01.TISAX起源

TISAX（德國汽車行業(yè)通用信息安全評估）最早起源于德國汽車OEMs對其供應商的信息安全內(nèi)部審計，目的是評估整個汽車供應鏈所達到的信息安全水平。目前已通過VDA（德國汽車工業(yè)協(xié)會，評估標準制定者）和ENX（TISAX注冊和標簽共享平臺）逐漸擴展到所有的德國汽車行業(yè)，成為一種評價供應商信息安全能力的通用評估和交換機制。TISAX和相應的信息安全評估機制在2017年開始成為強制性要求，全球所有供應商（包括零部件廠商、服務(wù)提供商等）均應實施和維持其信息安全管理體系（ISMS），并通過與之相應級別的TISAX審計，作為與OEMs簽約和德系汽車行業(yè)的市場準入條件。

       國際社會對信息安全越來越重視，其中汽車行業(yè)因其自身影響力本身就擁有極其復雜的上下游供應鏈，隨著車輛網(wǎng)聯(lián)化發(fā)展，跨界入局者也與日俱增，其中任何一家企業(yè)發(fā)生信息安全問題都可能會對整個供應鏈造成巨大影響，帶來安全隱患。在此背景下，TISAX（可信信息安全評估交換）應運而生，它是由德國汽車工業(yè)協(xié)會（VDA）與ENX協(xié)會聯(lián)合推出的可靠交換機制，旨在幫助主機廠確保其供應鏈的信息安全，在汽車行業(yè)具有標桿地位。汽車行業(yè)的很多供應商和服務(wù)提供商都會處理來自客戶的高度敏感信息。為此，客戶經(jīng)常要求他們提供符合嚴格信息安全要求的證明。

02.TISAX審核內(nèi)容

      1、信息安全制度與組織：內(nèi)容涉及信息安全策略的創(chuàng)建、發(fā)布或分發(fā)及定期審查，資產(chǎn)管理，信息安全風險管理。

      2、人力資源安全：內(nèi)容涉及內(nèi)外部員工遵循信息安全規(guī)定的程度，內(nèi)外部員工遵守信息安全策略的程度。

      3、物理環(huán)境安全：內(nèi)容涉及對敏感信息處理設(shè)施的安全區(qū)域的定義、保護和監(jiān)測，對自然災害、故意襲擊或事故產(chǎn)生影響的應對，信息安全要求和危機事件下的ISMS的連續(xù)性的界定、實施、核實和評估。

      4、訪問控制：內(nèi)容涉及訪問IT系統(tǒng)政策和程序的適用性，特權(quán)用戶和技術(shù)賬戶的分配和使用的監(jiān)督審查，用戶遵守創(chuàng)建和處理機密信息約束性政策的情況，授權(quán)人員的信息和應用程序的獲取，與其他組織共享的環(huán)境中的數(shù)據(jù)分離。

      5、信息安全與網(wǎng)絡(luò)安全：內(nèi)容涉及密碼學，操作安全，系統(tǒng)采購、需求管理和開發(fā)。

      6、供應商關(guān)系：內(nèi)容涉及供應商獲得公司信息資產(chǎn)時的風險控制，供應商服務(wù)的定期檢測、審查和審計。

      7、合規(guī)：內(nèi)容涉及相關(guān)法律（特定國家）法規(guī)和合同要求的符合情況，個人身份信息的保護，獨立第三方定期或發(fā)生重大變化時對ISMS的審核。

      8、樣件保護：除物理及環(huán)境要求、組織架構(gòu)要求外，內(nèi)容還涉及整車及零配件處理（車輛或部件在運輸過程中根據(jù)客戶要求的保護情況，停放/存放需要保護車輛或部件的實施情況），測試車要求（預先定義的偽裝法規(guī)的實施情況，測試場地的保護措施，公開批準試駕的保護措施），活動拍攝及拍照要求（涉及車輛、部件或配件的演示和活動的安全要求，涉及車輛、部件或配件的膠片和照片拍攝的保護措施）。

