根据 "VDA信息安全评估"(VDA ISA)的要求,您是否必须提供信息安全的证明?我们的标准专家André Saeckel对有关TISAX®-- 汽车行业的联合测试和交换程序的重要问题进行了解答。受此影响的公司范围比最初设想的要大。除了典型的一级供应商,TISAX®认证也越来越多地被要求来自其他子级别的供应商,以及数据处理或广告等领域的服务提供商,即来自最广泛意义上的汽车行业的合作伙伴公司。

Loading...

TISAX®代表什么?

TISAX® - Trusted Information Security Assessment eXchange

TISAX®是汽车行业的一个共同评估和交流程序。它基于VDA "信息安全 "工作组开发的信息安全问卷(ISA--信息安全评估),该问卷首先被德国汽车工业协会(VDA)的成员公司用于对其公司处理敏感信息的供应商和服务提供商进行审核。VDA ISA调查问卷的5.0版本已于2020年7月开始使用。自2020年10月1日起,该版本对所有新的TISAX®-评估。

此外,TISAX®是基于国际公认的信息安全标准的基本要求。ISO 27001。它适用于所有行业,并定义了确保公司内部信息安全的要求、规则和方法。在其要求中,该标准超越了对IT技术系统的保护,包括了所有值得保护的企业资产,例如:场所、安全控制和档案。换句话说。ISO 27001确保了对一个组织有价值的所有信息的保护。

TISAX®的好处是什么?

  • TISAX® 在汽车行业创造了一个统一的信息安全水平
  • 评估结果在所有TISAX® 参与者的公司得到认可,使人们对受审核的公司更有信心
  • 通过TISAX® 网络的相互认可,避免不必要的重复和多次审核
  • TISAX®认证的评估只需每三年进行一次,从而节省了时间和金钱。

谁来监督TISAX®

TISAX® ENX协会的注册商标,总部设在法兰克福和巴黎。作为一个中立机构,它被委托负责TISAX®的实施。ENX是由欧洲汽车制造商、供应商和包括VDA在内的四个国家汽车协会组成的协会,于2000年成立ENX。ENX协会对实施的质量进行监督,并按照严格的程序对评估服务供应商进行批准。DQS被ENX列为 认可的审核服务供应商,可以在全球范围内进行评估。我们的专家随时可以回答您的问题。

为了实现参与者对评估的相互认可,ENX与所有被批准的审核服务供应商以及TISAX® 网络的参与者签订了相应的合同。通过标准化和质量监控,ENX实现了所有参与者对评估结果的共同认可。避免了不必要的重复和多重评估。

关于TISAX®的问题和解答。什么是评估等级?

TISAX®根据所需的保护,区分了三个评估级别(保护要求):正常(1级)、高(2级)和非常高(3级)。审核方法和审核力度取决于此。

1级:没有合理性检查的自我评估,通常只用于内部目的。这些评估结果只有有限的意义,不用于TISAX®

2级:由审计服务提供商(如DQS)对您的自我评估进行可信度检查。这些信息安全审计通常以电话会议的形式进行,而不是以现场审计的形式进行--除非其中一个原型保护审计目标适用或您明确要求这样做。

3级: 由审计服务提供商通过深入、全面的现场审计对您的自我评估进行可信度检查。

TISAX®的引入对非制造企业来说也是必须的吗?

这个问题的答案取决于您企业的背景。您是否需要实施TISAX®取决于您的OEM(原始设备制造商),或者他们是否要求您提供这个信息安全的证明。除非汽车制造商特别找你,或者你看到T&C中的变化,否则建议等待和观察。过去,在必要时,车厂会与公司联系,提出进一步合作的要求。然而,当然要靠你主动向你在汽车行业的合作伙伴询问。

即使没有客户要求,争取获得TISAX®认证是否有意义?

如今,对信息安全问题采取积极主动的态度通常是非常有意义的,而且不仅仅是对汽车行业的供应商。如果您的原始设备制造商(尚未)规定您应获得哪种TISAX®标签,那么证明3级(评估级别3:非常高的信息安全)是一个好主意。这样一来,您就为所有未来的要求做好了准备,而不必重复工作。另外,全球公认的ISO/IEC 27001标准提供了一个良好的、跨行业的信息安全介绍。

ISO 27001 - 信息安全管理体系

符合ISO标准的整体管理体系 ★有效实施风险管理过程 ★持续改进安全水平

TISAX®的内容是否与ISO 27001相类似?

