TISAX®(可信信息安全评估交换)是德国汽车工业协会(Verband Der Automobilindustrie(VDA))的解决方案,以满足汽车制造商和供应商在处理机密信息时日益增长的安全需求。TISAX®是汽车行业信息安全的既定标准。
目前TISAX是汽车行业中唯一正式发布的信息安全标签机制,主要适用于欧洲范围内的德国、意大利、西班牙等汽车企业与其全球的供应商。而其他国家和地区,如美系、日系和韩系主机厂虽使用自身的审核体系,但均为ENX协会的会员,随着TISAX的不断优化和推广,其制定的针对供应商的信息安全要求,有望成为世界范围内各主机厂参考和认可的标准。
TISAX的拥有者和主持者:德国汽车工业联合会VDA,VDA同时控制VDA-ISA检查表。
TISAX的法律实体与组织者:ENX,所有评估结果都将放在ENX平台上。
TISAX认可的审核提供方:获得认可的第三方认证机构。
TISAX信息安全评估:从传统零部件供应商到广泛的合作伙伴
TISAX主要包含体系策划、原型保护、对供应商的要求及数据保护四个模块,在每个模块下都设有不同的安全控制点,共计85项。这些安全控制点涉及到IS0/IEC 27001、 ISO/IEC 27002和ISO/IEC 27017等标准 ,对于所有的控制点来讲,均会予以成熟度的评估工作。
TISAX评估等级:
TISAX按照信息安全保护程度,一共分为三个级别:AL-1、AL-2(High)、AL-3(Very High):
AL-1:标准保护级别,只对企业的信息安全进行审核,多用于企业内部的自评估,无需审核方介入。
AL-2:高保护级别,审核方根据“高保护要求”进行审核,审核可远程进行,最终获得2级标签。
AL-3:极高保护级别,通过后可获得TISAX 3级标签。若企业需要审核样件,则审核级别必须定为AL3。AL3级别的企业必须接受现场审核。
需要的保护级别越高,评估级别就越高(与评估目标相关)。通常,获取AL-3级标签,则参与者必须接受现场审核。
1、行业内的相互认可:
TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准,评估结果得到其他TISAX参与者的共同认可,从而实现行业企业之间的安全互信;
2、避免多次检查降低管理成本:
TISAX认证基于统一的VDA-ISA安全评估目录和标准,获得TISAX标签后,通常每三年只需要进行一次TISAX评估;
3、提升安全意识:
员工的行为对公司内部安全有重大影响,通过TISAX能够有效提高员工安全意识与能力;
4、与互信领域延伸:
通过TISAX认证,成为了组织满足汽车行业乃至Mobility领域特定信息安全需求的强有力证明。