標準簡介
TISAX(可信資訊安全評估交換)是由德國汽車工業協會(VDA)開發、由 ENX 協會管理的資訊安全評估標準。該標準基於 VDA 資訊安全評估(ISA)問卷,為汽車供應鏈中的資訊安全評估提供了標準化方法。
TISAX 使汽車製造商與供應商之間能夠相互認可安全評估結果,消除了高成本的重複稽核。目前已有超過 10,000 家公司在 ENX 入口網站註冊,TISAX 已成為歐洲汽車產業資訊安全的事實標準,並在全球範圍內被 OEM 及其供應鏈日益採用。
汽車產業專屬
專為汽車供應鏈打造,基於 VDA ISA(資訊安全評估)問卷,該問卷改編自 ISO 27001/27002,並納入汽車產業特有的要求。
互認機制
評估結果透過 ENX 入口網站共享,實現汽車 OEM 與供應商之間的互認——消除供應鏈中重複的稽核工作。
三級評估等級
第 1 級(自我評估)、第 2 級(針對高保護需求的遠端驗證)以及第 3 級(針對原型資料等極高保護需求的現場檢查)。
list_alt VDA ISA 評估模組
- 資訊安全——基於 ISO 27001/27002 控制措施
- 原型保護——原型的實體與組織性保護
- 資料保護——符合 GDPR 的個人資料處理要求
- 可用性——IT 與 OT 系統可用性要求(ISA 6.0 新增)
- 第三方連線安全
- 事件與危機管理
- 人力資源安全與意識
- 資產管理與分類
誰需要合規?
處理來自福斯、BMW、戴姆勒等 VDA 成員 OEM 機密資訊的汽車供應商、工程合作夥伴與服務提供者。參與大多數歐洲汽車供應鏈的必備條件。
關鍵要求
VDA ISA 自我評估
完成涵蓋所有適用模組的 VDA 資訊安全評估問卷。針對每項控制目標評估成熟度等級(0-5 級)並識別差距。
評估機構稽核
委託 ENX 認可的稽核機構依所需級別開展評估。第 3 級評估須進行全面的現場檢查和面對面訪談。
原型保護
如處理原型部件、車輛或設計資料,須實施特定的實體安全措施,包括限制區域、訪客管控、禁止拍攝以及物流安全等。
標籤維護
TISAX 標籤有效期為三年。組織必須在到期前接受重新評估,以維持其標籤及供應鏈參與資格。
實施路線圖
准备範圍、標籤和評估等級
在 ENX 入口網站註冊,定義地點和評估範圍,識別客戶要求的 TISAX 標籤,并确定是否需要二級或三級評估。確認是否適用原型保護、資料保護或可用性模組。
按 VDA ISA 做差距分析
完成 VDA ISA 自評,評估適用控制成熟度,并識別資訊安全、供應商管理、HR 安全、實體安全、原型保護、資料保護和可用性方面的差距。
實施控制和稽核證據
整改差距,收集證據,更新政策,培训負責人,限制原型區域,并驗證供應商和第三方控制。聘请 ENX 認可稽核机构,并让受訪人員为正式評估做准备。
稽核、共享標籤并維護成熟度
完成評估,整改發現項,取得 TISAX 標籤,并通过 ENX 入口網站与客戶共享結果。維護控制,并在三年標籤有效期结束前規劃重新評估。
合規檢查清單
checklist 範圍与評估设置
checklist VDA ISA 控制
checklist 評估与標籤維護
TISAX 与 ISO 27001、SOC 2 对比
TISAX 针对汽車供應鏈信任和結果交換進行了优化。
| 方面 | TISAX | ISO 27001 | SOC 2 |
|---|---|---|---|
| 主要受众 | 汽車 OEM 和供應商 | 寻求 ISMS 認證的全球組織 | 服務組織客戶 |
| 基础 | 基于 ISO 27001/27002 并加入汽車要求的 VDA ISA | ISO 管理體系要求 | AICPA 信任服務准则 |
| 輸出 | 通过 ENX 共享的 TISAX 標籤 | 認可证书 | 獨立鉴证報告 |
| 特別關注 | 原型、機密資訊、供應商交換和汽車資料 | 基于風險的資訊安全 | 与服務承诺相關的控制 |
常見誤區
TISAX 只是改名的 ISO 27001。
TISAX 使用汽車產業特定的 VDA ISA 要求、標籤共享和評估等級,与 ISO 27001 認證不同。
只有工廠需要 TISAX。
工程、軟體、物流、IT、行銷和服務商只要處理汽車機密資訊,也可能需要 TISAX。
標籤核發后就不需要維護。
控制必须持續維護,標籤到期或範圍重大变化前需要重新評估。
處罰與執行
無直接法律處罰——TISAX 屬於產業驅動的要求。然而,未能取得或維持有效的 TISAX 標籤,實質上將使供應商失去與歐洲主要汽車 OEM 合作的資格,導致業務關係和合約的喪失。
常見問題解答
TISAX 是什么?
expand_more
TISAX 是汽車產業的可信資訊安全評估交換機制,由 ENX 營運,基于 VDA 資訊安全評估,使参与客戶和供應商之间可以認可并共享評估結果。
谁需要 TISAX?
expand_more
汽車供應商、工程公司、原型處理方、IT 提供者、物流夥伴和其他服務商,在 OEM 或一级供應商要求后,可能需要 TISAX 才能接收機密資訊或取得業務。
TISAX 標籤是什么?
expand_more
標籤代表參與方可在 ENX 入口網站共享的保護目标和評估結果,例如資訊安全目标,以及適用时的原型保護或資料保護等附加目标。
TISAX 与 ISO 27001 有何不同?
expand_more
TISAX 借鑑 ISO 27001/27002 理念,但使用汽車產業特定的 VDA ISA 問卷、標籤交換模型,以及原型、資料保護和汽車供應鏈協作要求。
TISAX 標籤有效期多久?
expand_more
TISAX 標籤通常有效三年。組織应在到期前提前規劃重新評估,因为標籤失效可能影響客戶资格。
三級評估是什么?
expand_more
三級評估是最嚴格的評估,通常包括現場檢查和訪談。它常用于非常高保護需求,例如敏感原型或高度機密客戶資訊。
評估結果可以複用吗?
expand_more
可以。TISAX 的目的就是受控交換和互认評估結果。參與方可在 ENX 入口網站選擇哪些客戶能够檢視結果。
如果发现问题会怎样?
expand_more
發現項必须通过矯正措施整改。根據严重程度,稽核机构可能要求後續證據或重新評估后才核發或维持標籤。