贯标集团-江苏浅析 | 汽车行业 | TISAX® 可信信息安全评估与交换标准

导读

从“电动化、网联化、智能化、共享化”概念被首次提出后，汽车行业开启了前所未有的、令人惊叹的变革。在变革浪潮中，汽车已逐渐摆脱其作为“交通工具”的单一设定，演化成如同手机般的智慧产品。

据高盛研究部预计，自动驾驶汽车市场到2025年有望增长到960亿美元，并在2035年达到2900亿美元的规模。有数据显示，如今智能化汽车每天能产生20GB的数据，未来拥有更强自动驾驶能力的汽车，预计每秒就能产生10GB的数据。这意味着，从零配件供应商、车联网运营服务商，到云厂商、高精地图厂商，甚至是保险公司等等汽车行业相关企业，都需要数据分析技术支持，特别是随着欧盟《通用数据保护条例》（简称GDPR）的生效，数据安全愈发受到重视。

为了帮助主机厂确保其供应链的信息安全，2017年初，德国汽车工业协会（VDA）与ENX协会联合推出了可靠交换机制TISAX（TrustedInformationSecurityAssessmentExchange可信信息安全评估交换），实现数字化汽车行业的信息安全可信评估。把受多数组织成员认可的信息安全评估流程VDA ISA(Information Security Assessment)之审核结果放上平台，供参与者在得到被审核者授权后做查询，是一个参考ISO27001、ISO27002等标准规范所制定的信息安全评估结果的交换平台。同年起，该项评估的流程和标准开始成为强制性要求，在全球范围内，包括零部件厂商、外围服务供应商等在内的所有相关供应商，都被要求建立和维持基于行业互相的信息安全管理体系，并将通过与之对应级别的TISAX认证作为准入条件。如今，众多国内汽车配件公司都收到了主机厂要求通过TISAX认证的通知，纷纷着手准备该项认证。

ISA: 用于组织的内部控制要求， 接触组织敏感信息的供应商（服务商）的审核要求。

VDA联合ENX推出成员组织认可的信息安全评估流程，将审核结果放在的授权平台上以供信息查询和交换。

ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会

ENX协会：TISAX的监管和组织的角色。

由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。

通过监管“ENX治理三角”得到保证，包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。

什么是TISAX® ？

TISAX®可信信息安全评估与交换标准是基于ISO27001信息安全管理体系标准和VDA-ISA信息安全评价检查表而建立的汽车行业专用信息安全标准。TISAX®为汽车行业内不同服务商提供了信息安全评估结果互认的模式，供应商通过了该评估，即意味着其结果得到了所有参与方的认可。

谁需要TISAX®？

从传统零部件供应商到更广泛的合作伙伴

TISAX®审计的对象，一般是面向传统的汽车零部件供应商，从国内覆盖范围来看，无论是跨国企业还是本土企业，审计地点会包括公司总部的办公环境、研发环境，也包括其在各地的工厂、实验室、测试场地等。

随着汽车发展变得更加节能和数字化，新能源汽车、移动互联网和自动驾驶领域的公司及其相应的技术研发和相关服务也成为汽车供应链中不可或缺的一部分。许多zhiming的科技巨头和高创新的初创企业已开始踏上他们的TISAX®之路。

从事汽车市场研究、以客户为中心的服务的公司（如研究机构）以及提供支持性ICT服务（包括系统运营服务、邮箱服务、云服务等）的公司也需要向其OEMs客户和/或汽车客户提供有效的TISAX®标签。

TISAX®的各方职责是怎样的？

TISAX®的拥有者和主持者：德国汽车工业联合会VDA，VDA控制VDA－ISA检查表。

TISAX®的法律实体与组织者：ENX，所有评估结果都将放在ENX平台上。

TISAX®认可的审核提供方：获得认可的第三方认证机构，例如：DEKRA德凯/TUV/毕马威。

为什么要进行TISAX®审核？

审核后有哪些优势？

德国大众等主机厂已经将TISAX®作为其供应商必须通过的资格要求。企业通过TISAX®评估后，可以被众多主机厂认可。

三年有效期内只需要一次TISAX®审核，避免多次审核的需要，节约成本和时间。

企业通过TISAX®审核后，证明其实力，尤其在参与投标时，可以作为有利附加条件。

允许跨公司之间的审核结果互认。

TISAX®一共有几个级别？

他们之间有什么区别？

TISAX®一共有三个评估级别，其中Level 1是企业自评估，仅仅用于内部用途。

Level 2与Level 3则需要由第三方认证机构进行评估，Level 3的要求蕞多且蕞严格。

通过审核后，企业将获得TISAX®标签。

现行TISAX®

一共定义了多少个标签？

目前现行TISAX®一共定义了8个标签。企业通过申请，通过几个，就将获得几个标签。可以发起申请，目前标签包括：

2个信息安全标签（INFO HIGH，INFO VERY HIGH）、

2个第三方连接标签（CON HIGH，CON VERY HIGH）、

4个原型保护标签（PROTO PARTS，PROTO VEHICLES.

TISAX®评估分为三个阶段：初始评估，纠正措施计划评估和后续评估。整个评估过程蕞长不能超过9个月。如果在此规定时间内，没有完成评估流程，则必须重新申请评估流程。

处理和存储的信息敏感度，其保护级别可以分为High（AL2）和VeryHigh（AL3）。需要注意的是，AL3、或带有原型保护的AL2、或带有第三方连接的AL2，均必须（对每个涉及的工作场所）进行现场审计。通常的审计方法包括人员访谈、现场检查、取证确认等。

审计将严格按照VDAISA成熟度级别的方法，采用成熟度得分来表示。每一项控制点的成熟度得分范围在0-5之间（可以包括不适用项），由审计方来评价。取得TISAX标签的前提是：需要达到规定的成熟度水平，并且没有任何偏差项（被审计方必须基于发现和偏差进行及时整改，并在规定时间内由审计方进行跟进评估和确认）。

认证结果不以证书的形式体现，而是不同的电子标签。标签有效期3年，从末次会议当天开始计算。

TISAX®的实施路径

注册 ➝ 审计 ➝ 整改 ➝ 确认 ➝ 报告 ➝ 分享

根据要求，企业需要依据与OEMs约定的TISAX审计的范围Scope、板块Objective和级别AssessmentLevel，在ENX平台上完成注册。

我们将为客户开展基于注册信息的信息安全评估，出具TISAX审计并签字上传ENX平台，企业将获取TISAXLabel（有效期3年，3年后需重新发起申请）作为供应商和OEMs申请采购订单、项目合作、系统开账号、供应商资格延续的必要条件。