数字化先jin技术的发展使如今整个世界丰富多彩更加宜居,黑客的也随之带来新的风险,仅过去一年,针对德国公司的犯罪袭击就达到1029亿欧元的损失。
众所周知,汽车行业在德国社会处于领xian地位。汽车行业是一个有着复杂广泛供应链的行业,任何一家在这个链条上的企业出现不管是数据泄露或是内外部攻击的网络安全问题都可能造成整个供应链的巨大影响。
原始设备制造商(OEM)与供应链中的多家公司合作制造汽车,为了促进协作OEM经常需要与供应商分享机密信息,比如原型设计。如果这些机密数据没有得到有效保护,供应链上的交易可能造成损失和商业机密的流失。OEM需要确保其合作伙伴拥有可靠的信息安全管理系统。
德国汽车工业协会(VDA)多年前建立了VDA– ISA信息安全评估标准来推动其成员企业符合信息安全标准,又于2017年联合欧洲网络交换协会(ENX)推出新的可信信息安全评估交换机制TISAX(“TrustedInformation Security Assessment Exchange”),此机制能减少不同汽车制造商的频繁审核,推动企业之间的相互认可,交换和信任,目前已经逐渐扩展到所有的德国汽车行业,成为一种评价供应商信息安全能力的通用评估和交换机制。
TISAX代表可信信息安全评估交换,它被认为是汽车行业信息安全的锚。VDA和ENX协会定了一致的质量标准来提高信息安全性。TISAX规定了汽车整个供应链上的评估标准、评估方法和评估信息交换标准,适用于所有相关方。这是一个用于跨公司交换汽车行业信息安全测试结果而专门开发的在线平台。公司通过在平台上激活结果就可以通知其直接业务合作伙伴其信息安全符合TISAX。
公司参与TISAX会有哪些好处?
TISAX是全球汽车行业供应链认可的统一级别的信息安全认证。它以蕞佳的方式促进公司参与者之间相互认可,标准化的TISAX评估可避免没有必要的重复审核,并且它的认证每3年一次。公司通过网络参与TISAX可以节省时间和金钱,提高市场zhi名度,改善合同机会。公司员工的安全意识也会在这个过程中得到提高。TISAX有哪些评估等级?
ENX协会定义了评估的级别和范围,TISAX区分了三种不同的保护和评估级别,可以根据这些级别对公司进行审计。
级别一(正常):供应商只需填写ISA(信息安全评估)调查问卷并在TISAX平台上发布此自我评估。此级别不能取得TISAX认证标签。
级别二(高):对于更复杂的供应商,在自我评估后由经批准的审计服务提供商进行随机合理性检查。(通常通过电话)
级别三(非常高):处理高度敏感外部数据的供应商由经批准的审计服务提供商根据他们的自我评估进行现场检查。(密集和全面的现场测试)TISAX认证费用是多少?
每家公司的成本因情况而异,固定成本包括审计服务提供商和执行审计的费用。TISAX标签是什么?
标签了测试结果,这个标签的有效期为三年,只有在ENX中获得批准的OEM可以查看。是否应该在没有客户的情况下争取TISAX认证?
原则上始终建议供应商通过TISAX认证。一方面OEM需要认证的材料,另一方面公司的内部组织也可以保持信息安全方面的先jin。哪些员工与TISAX评估有关?
所有的员工都必须包括在内。TISAX的审核联系人是谁?
TISAX审计的联系人是经ENX批准具有TISAX特殊认证和广泛行业知识的专ye审计服务提供商,以保证产品的水平和标准被广泛认可,如TVSD。公司可以在平台上查看获得认可的测试服务提供商和正在获得认可的测试服务提供商。参与TISAX程序的步骤有哪些?
第一步:在TISAX平台上根据审计的范围和级别进行注册。
第二步:选择审计服务提供商。
第三步:提交自我评估的文件并通过审计服务提供商的检查。
第四步:与其他供应商或制造商交换测试结果。TISAX认证需要多长时间?
TISAX评估流程必须在蕞初的自我评估后的九个月内完成,在测试过程中如发现偏差和弱点公司必须在这9个月期间纠正。如果满足所有的要求,公司将获得TISAX认证,有效期为三年,不进行年度监督审核。TISAX的审计对象和成熟度评分是怎样的?
TISAX审计的内容除了通用的信息安全外,还可能包括原型保护,第三方连接和数据保护三个模块。审计结论将按照成熟度级别来表示,每一项的成熟度得分范围在0–5之间,由审计方来评价。取得TISAX标签的前提是:需要达到规定的成熟度水平。
随着汽车行业发展变得越来越节能和数字化,移动互联网,自动驾驶领域及新能源汽车的公司及其相应的服务也成为了汽车供应链中必要的一部分,大型汽车制造商例如大众,戴姆勒,宝马都会要求其供应链企业和相关服务方必须获得TISAX资质才会与其建立业务联系,越来越多的高新初创企业和zhi名科技巨头已踏上了他们的TISAX之路。