TISAX德系汽车行业信息安全评估

浏览次数：1302     作者：admin    时间：2022-03-21

TISAX最早起源于德国汽车OEMs对其供应商的信息安全内部审计，目的是评估整个汽车供应链所达到的信息安全水平。目前已通过VDA（德国汽车工业协会，评估标准制定者）和ENX（TISAX注册和标签共享平台）逐渐扩展到所有的德国汽车行业，成为一种评价供应商信息安全能力的通用评估和交换机制。TISAX和相应的信息安全评估机制在2017年开始成为强制性要求 ，全球所有供应商（包括零部件厂商、服务提供商等）均应实施和维持其信息安全管理体系（ISMS），并通过与之相应级别的TISAX审计，作为与OEMs签约和德系汽车行业的市场准入条件。

TISAX信息安全评估：从传统零部件供应商到更广泛的合作伙伴

TISAX审计的对象，一般是面向传统的汽车零部件供应商，从国内覆盖范围来看，无论是跨国企业还是本土企业，审计地点会包括公司总部的办公环境、研发环境，也包括其在各地的工厂、实验室、测试场地等。

随着汽车发展变得更加节能和数字化，新能源汽车、移动互联网和自动驾驶领域的公司及其相应的技术研发和相关服务也成为汽车供应链中不可或缺的一部分。许多知名的科技巨头和高创新的初创企业已开始踏上他们的TISAX之路。

此外，从事汽车市场研究、以客户为中心的服务的公司（如研究机构）以及提供支持性ICT服务（包括系统运营服务、邮箱服务、云服务等）的公司也需要向其OEMs客户和/或汽车客户提供有效的TISAX标签。

TISAX实施路径：

注册 ➝ 审计 ➝ 整改 ➝ 确认 ➝ 报告 ➝ 分享

根据要求，企业首先需要依据与OEMs约定的TISAX审计的范围Scope、模块Objective和级别Assessment Level，在ENX平台上完成注册。

TISAX实施路径

TISAX审计对象、审计级别、成熟度评分

TISAX审计的内容除了通用的信息安全（基于ISO/IEC 27001和27002）之外，根据客户与OEMs的业务合作特点，还可能包括原型保护、第三方连接、数据保护三个模块。按照客户获取、处理和存储的信息敏感度，其保护级别可以分为High（AL2）和Very High（AL3） 。需要注意的是，AL3、或带有原型保护的AL2、或带有第三方连接的AL2，均必须（对每个涉及的工作场所）进行现场审计。通常的审计方法包括人员访谈、现场检查、取证确认等 。

审计结论将严格按照VDA ISA成熟度级别的方法，采用成熟度得分来表示。每一项控制点的成熟度得分范围在0-5之间（可以包括不适用项），由审计方来评价。取得TISAX标签的前提是：需要达到规定的成熟度水平，并且没有任何偏差项（被审计方必须基于发现和偏差进行及时整改，并在规定时间内由审计方进行跟进评估和确认）。

【返回列表页】