TISAX®评估目录源自国际标准ISO 27001,并借鉴了其中定义的 "控制"(措施)。它们描述了如何实施各自的要求(必须,应该),如何确保流程以及可以使用哪些工具。这两个标准之间的一个关键区别是,TISAX®要求达到一定的成熟度水平。

是否建议对TISAX®和ISO 27001进行联合审计?

合并审计是绝对可能的,DQS可以在任何时候进行。DQS的所有TISAX®审核员同时也是ISO 27001的授权审核员,这意味着可以同时进行两种信息安全的评估,而不需要额外的努力。

"TISAX®系统是第一个在VDA调查表和ISO 27001原则的坚实基础上,为确保整个汽车行业的信息安全水平提供了可能性"。

我必须在TISAX®之前获得ISO 27001认证吗?

这个问题的答案是:不。因为没有要求必须已经存在一个符合ISO 27001认证的信息安全管理系统。对于TISAX®评估,您只需要证明您是按照信息安全管理体系工作的,并且相应的流程和程序在公司中得到了稳定的实施。该评估由审核员进行,他还会使用文件来分配成熟度等级。

已经拥有ISO 27001认证的优势是什么?

如果您已经能够提供ISO 27001证书的证据,这当然是一个优势。因为对于TISAX®来说,您必须证明您已经实施了信息安全管理,而这两套规则的覆盖范围是相似的。

"汽车行业的数字化。汽车中的应用和数据数量正在爆炸性增长,随之而来的是信息安全方面的攻击面和破坏潜力也在增长。"

但请注意:TISAX®审计范围的定义可能与ISO 27001认证所要求的定义不同。其基本概念并不完全相同。对于大型组织,也可以考虑注册多个审计范围。

ISO 9001的 "流程定义 "是否与TISAX®类似?

这个问题的答案是 "是"。原则上,相应的规则集中流程的定义和结构总是相同的。TISAX®的评估目录也非常明确地规定了哪些控制必须确定KPI,哪些不可以。KPI的建立有实例支持,以确保汽车行业的信息安全。因此,看一下VDA ISA的调查问卷有助于初步了解情况。

在实施TISAX®的过程中,是否建议设立IT安全官员?

并不强制要求负责引进TISAX® 的人来自IT部门。但是,由于涉及到IT支持的流程,一些IT知识肯定是有利的。

我如何定义TISAX® 的评估范围?

ENX提供了一个标准范围,被90%的TISAX® 参与者所采用。默认范围是预先定义的,不能更改。如果您在准备评估的过程中发现标准范围不合适,您可以在某些情况下调整您的考试范围。在个别情况下,OEM可能需要扩大范围。但是,这些特殊情况很少,各OEM会与你详细讨论。通常情况下,标准范围是足够的。它是TISAX®评估的基础,并被所有参与者所接受。

一个评估范围是否足以满足所有站点?

一个包括所有站点的单一范围有其优点,但也有其缺点。

优点

  • 只有一个检查结果,一个检查报告,一个失效日期
  • 降低成本,因为中央流程、程序和资源只需要评估一次

缺点

  • 审核结果只有在所有站点都被评估后才能得到
  • 审核结果取决于所有站点是否通过审核,也就是说,如果只有一个站点没有通过审核,你将不会得到一个积极的审核结果。

评估范围是否可以被隔离,比如说隔离到 "安全关键员工"?

ENX对TISAX® 这一问题的回答是毫不含糊的。所有接触到汽车行业敏感信息的员工都必须被纳入评估范围。例如,这也可以是从事客户施工计划的机器操作员。你的公司必须为自己定义哪些员工参与了与信息安全有关的过程。

在ENX,必须先提交TISAX®审核的申请,然后才能选择审核供应商,这是真的吗?

