最近多有机构联系我们或以客户名义联系我们TISAX 项目咨询认证事宜。特此声明:瀚晟顾问为了给客户提供更好的服务。TISAX项目仅服务直接的优质客户,不协助其他机构谈单,不承接其他机构转包项目。目的不明以客户名义联系我们的,敬请绕道! —— 瀚晟顾问宣
什么是TISAX?
2017年底,VDA和ENX联合为VDA ISA创建TISAX(Trusted Information Security Assessment Exchange):信息安全的评估和交换机制,可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。
ISA: 用于组织的内部控制要求, 接触组织敏感信息的供应商(服务商)的审核要求。
VDA联合ENX推出成员组织认可的信息安全评估流程,将审核结果放在的授权平台上以供信息查询和交换。
ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会。TISAX的监管和组织的角色。
由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。
通过监管“ENX治理三角”得到保证,包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。
汽车行业为什么要做TISAX?
案例一:2018年7月初有媒体报道,来自UpGuard 安全团队的研究员Chris Vickery 在网上发现了汽车供应商Level One 的不安全数据库,数据库包括将近47000 份文件,涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等)
案例二:小鹏汽车员工遭FBI逮捕,指控窃取苹果公司无人驾驶商业机密
同时,作为VDA的成员,之前的ISA通常被用于组织的内部控制要求,或者是作为那些能接触组织敏感信息的供应商(服务商)的审核要求。从供应商(服务商)的角度来说,频繁的接受来自于不同客户的审核,且其审核要求大同小异,已经越来越成为供应商(服务商)自身运营的负担。
随着欧盟GDPR法规的生效,全球各地对数据安全越来越重视,汽车作为全球非常重要的一个产业,TISAX就是在这样的时代背景下应运而生。
TISAX在中国目前的现状
作为汽车行业的服务提供商或供应商,经常会有主机厂(例如大众,奥迪,宝马等)定期审核公司信息安全是否满足他们的要求。 审核的具体条款是VDA ISA(信息安全评估),最新版本是VDA-ISA_EN_4-0-4
大众,奥迪和保时捷要求供应商必须通过TISAX 。未来其他德国车企奔驰,宝马可能也会跟进要求供应商通过TISAX。因为是德国主机厂强制要求通过TISAX才能够和他们交换数据,所以国内汽车配件公司必须通过TISAX审核,因为2018年中才有此要求,国内大部分公司处于准备阶段
申请TISAX的主要流程和步骤:
(1) 去ENX官网注册,确定好审核的信息安全范围等级和地点。注册完成后和审核公司约好审核的时间和地点,确定好费用。
(2)首次评估。根据VDA ISA 4.04里面的详细要求,找到目前公司的信息安全体系和标准之间的差距。
(3) 培训。公司需要对整个公司的相关人员进行信息安全的培训,建立信息安全意识。
(4)文件编写和信息安全的运行。根据标准要求,编写和实施相关的信息安全文件,让相应的部门执行文件。同时,对于缺少的软硬件都必须到位。
(5) 公司内部再次根据VDA ISA评估目前公司的信息安全运行情况,如果评分可以达到TISAX的要求,可以调整到最佳状态迎接TISAX审核员的外审。
(6)外审通过,等待外审机构报告,如果未通过,根据情况,再次审核,知道审核通过为止。需要注意的是,您必须在9个月的时间内通过全部审核,否则需要全部重新开始申请一次。
DA ISA 4.0审核要求雷达图:(18项只是 :信息安全性 还有其他)
瀚晟资深TISAX辅导老师,专业指导,建立VDA -ISA体系,帮您顺利通过TISAX认证审核。24小时技术咨询电话:139 2600 5156 中国统一服务电话:400-777-4017
咨询报价