1、汽车行业TISAX体系认证
为保护汽车行业数据交互的安全,德国汽车工业协会 (VDA) 多年前就基于ISO27000系列标准建立了VDA-ISA(Information Security Assessment)信息安全评估标准。VDA于2017年联合ENX推出新的”可信信息安全评估交换“Trusted Information Security Assessment Exchange (TISAX) ”机制,此机制可以实现汽车行业信息安全评估的相互认可,并提供通用的评估和交换机制。
自TISAX评估推出以来,很多小伙伴都收到德系主机厂落实TISAX的要求。可以说,通过TISAX认证,将是未来进入德系主机厂,获得数据交互权限的必经之路。
经过3年的推广实施,已有数千家企业获得了TISAX标签。通过收集各家机构在评估过程中对于标准内容的反馈,为了推动TISAX标准更好的适用于全球汽车产业链,VDA于2020年7月正式推出了VDA-ISA 5.0.1版本(之前的最新版本为4-1-1版),并更新了对应的TISAX 用户手册V 2.2版本。
小伙伴们注意啦!!!自2020年10月1日起,认证机构已接受最新版VDA-ISA 5.0.4审核申请。
老版的VDA-ISA 4.1.1版本,仍将适用至2021年3月31日。
2021年3月31日起,认证机构证书开始按最新版VDA-ISA 5.0.1开始审核。审核完成后以电子标签形式发放评估结果,电子标签有效期3年。
国际社会对信息安全越来越重视,其中汽车行业因其自身影响力本身就拥有极其复杂的上下游供应链,随着车辆网联化发展,跨界入局者也与日俱增,其中任何一家企业发生信息安全问题都可能会对整个供应链造成巨大影响,带来安全隐患。
在此背景下,TISAX(可信信息安全评估交换)应运而生,它是由德国汽车工业协会(VDA)与ENX协会联合推出的可靠交换机制,旨在帮助主机厂确保其供应链的信息安全,在汽车行业具有标杆地位。
TISAX改版要点抢先看
2020年7月,ENX对TISAX的要求进行了重要改版,TISAX手册从2.1版本升级到2.2版本,VDA-ISA评估标准从4.1.1版本升级到5.0版本,其中评估标准的章节、要求和检查项等都发生了重大变化。
VDA ISA 5.0改版要点包括:
新版只保留了must和should项,取消了may的项目,评估要求更清晰且严格新版自评表结构更简洁,内容更清晰准确,填写难度加大原型保护的编号从25修改为8,评分体系更直观数据保护24不变,修改了部分审核内容,如数据识别、合同事项等第三方连接的要求点融入了ISMS部分,增加了IS模块的通过难度增加了远程办公,员工资质等特定的控制要求。
以上更新都体现了TISAX新版的难点,这无疑对企业通过TISAX认证提出了更多新的挑战,建议有TISAX认证需求或即将续证的客户,积极关注并早做准备。
常见Q&A
2、哪些企业需要进行TISAX认证?
TISAX认证适用于汽车行业上下游供应链中的所有组织。奔驰、宝马、大众、奥迪等主机厂都已强制要求其各个级别的供应商必须通过TISAX认证,才能与之进行数据交换;国内众多零部件供应商也都接到了主机厂的通知而纷纷着手准备。
3、TISAX认证与ISO 27001的关系是什么?
两者都旨在提升组织的信息安全能力。ISO 27001是适用于各个行业的信息安全管理体系认证。TISAX基于ISO 27001,但在许多方面专注于汽车行业的特定要求,如:TISAX采用三种审核等级,AL1为自评、AL2和AL3需要第三方审核员进行现场审核;在关注点方面,TISAX必须实施好ISMS体系的控制点要求,并能证明PDCA循环在发生作用以及提供足够的支持文档。
4、什么是TISAX认证中的独立性原则?
ENX曾多次对审核的独立性进行说明,明确同一组织机构,不能同时为客户提供TISAX审核和咨询,或类似于咨询的培训服务。
5、TISAX描述
申请级别 | ¨LEVEL2(远程审核) | ¨LEVEL 3(现场审核) | |
涉及类型 | ¨信息安全 | ¨原型保护 | ¨数据安全 |
现场地址1 | 雇员数: | ||
现场地址2 | 雇员数 | ||
现场地址3 | 雇员数: | ||
IT人员数 | IT安全人员数 |
6、TISAX的证明材料和周期
ISO/IEC27001:2013 | TISAX® | |
Audit frequency 审核频率 | Annually 每年 | Every three years 每三年一次 |
Proof 证明 | Certificate 证书 | Electronic label (only available in the ENX data base) 电子标签(仅在ENX平台中发布) |
sphere of application 适用范围 | Generic 通用 | Automobile industry 汽车行业 |
Dealing with deviations 不符合项处理规则 | Major deviations must be closed before the certificate is issued 获证前必须关闭严重不符合 | All major and minor deviations must be closed before the label is issued 所有严重和轻微不符合都必须关闭后才能获得标签 |
7、可能涉及的费用,仅为常规客户,以300人左右为例:
注册费用:405欧元
(1) 认证费用,仅信息安全类别,约12-15万。
(2) 认证费用,如增加原型保护和数据安全,每一类增加约3万元。
(3) 咨询费,仅信息安全约15万元增加原型保护和数据安全,每类增加约3万元。
(4) 企业自身信息安全改造也会产生费用。