在自我评估后进行)到最终符合TISAX标准的审核结果之间不得超过九个月。公司必须在此时间范围内纠正评估期间发现的任何偏差和弱点。如果满足所有必要的VDA ISA要求,公司将获得TISAX®认证。该认证的有效期为三年,在此期间不会进行年度监督审核。
TISAX 认证 – 成本
TISAX® 认证的费用因具体情况而异。每个公司应该预期的费用包括审计提供者和审计本身的成本(如果需要后续审计,则进行多次审计)。因此,许多公司选择提前投资开发和扩展其ISMS(信息安全管理系统)。通常,在持续的审计过程中,优化也会产生成本。
TISAX 认证如何降低成本
尽管需要进行投资才能获得TISAX®认证,但需求已经标准化的事实意味着费用已经变得可预测,因此可以更好地管理。在引入行业标准之前,公司通常必须接受几家制造商的多次审核,并进行投资以满足其所有不同的需求。现在,一项认证就足以成为多个客户值得信赖的供应商。
三年后更新认证往往比原始审核便宜得多,因为到那时,通常已经实施了适当的ISMS,并且只需要一些小的优化(如果有的话)。