      9、數(shù)據(jù)保護：內(nèi)容涉及數(shù)據(jù)保護的實施程度，個人身份數(shù)據(jù)處理的合法性保障措施，內(nèi)部或工作流程在數(shù)據(jù)保護法規(guī)下進行，有關(guān)處理流程在何種程度上記錄了其可受理性。

03.TISAX認證流程

     1、定義：OEM確定評估級別，例如原型保護、數(shù)據(jù)保護等； 

     2、注冊：申請企業(yè)需要在ENX網(wǎng)站進行注冊，并獲得注冊號； 

     3、初步評估：第三方審核機構(gòu)審查文件，然后進行2級遠程評估或者3級現(xiàn)場評估； 

     4、闡述結(jié)果：編制報告并向認證組織闡述評估結(jié)果；

     5、整改研究結(jié)果：認證組織根據(jù)評估結(jié)果制定改進方案，并在有效期內(nèi)提交整改結(jié)果；

     6、后續(xù)評估：在交換平臺上形成最終報告。

     審核完成后以電子標簽形式發(fā)放評估結(jié)果，電子標簽有效期3年。

04.TISAX評估等級

評估級別 1（AL 1）：

評估級別 3（AL 3）：
      為確認是否符合級別3，審計服務(wù)提供商會執(zhí)行評估級別 2 所要求的所有檢查，只不過，相關(guān)檢查的范圍會更廣，并且審計服務(wù)提供商將通過深入開展現(xiàn)場檢查以及面對面談話等形式，來全面核查您的自我評估結(jié)果。

      評估級別規(guī)定了我們的TISAX審計服務(wù)提供商所執(zhí)行的審核深度以及使用的審計方法。

05.獲得TISAX認證的價值 

      ?行業(yè)內(nèi)的相互認可：所有VDA成員和OEM都需要獲得TISAX認證，以證明其能夠滿足外部需求方的直接要求，TISAX認證為汽車行業(yè)內(nèi)的信息安全評估提供了統(tǒng)一且有約束力的標準，評估結(jié)果得到其他TISAX參與者的共同認可，從而實現(xiàn)行業(yè)企業(yè)之間的安全互信；

      ?避免多次檢查降低管理成本：TISAX認證基于統(tǒng)一的VDA-ISA安全評估目錄和標準，獲得TISAX標簽后，通常每三年只需要進行一次TISAX評估；

      ?提升安全意識：員工的行為對公司內(nèi)部安全有重大影響，通過TISAX能夠有效提高員工安全意識與能力。

06.哪些企業(yè)可以申請TISAX認證

      整個汽車供應鏈的組織均可申請TISAX認證。

      通過TISAX認證，將是未來進入德系主機廠，獲得數(shù)據(jù)交互權(quán)限的必經(jīng)之路。經(jīng)過這幾年的推廣實施，已有數(shù)千家企業(yè)獲得了TISAX標簽。

07.TISAX咨詢輔導哪里權(quán)威？

      TISAX輔導權(quán)威——標普企管

      標普企管的咨詢＆培訓講師團隊均具有大型跨國企業(yè)多年工作經(jīng)驗，以及數(shù)百家企業(yè)服務(wù)經(jīng)驗，能將客戶的需求轉(zhuǎn)變?yōu)榍袑嵖尚械慕鉀Q方案，并能將國際一流企業(yè)的最佳實踐傳遞給客戶?？筛鶕?jù)客戶的實際情況，指出企業(yè)的不足以及要解決的問題，以幫助企業(yè)持續(xù)改進。 

    ?快速優(yōu)質(zhì)的服務(wù)：為每位客戶配備專業(yè)的技術(shù)支持人員，以解決客戶提出的疑惑，并通過培訓確保服務(wù)標準的一致性。

     ?專注專業(yè)的團隊：我們堅信，專業(yè)的品牌源自客戶的信任。只有專注，才能更加專業(yè)。

     ?擁有豐富的TISAX實戰(zhàn)經(jīng)驗：我們有專職的TISAX咨詢老師、專業(yè)的TISAX客服團隊，并幫助多個大型企業(yè)通過TISAX認證審核。

      標普企管，是您最佳的合作伙伴！