TISAX认证是汽车行业用来评估和认证信息安全风险控制能力的标准之一,旨在提高汽车行业的网络安全水平。本期,BSI审核专家胡子春先生将带来“TISAX评估常见问题十问十答”,进行多维度全面解答。
Q1
什么是 TISAX?
2017年底,VDA(德国汽车工业协会)与ENX联合为VDA-ISA推出了通用的企业信息安全的评估和交换机制-TISAX(Trusted Information Security AssessmentExchange),其评估结果能够促进汽车行业企业的信息安全信任度得到提升,实现汽车行业信息安全评估结果的相互认可,从而减少不同整车制造商的频繁信息安全审核。审核结果放在的授权平台上以供信息查询和交换。
Q2
哪些企业需要做 TISAX?
汽车供应链零部件制造商、汽车应用产品厂商及汽车供应链服务商,自动驾驶技术提供者、自动驾驶数据服务提供者、地图服务提供商等。
从零部件供应商、物流商、车联网运营服务商,到云厂商、高精地图厂商,甚至是保险公司等,不断涌入的跨界者和供应链复杂化等发展趋势,都推动着TISAX的评估。
Q3
为何选择 TISAX?市场认可度怎么样?
德系主机厂和越来越多的一级供应商已经将TISAX作为其供应商必须通过的资格要求。越来越多其车企如日系、美系车企也在逐步跟进。如果通评估,供应商将损失千万级别订单,严重可能造成企业生存危机。
如德国主机厂大众、奥迪、保时捷总公司都在强制要求其配件供应商获得TISAX标签,以便于相互之间进行可信的信息数据交换。其它德国车企如奔驰、宝马及一级供应链(如大陆、采埃孚ZF)也在跟进要求供应商通过TISAX评估。
越来越多其车企如日系、美系车企也在逐步跟进。如果通评估,供应商将损失千万级别订单,严重可能造成企业生存危机。
Q4
TISAX与ISO/IEC 27001有什么关系?
TISAX评估使用VDA ISA评估目录,其中引用了ISO/IEC 27001:2022标准附录A中的信息安全控制。VDAISA目录包括ISO/IEC 27001:2022的控制点,以及附加的特定要求,分为三个领域:信息安全评估、原型保护、数据保护(参照GDPR第28条)。
基于 ISO/IEC27001 附录A | 46 项控制 |
数据保护 | 12 项控制 |
Q5
我们是一家制造性企业,目前公司有部分汽车产品订单,想提升公司的信息安全水平,该选择导入ISO/IEC27001信息安全管理体系还是 TISAX评估?
导入这两个标准均可以帮助组织提升信息安全管理绩效到达一个新的水平。TISAX主要是面向汽车供应链信息安全评估和交换机制,而ISO/IEC 27001 更具有普适性,通过 ISO/IEC 27001认证也能为导入TISAX 评估打下基础。
从评估范围来看,ISO/IEC27001认证范围可以包括整个组织,特定部门或职能部门,或跨组织组的一个或多个职能部门;而TISAX评估范围包括组织所定义的地点的所有过程和涉及的资源。
ISO/IEC27001要求每年进行年度审核和3年进行换证审核;TISAX评估结果是颁发“TISAX标签”不颁发证书,3年有效期,没有年度评估。
Q6
在选择TISAX评估对象时,是否需要纳入原型保护模块和数据保护模块?TISAX评估有AL2和AL3级,我们该如何选择?
建议在选择评估对象和评估等级时询问客户的需求。如果客户没有确定的评估要求,可从组织自身的产品和服务进行判断,如:针对制造、储存或使用客户提供的车辆、组件或零件的企业;利用客户提供的车辆进行测试和试驾的企业;利用客户提供的车辆、部件或零件进行展示或开展活动(例如市场调查、营销活动),以及进行录制和拍摄的企业。如果您所在的企业涉及到上述活动,则需要选择增加原型保护模块。
从审核方式来看,AL2主要是基于客户的自评估进行合理性检查,通过远程的评估方式进行;而AL3则是基于证据进行全面稽查并拜访组织现场进行评估。如果客户没有明确要求,建议选择AL3级别。如果 TISAX 评估对象选择了原型保护,那么必须全部选择 AL3 级评估。
评估级别和评估方法
评估级别AL1 | 评估级别AL2 | ||
自我评估 | 是 | 是 | 是 |
否 | 合理性检查 | ||
谈话 | 否 | 通过网络会议 | 面对面、现场 |
否 | 根据被审核方的要求 |
Q7
我们已经通过了ISO/IEC 27001 认证,想要导入TISAX并通过评估,难度有多大?
VDA ISA评估目录,其中引用了ISO/IEC 27001:2022标准附录A中的信息安全控制措施,有对应的映射关系。VDAISA评估目录在此基础上扩充了汽车供应链相关的信息安全要求。已经导入并通过ISO/IEC 27001认证,那么导入TISAX并通过评估的的难度就大大降低了。
Q8
获取TISAX标签的全流程是什么?
有哪些关键节点?
第一步:组织需要在ENX官网注册并获得参与者ID、评估范围 ID、评估对象、评估等级、Location ID等信息,并获得《TISAX Scope Excerpt》;第二步:从 ENX 官网下载Zui新的VDA ISA 评估检查表进行自评,自评估结果不满足要求时需进行整改直至成熟度达到 3 分;第三步,评估过程中选择认证机构(如BSI)签订合同,协调初步的评估时间节点;第四步,认证机构派出审核组启动Kick off,TISAX 初次评估活动正式启动;第五步,审核组进行自评估评审/文审、二阶段评审(AL2远程,AL3 现场),审核组出具初始评估报告;第六步,如果初审评估未有不符合项提出,则可直接获得正式TISAX 标签;如果初审评估有轻微不符合项提出, 则组织可以获得TISAX临时标签,组织需制定纠正措施计划,并在有效期限内对发现的问题进行纠正,用时Zui长不超过9个月。,审核组对不符合项进行关闭验证并准备后续审核报告。如果所有不符合项已验证关闭,则可以获得TISAX标签。Zui后,获得TISAX 标签后可以在ENX官网查询,并向相关方交换 TISAX 标签及评估结果。
Q9
基于上述获取 TISAX标签的流程活动,组织可能需要哪些财务成本投入?
每个组织的基本情况包括组织的信息安全管理水平有差异,总体财务投入也会有差异。但导入 TISAX并通过评估可能需要以下方面的投入:1)在 ENX官网注册的费用,随着待评估地点数的增加费用随之进行增加;2)若组织需要时,TISAX导入培训费用;3)为了满足 VDA ISA评估表中的检查要求额外的安全投入费用;4)第三方评估机构的评估费用。
Q10
组织已经通过TISAX 现场评估,如何查看 TISAX 标签的进展情况?
可以联系认证机构了解情况。组织也可以自行登陆 ENX 网站查看 TISAX 评估及标签的进展。方法如下:
登录 ENX 门户;
前往主导航栏,选择 “MY TISAX”;
从下拉菜单中选择“SCOPES AND ASSESSMENTS”;
找到已评估范围所在的那一行;
确定评估范围状态为“Active”(“Scope Status”)。此时表明您已经完成 TISAX评估过程并获得了 TISAX标签,组织下一步可以公开和共享评估结果给到相关方了。
