400-677-1258
2022/08/29
2022年8月下旬,企航顧問啟動了上海鷹峰電子科技股份有限公司的TISAX AL3(信息安全+原型保護(hù))可信信息安全評估及交換機(jī)制咨詢項(xiàng)目。
TISAX相關(guān)專業(yè)知識請閱讀企航顧問原創(chuàng)推文:
1、企航顧問TISAX可信信息安全評估交換機(jī)制服務(wù)介紹
2、TISAX與ISO/IEC27001的比較研究
3、TISAX(可信信息安全評估及交換機(jī)制)合規(guī)體系建設(shè)方案
上海鷹峰電子科技股份有限公司成立于2003年9月,是一家集研發(fā)、制造、銷售、服務(wù)于一體的電力電子無源器件行業(yè)的高新技術(shù)企業(yè)。主要服務(wù)于西門子、ABB、施耐德、艾默生、日立、比亞迪等眾多知名品牌客戶。
信息安全對每個企業(yè)或組織來說都是需要的,所以信息安全管理具有普遍的適用性,不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。VDA(德國汽車工業(yè)聯(lián)合會)于2017年聯(lián)合ENX(歐洲汽車工業(yè)通信網(wǎng)絡(luò)協(xié)會)推出針對汽車行業(yè)的“可信信息安全評估及交換 Trusted Information Security Assessment Exchange(TISAX?)”機(jī)制,該機(jī)制進(jìn)一步的推動企業(yè)在滿足不同相關(guān)方(主要是汽車整車制造商)的VDA-ISA(Information Security Assessment)信息安全評估,其評估結(jié)果能夠進(jìn)一步相互認(rèn)可、交換和信任,從而減少不同整車制造商的頻繁審核。
TISAX 審核內(nèi)容
信息安全策略和組織Information Security Policies and Organization
內(nèi)容涉及信息安全策略的創(chuàng)建、發(fā)布或分發(fā)及定期審查,資產(chǎn)管理,信息安全風(fēng)險(xiǎn)管理。
人力資源Human Resources
內(nèi)容涉及內(nèi)外部員工遵循信息安全規(guī)定的程度,內(nèi)外部員工遵守信息安全策略的程度。
物理安全和業(yè)務(wù)連續(xù)性Physical Security and Business Continuity
內(nèi)容涉及對敏感信息處理設(shè)施的安全區(qū)域的定義、保護(hù)和監(jiān)測,對自然災(zāi)害、故意襲擊或事故產(chǎn)生影響的應(yīng)對,信息安全要求和危機(jī)事件下的ISMS的連續(xù)性的界定、實(shí)施、核實(shí)和評估。
身份與訪問管理Identity and Access Management
內(nèi)容涉及訪問IT系統(tǒng)政策和程序的適用性,特權(quán)用戶和技術(shù)賬戶的分配和使用的監(jiān)督審查,用戶遵守創(chuàng)建和處理機(jī)密信息約束性政策的情況,授權(quán)人員的信息和應(yīng)用程序的獲取,與其他組織共享的環(huán)境中的數(shù)據(jù)分離。
IT安全/網(wǎng)絡(luò)安全IT Security / Cyber Security
內(nèi)容涉及密碼學(xué),操作安全,系統(tǒng)采購、需求管理和開發(fā)。
供方關(guān)系Supplier Relationships
內(nèi)容涉及供應(yīng)商獲得公司信息資產(chǎn)時的風(fēng)險(xiǎn)控制,供應(yīng)商服務(wù)的定期檢測、審查和評估。
合規(guī)Compliance
內(nèi)容涉及相關(guān)法律(特定國家)法規(guī)和合同要求的符合情況,個人身份信息的保護(hù),獨(dú)立第三方定期或發(fā)生重大變化時對ISMS的審核。
原型件保護(hù)Prototype Protetion
除物理及環(huán)境要求、組織架構(gòu)要求外,內(nèi)容還涉及整車及零配件處理(車輛或部件在運(yùn)輸過程中根據(jù)客戶要求的保護(hù)情況,停放/存放需要保護(hù)車輛或部件的實(shí)施情況),測試車要求(預(yù)先定義的偽裝法規(guī)的實(shí)施情況,測試場地的保護(hù)措施,公開批準(zhǔn)試駕的保護(hù)措施),活動拍攝及拍照要求(涉及車輛、部件或配件的演示和活動的安全要求,涉及車輛、部件或配件的膠片和照片拍攝的保護(hù)措施)。
