TISAX(汽车安全评估讯息交换平台)是2017年由德国汽车工业联合会(VDA) 联合欧洲网络交换所(ENX) 所推出的资讯交换平台,把受多数组织成员认可的资讯安全评估流程VDA-ISA ( Information Security Assessment) 之审核结果放上平台,供参与者在得到被审核者授权后做查询.TISAX是一个参考ISO/IEC 27001、ISO/IEC 27002等规范所制定的汽车行业信息安全标准。
TISAX与ISO 27001的关系如何?
这两个标准都定义了一个ISS在设计、实现和操作方面必须满足的需求。ISO 27001列出了TISAX构建的基础。就它们对信息安全的要求而言,ISO 27001和TISAX实际上是相同的。但是,TISAX需求目录还包括可选领域,特别侧重于原型保护和数据保护。因此,您可能会说,TISAX遵从性为汽车行业优化了一个ISS。根据TISAX兼容的ISIS的成熟度级别,它至少应该满足ISO 27001的要求,甚至可能远远超过它们。
ENX协会作为TISAX方案的操作者,明确界定了评估的水平和范围。TISAX区分了三个不同的“保护级别”(正常、高和非常高),定义了所需的信息保护级别。此外,TISAX区分了定义评估深度和评估方法的三个“评估级别”:
· 具有正常保护级别的信息:评估级别1采用自我评估的形式.评估级别为1的评估结果通常不在TISAX中使用,但可能在计划之外被请求。
· 具有高度保护水平的信息:通过审计组织进行评估,以自我评估为基础,以及各种文件和电话面谈(如果需要的话,现场检查)。
· 具有很高保护级别的信息:由独立审计提供者根据文件和现场审计进行的评估级别3。
TISAX评估的范围和持续时间在每一种情况下基本上是根据将要处理的标准清单、保护的目标、SISs的复杂性和所涉地点的数目来确定的。
谁需要TISAX认证?要求是什么?
TISAX认证不是一项法律要求。不能授权任何公司实现符合TISAX的ISS或通过TISAX评估检查它们的ISMS。但实际上,TISAX遵从性的证明是任何希望在汽车行业成功运营或作为汽车制造商的供应商或合作伙伴的公司的一项要求。如果没有TISAX遵从性的证据,您可以忘记与任何主要的原始设备制造商一起工作。
TISAX需求在很大程度上符合ISO 27001的要求。但是,取决于您希望达到的TISAX级别,您的公司必须满足额外的需求--尤其是数据保护和特定于行业的原型保护需求。
得到TISAX认证,组织必须满足所需由VDA ISA评估目录,其中包括四个模块
(1)信息安全;
(2)与第三方的连接;
(3)数据保护;
(4)原型保护。
信息安全是要评估的主要模块。在每一种情况下.
该模块是根据ISO 27001/ISO 27002和ISO 27017 (云安全需求)。TISAX问卷直接引用ISO标准。其他三个模块将在必要时进行评估,并取决于选定水平(2及3)。
这个评估水平是否适用于您的公司取决于保护水平需要在您特定的环境(范围从低层到高到极高)。这取决于你若要决定要对公司进行何种评估级别,请执行以下操作。然而,许多制造商确实期望一定程度的认证他们的潜在供应商。