一、Tisax信息安全評(píng)估交流的起源

?

大部分企業(yè)可能不知道TISAX信息安全評(píng)估主要是做什么的，其實(shí)TISAX評(píng)估是適用于汽車行業(yè)的上下游供應(yīng)鏈中的所有組織，這些企業(yè)主機(jī)廠都已經(jīng)強(qiáng)制要求各個(gè)級(jí)別的供應(yīng)商是必須通過TISAX的認(rèn)證。所以，接下來(lái)擎標(biāo)會(huì)帶著大家了解TISAX信息安全評(píng)估的起源，評(píng)估的流程以及對(duì)企業(yè)的效益。

?

汽車逐漸擺脫了作為“交通工具”的單一設(shè)定，進(jìn)化成了類似手機(jī)的智能產(chǎn)品。為了幫助主機(jī)廠保證其供應(yīng)鏈的信息安全，2017年初，德國(guó)汽車工業(yè)協(xié)會(huì)(VDA)和ENX協(xié)會(huì)聯(lián)合推出了可信信息安全評(píng)估交易所(TISAX)，實(shí)現(xiàn)了數(shù)字汽車行業(yè)信息安全的可信評(píng)估。VDA ISA(Information Security Assessment，信息安全評(píng)估)是組織內(nèi)大多數(shù)成員認(rèn)可的信息安全評(píng)估流程，其審核結(jié)果經(jīng)被審核方授權(quán)后，放在平臺(tái)上供參與者查詢。它是參考ISO 27001、ISO 27001等標(biāo)準(zhǔn)和規(guī)范制定的信息安全評(píng)估結(jié)果的交流平臺(tái)。

TISAX審計(jì)的對(duì)象，一般是面向傳統(tǒng)的汽車零部件供應(yīng)商，從國(guó)內(nèi)市場(chǎng)覆蓋范圍方面來(lái)看，無(wú)論是跨國(guó)經(jīng)營(yíng)企業(yè)發(fā)展還是本土文化企業(yè)，審計(jì)工作地點(diǎn)會(huì)包括一個(gè)公司總部的辦公網(wǎng)絡(luò)環(huán)境、研發(fā)技術(shù)環(huán)境，也包括其在各地的工廠、實(shí)驗(yàn)室、測(cè)試場(chǎng)地等。

隨著汽車的節(jié)能化和數(shù)字化程度的提高，新能源汽車、移動(dòng)互聯(lián)網(wǎng)、自動(dòng)駕駛等領(lǐng)域的公司，以及相應(yīng)的技術(shù)開發(fā)和相關(guān)服務(wù)，成為汽車供應(yīng)鏈不可或缺的一部分。 許多著名的科技巨頭和高度創(chuàng)新的初創(chuàng)企業(yè)已經(jīng)開始進(jìn)軍TISAX。

此外，從事汽車市場(chǎng)研究，以客戶為中心的服務(wù)(如研究機(jī)構(gòu))和提供支持 ICT 服務(wù)(包括系統(tǒng)運(yùn)營(yíng)服務(wù)，電子郵件服務(wù)，云服務(wù)等)的公司也需要向其原始設(shè)備制造商客戶和/或汽車客戶提供有效的 tisax 標(biāo)簽。

?

?

?

二、TISAX評(píng)估的效益

?

1.滿足外部各方的直接要求，行業(yè)內(nèi)部相互認(rèn)可: 所有 VDA 成員和原始設(shè)備制造商都要求 ISAX 認(rèn)證，而 TISAX 認(rèn)證為汽車行業(yè)的信息安全評(píng)估提供了一個(gè)統(tǒng)一和具有約束力的標(biāo)準(zhǔn)，評(píng)估結(jié)果得到了其他 TISAX 參與者的認(rèn)可，以實(shí)現(xiàn)汽車行業(yè)企業(yè)之間的相互信任和安全;

2.避免多次檢查，降低管理成本:TISAX認(rèn)證基于統(tǒng)一的VDA-ISA安全評(píng)估目錄和標(biāo)準(zhǔn)，通常每年只需要第二次TISAX評(píng)估；

3、提升企業(yè)員工進(jìn)行安全管理意識(shí)，員工的行為對(duì)公司內(nèi)部的安全有重大影響,通過TISAX提高員工信息安全風(fēng)險(xiǎn)意識(shí)與能力。

?

三、TISAX辦理流程？

企業(yè)信息安全管理系統(tǒng)的情況、企業(yè)的規(guī)模、評(píng)估目標(biāo)和準(zhǔn)備程度等因素，可能會(huì)有很大的差異，因此無(wú)法準(zhǔn)確估計(jì)評(píng)估的具體時(shí)間。

第一步是TISAX注冊(cè)。

TISAX注冊(cè)的主要研究目的是收集有關(guān)管理公司的信息， 請(qǐng)使用在線注冊(cè)流程可以完成企業(yè)注冊(cè)。

這是所有后續(xù)步驟的先決條件，這是收費(fèi)項(xiàng)目。

在線注冊(cè)過程中:

提供聯(lián)絡(luò)資料及帳單資料。

你必須接受這些條款和條件。

您可以定義信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的范圍。

?

評(píng)估

第二步：實(shí)際信息安全評(píng)估分為以下四個(gè)子步驟：

a）評(píng)估準(zhǔn)備

你應(yīng)該為評(píng)估你的選擇做好準(zhǔn)備，雖然這取決于你的信息安全管理系統(tǒng)的評(píng)估水平，準(zhǔn)備工作應(yīng)該以 vda-isa 目錄為基礎(chǔ)。

b）選擇認(rèn)證公司

c）信息安全評(píng)估

將根據(jù)符合您的業(yè)務(wù)伙伴要求的評(píng)估范圍對(duì)供應(yīng)商進(jìn)行評(píng)估，評(píng)估過程至少包括初始審核。

如果貴公司沒有立即通過分析評(píng)估，評(píng)估工作過程可能我們需要額外的步驟。

d）評(píng)估結(jié)果

公司已通過評(píng)審，貴公司認(rèn)證公司將向您提供一份正式的TISAX報(bào)告，您的評(píng)審結(jié)果也將識(shí)別TISAX標(biāo)簽。

交換結(jié)果

第三步，也是最后一步，是與客戶分享你的評(píng)估。Tisax 報(bào)告分為五個(gè)章節(jié)，您可以決定您的客戶將訪問哪一章。

以上就是安徽擎標(biāo)信息對(duì)TISAX評(píng)估的淺析，希望能對(duì)你們有所幫助，如果有需求查看安徽擎標(biāo)官網(wǎng)，擎標(biāo)專注DCMM、CMMM、ITSS、A-SPICE、CMMI、ISO27001、ISO27701、ISO22301、ISO20000、涉密資質(zhì)等領(lǐng)域的管理規(guī)劃的咨詢服務(wù)。