數(shù)據(jù)保護(hù)Data Protection
內(nèi)容涉及數(shù)據(jù)保護(hù)的實(shí)施程度,個人身份數(shù)據(jù)處理的合法性保障措施,內(nèi)部或工作流程在數(shù)據(jù)保護(hù)法規(guī)下進(jìn)行,有關(guān)處理流程在何種程度上記錄了其可受理性。
TISAX標(biāo)簽
根據(jù)VDA要求,企業(yè)首先需要和主機(jī)廠確定TISAX的評估范圍Assessment Scopes、評估目標(biāo)Assessment Objective和評估級別Assessment Level,并在ENX(第三方平臺)上完成上述信息的注冊,然后選擇具備TISAX評估資質(zhì)的評估機(jī)構(gòu)開展信息安全評估,并最終出具TISAX評估評估報(bào)告,報(bào)告經(jīng)評估機(jī)構(gòu)和企業(yè)雙方簽字后,獲取TISAX標(biāo)簽(TISAX Label),作為供應(yīng)商和主機(jī)廠申請采購訂單、項(xiàng)目合作、系統(tǒng)開賬號、供應(yīng)商資格延續(xù)的必要條件。
很多國內(nèi)企業(yè)在這方面受傳統(tǒng)體系認(rèn)證的影響,覺得TISAX也是必須先做咨詢后拿證書,這是一個很大的誤區(qū),TISAX就是德國汽車行業(yè)委托第三方評估機(jī)構(gòu)開展的一項(xiàng)信息安全評估,最終得到的是一份評估報(bào)告(三年有效),并不存在所謂的證書,TISAX Label是一個在 ENX 第三方平臺上可供行業(yè)內(nèi)共享的評估記錄,這點(diǎn)類似國內(nèi)基于《網(wǎng)絡(luò)安全法》開展的網(wǎng)絡(luò)安全等級保護(hù)測評,測評機(jī)構(gòu)出具的是一份測評報(bào)告,TISAX評估機(jī)構(gòu)出具的也是一份評估報(bào)告,而TISAX Label類似公安部門發(fā)的備案證明。
目前現(xiàn)行TISAX一共定義了8個標(biāo)簽。企業(yè)通過申請,通過幾個,就將獲得幾個標(biāo)簽。目前標(biāo)簽包括:
2個信息安全標(biāo)簽(INFO HIGH,INFO VERY HIGH);
2個數(shù)據(jù)保護(hù)標(biāo)簽(DATA,SPECIAL DATA);
4個原型保護(hù)標(biāo)簽(PROTO PARTS,PROTO VEHICLES,TEST VEHICLES,EVENTS SHOOTINGS)。
TISAX 評估方式
TISAX評估結(jié)論將嚴(yán)格按照VDA-ISA成熟度級別的方法,采用成熟度得分來表示。每一個控制項(xiàng)的成熟度得分范圍在0-5之間(可以包括不適用項(xiàng)),由評估機(jī)構(gòu)來評價(jià)。
1、不完整的成熟度為0:沒有過程,或者過程不起作用、不適合實(shí)現(xiàn)目標(biāo);
2、起一定作用的成熟度為1:遵循未記錄/未完整記錄過程,有指標(biāo)達(dá)成目標(biāo),并由證據(jù)證明預(yù)期的基本實(shí)踐已經(jīng)實(shí)施;
3、勉力應(yīng)付的成熟度為2:遵循實(shí)現(xiàn)目標(biāo)的過程,過程文件和過程實(shí)施證據(jù)可用。
過程實(shí)施控制:確定 目標(biāo)、計(jì)劃并監(jiān)控實(shí)施、適時調(diào)整、定義分配和實(shí)施職責(zé)和權(quán)限、確定分配使用資源、管理相關(guān)方接口及溝通到位。
工作成果管理:確定工藝要求、定義工作成果的文件和控制要求、對工作成果進(jìn)行識別和控制、根據(jù)計(jì)劃對工作成果進(jìn)行評審并適時調(diào)整。
4、已獲確認(rèn)的成熟度為3:遵循集成到整個系統(tǒng)中的標(biāo)準(zhǔn)流程。對其他過程的依賴被記錄下來,并創(chuàng)建合適的接口。有證據(jù)表明,這一過程在很長一段時間內(nèi)得到了持續(xù)和積極的使用。
過程定義:定義標(biāo)準(zhǔn)過程、確定順序和相互作用、能力和角色、基礎(chǔ)設(shè)施和環(huán)境、監(jiān)控有效性和適宜性。
過程部署:部署、分配角色職責(zé)權(quán)限、員工有經(jīng)驗(yàn)被培訓(xùn)、提供資源、維保、收集數(shù)據(jù)證明有效性和適宜性。
