贯标集团-天津TISAX认证相关内容详解

 随着TISAX频繁出现在汽车行业，也引起了越来越多的人关注，那么TISAX到底是什么？

      众所周知，供应链是目前企业数据隐私中蕞薄弱的部分，许多公司非常重视并花费巨资，但每年仍有可能因处理其数据的供应商而泄露数据。对于现代汽车厂商而言，数据就是核心竞争力，特别是机密数据和产品数据，供应商数据泄露会让公司核心知识产权暴露在大众面前，对于公司造成巨大的负面影响。

       2018年7月，包含百余家zhu名汽车厂商的机密文件被曝光，共47,000多个文件，157G字节的数据泄露，这些文件涉及车厂发展蓝图规划、工厂原理、制造细节、客户合同材料、工作计划、各种保密协议等文件，甚至包括员工的驾驶证和护照的扫描件等隐私信息。这起事件的起因是这些zhu名厂商有共同的服务供应商，在使用远程数据同步工具rsync同步数据时，备份服务器没有进行安全的IP地址和身份认证设置，使非指定客户端和个人连接了服务器，窃取了服务器存储的数据。

     针对汽车行业供应链中存在的信息安全问题，德国汽车工业联合会（VDA）信息安全工作组与ENX协会推出了--TISAX（TRUSTEDINFORMATIONSECURITYASSESSMENTEXCHANGE，可信信息安全评估交换），基于VDA-ISA的第三方独立评估，以实现汽车行业信息安全评估的相互认可,从而减少不同整车制造商的频繁审核。

     TISAX由四方面组成，包括基础：信息安全要求，以及三个附加模块：原型保护、第三方的联系和数据保护。四个方面都有不同的安全控制点，如下图

       TISAX的控制项融合了ISO/IEC27001、ISO/IEC27002和ISO/IEC27017等标准的要求，并根据汽车行业的特殊需求，进行了删减。对于所有控制项，TISAX评估对公司信息安全的实施状态进行成熟度的评估，从而展现公司信息安全的改进空间。

TISAX评估的收益体现在以下几个方面

1TISAX已获得全球认可，并且德国主要汽车生产商已经开始强制推行，通过TISAX评估便于介入德系汽车产业链开展业务。2通过TISAX评估，可以帮助所有处理敏感信息的汽车供应商和服务提供商满足消费者和法规的信息安全要求。3通过TISAX评估，可以减轻安全漏洞和网络攻击的风险，从而使公司能够采取措施来减轻信息安全风险。4通过TISAX评估，可以向客户证明公司在信息安全管理方面的准备情况，可以促进现有供应商合同的续签。5TISAX认证是一次审核后，在三年有效期内，所有授权厂商都可以查到审核信息，不必重复审核，有效节省时间和管理成本。

     TISAX评估只能由VDA-ENX认可的第三方机构执行，目前世界范围内合格的评估机构只有11家，必维是首批获得授权的TISAX评估机构，能在世界范围内为汽车企业提供全面的评估服务。

1

在TISAX平台注册，选择审核供应商（如必维）

文档：SF01 TISAX register

准备者：客户

确认者：必维认证

2

标签/范围评估（评估方案）、信息保护级别、简化集团评估（如有可能）和签订合同

文档：合同标签/范围评估

3

自评估

文档：VDA-ISA.xls Organization documetation

组织文档准备：客户

4

非现场审核（AL1基于文档的评估）或现场审核（AL2）

组织文档准备：必维认证

确认者：TISAX

5

现场审计（AL3）

文档：VDA-ISA.xls Organization documetation

6

标签确认

准备者：客户

7

根据被审计公司的明确授权，与其他选定的TISAX参与者交换审计结果信息

文档：TISAX注册

准备者：必维认证

确认者：客户