是的,这是正确的。在您在线注册www.enx.com/tisax/ ,并由ENX批准评估范围后,您会收到一份所有被批准的评估服务供应商的名单。但是,您也可以提前在ENX查看该名单。DQS被列为ENX的服务提供商,可以在世界各地进行评估。有关汽车行业信息安全的问题和答案,请不要犹豫,联系我们的专家。

如果成熟度太低,调查是否有意义?

如果你在自我评估中确定你的公司在信息安全方面还有待提高,那么评估请求暂时就没有意义了。建议你首先弥补已确定的差距,然后再考虑审计。

个人评估需要多长时间?

关于个别评估的持续时间,其答案取决于贵公司的规模和审核地点所涉及的旅行。对于一个普通的公司规模,2-3天的现场评估过程就足够了。

一个公司需要多长时间才能被认为获得认证?

整个TISAX®审核过程最多需要九个月的时间。它从最初的审核开始,到最后的跟踪审核结束。如果评估过程不能在规定期限内完成,您将不会收到TISAX®标签。

baretton-gerber-1-dqs
Loading...

TISAX®评估

我们也很乐意在个人会议上回答您的问题。

无义务且免费。

如果贵公司符合所有标准或只显示出轻微的不符合项,评估报告将提交给ENX。一旦报告被接受,您将收到您的(临时)TISAX®标签。如果存在必须首先纠正的重大不符合项,则标签的有效期为不符合项被认为已被纠正的那一天。

关于TISAX®的问题和解答。什么是TISAX®标签?

标签是评估过程的结果,概括了您的结果。它们之间是有层次联系的。也就是说,如果您收到某个标签,您会自动收到它下面的 "标签"。这些标签只能在ENX门户网站上查看。它们的有效期通常为三年。

什么是主要和次要的不符合项?

主要不符合项是指不符合项使人对你的信息安全管理系统的整体有效性产生怀疑,或导致重大的信息安全风险。例如,如果需要双因素识别,但尚未实施,就属于这种情况。

例如,如果不符合项既没有质疑你的信息安全管理系统的整体有效性,也没有对汽车行业的信息安全构成重大风险,则存在轻微不符合项。例如,孤立的或零星的错误和实施缺陷。

我是否还需要提交个别措施的有效性证据?

答案是 "是的"。在你创建了你的措施目录并实施了这些措施之后,它们的有效性将得到验证。出于这个原因,认证程序还规定了九个月的时间。

如何才能 "提前 "确定雇员的数量?

具体说来。如果在与我们的客户签订合同后才可能雇用更多的员工,我怎样才能提前确定员工的确切人数?

TISAX® 的员工分类范围明显大于国际标准ISO 27001的范围。TISAX®对员工人数的分类,例如,0-50人,51-150人,等等。因此,如果您知道大约会有多少名新员工被雇用,您就可以把自己放在一个合适的范围内。

为了符合TISAX®的要求,应该有多少份文件?

在这里不可能做一个笼统的说明。这总是取决于你公司的规模和活动。理论上,只要你有一个清晰的概述,你可以在一份文件中涵盖所有内容。然而,最好是创建几个涵盖相关主题的文件。

TISAX®会取代VDA原型保护吗?

由于TISAX®包括一个单独的原型保护模块,其中对各个标准的阐述比以前要详细得多,因此可以认为从长远来看,TISAX®将取代以前的汽车行业信息安全的规则集。然而,目前,VDA原型保护的2018年3.0版仍然有效。

关于TISAX®的问题和答案 - DQS能为我做什么?

DQS被ENX列为认可的审核服务供应商,可以在全球范围内进行评估。我们所有的TISAX®审核员同时也是国际标准ISO 27001的认可审核员,这意味着DQS可以同时对这两个标准进行评估,而且不需要额外的努力。我们的专家将很乐意回答您关于汽车行业信息安全的问题。我们期待着与您交流。

您有任何问题吗?

请联系我们!

没有义务,免费。

专业知识和信任

我们的技术文章完全由我们的内部标准专家和长期审核员撰写。如果您对内容或我们的作者有任何疑问,请随时联系我们。

作者
André 塞克尔

在DQS担任信息安全管理的产品经理。作为信息安全和IT安全目录(关键基础设施)领域的标准专家,André Säckel负责以下标准和行业特定标准等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽车行业的信息安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作组的成员,作为德国标准化研究所DIN的国家代表。

Loading...