5、可預(yù)測的成熟度為4:同3級,另外流程可被測量和控制;
6、使優(yōu)化的成熟度為5:同4級,另外有專門的資源負(fù)責(zé)持續(xù)積極改進(jìn)。
在評分0-5分的基礎(chǔ)上,TISAX還使用了cut back機(jī)制,每個大控制點(diǎn)的目標(biāo)成熟度都是3分,為了確保低分項(xiàng)不會被高分項(xiàng)拉高最終評分,實(shí)際得分超過目標(biāo)成熟度的分?jǐn)?shù)均會被折算為目標(biāo)成熟度。具體操作如下圖所示,當(dāng)實(shí)際成熟度評分為4分或5分時,將調(diào)整為3分;實(shí)際成熟度評分為1-3分的將維持原分?jǐn)?shù)不變。
取得TISAX標(biāo)簽的前提是:需要達(dá)到規(guī)定的成熟度水平,并且沒有任何偏差項(xiàng)(被評估方必須基于發(fā)現(xiàn)和偏差進(jìn)行及時整改,并在規(guī)定時間內(nèi)由審計(jì)方進(jìn)行跟進(jìn)評估和確認(rèn))。
TISAX評估分為三個階段:初始評估,糾正措施計(jì)劃評估和后續(xù)評估。整個評估過程最長不能超過9個月。如果在此規(guī)定時間內(nèi),沒有完成評估流程,則必須重新申請?jiān)u估流程。
TISAX 流程三大步驟
Step1注冊:
TISAX有別于常見體系的地方之一,可以把TISAX看成個論壇、朋友圈,注冊過程需明確范圍、業(yè)務(wù)場景、評估級別(即E3)、信息安全管理現(xiàn)狀(如ISMS建設(shè)或認(rèn)證)等信息,注冊成功后可以與業(yè)務(wù)伙伴在網(wǎng)站上分享相關(guān)信息。
Step2 評估:
TISAX用Assessment這個詞,作用上與常見體系的Audit相差不大,有自評估、初始評估、后續(xù)評估的說法,自評估可視為內(nèi)審,初始評估、后續(xù)評估可視為外審,但TISAX中后續(xù)評估不是外審的二次審核,也不是必經(jīng)項(xiàng),組織可以在初始評估中完全符合,進(jìn)而一次性通過TISAX審核評估,獲取標(biāo)簽。
Step3交換:
是TISAX關(guān)鍵功能之一,TISAX中文可翻譯為可信信息安全交換,而最后的X來自Exchange,交換的是TISAX審核評估的結(jié)果。
關(guān)于企航顧問
企航顧問在汽車供應(yīng)鏈領(lǐng)域提供的服務(wù)有:
IATF16949、VDA6.1、VDA6.2、VDA6.4:汽車工業(yè)質(zhì)量管理體系咨詢和培訓(xùn)
TISAX:可信信息安全評估交流機(jī)制咨詢和培訓(xùn)
ASPICE:汽車軟件過程改進(jìn)及能力評定咨詢和培訓(xùn)
ISO26262:汽車功能安全咨詢和培訓(xùn)
ISO/SAE 21434:道路車輛 信息安全工程咨詢和培訓(xùn)
MMOG/LE:全球物料管理運(yùn)作指南/物流評估培訓(xùn)和輔導(dǎo)
BIQS、QSB+、Ford-Q1、Formel-Q:OEM汽車供應(yīng)鏈驗(yàn)廠輔導(dǎo)
CQI-x:熱處理、電鍍、涂裝、焊接、錫焊、模塑、鑄造、釬焊等特殊工藝過程控制與管理的培訓(xùn)和咨詢
APQP、FMEA、MSA、SPC、PPAP:汽車工業(yè)五大核心工具的培訓(xùn)和輔導(dǎo)
其它 ......
企航顧問在IATF16949項(xiàng)目上的優(yōu)勢:
4,000+ 汽車整車及零部件企業(yè)全程輔導(dǎo)獲得16949(ISO/TS or IATF)證書
4,500+ 汽車整車及零部件QS9000\VDA6.1&6.4\QSB\16949全程輔導(dǎo)
6,000+ 客戶包括眾多國際及國內(nèi)知名企業(yè)全過程咨詢經(jīng)驗(yàn)
10,000+ 培訓(xùn)企業(yè)客戶(內(nèi)訓(xùn)+公開課+游學(xué)+研修)
100,000+ 課時AIAG核心工具、VDA-x、CQI-x、BIQS、MMOG/LE、Q1及內(nèi)審員授課經(jīng)驗(yàn)
東風(fēng)汽車有限公司連續(xù)9年華東地區(qū)唯一指定咨詢合作伙伴
國家認(rèn)證認(rèn)可監(jiān)督管理委員會(CNCA)首批備案之16949、EMS、OHSMS顧問機(jī)構(gòu)
中國認(rèn)證認(rèn)可協(xié)會(CCAA)理事單位、上海市認(rèn)證協(xié)會(SCA)理事單位
全國六西格瑪推行工作委員會(CCPSS)委員單位
