汽车工业是一个拥有大量机密信息和数据的地方。例如,汽车制造商可能会与供应商共享有关新车型的敏感信息,如照片拍摄或尚未向公众展示的原型车的开发。
TISAX可信信息安全评估与交换标准(以下简称“TISAX”),是基于ISO/IEC27001信息安全管理体系标准和VDA-ISA信息安全评价检查表而建立的汽车行业专用信息安全标准。由德国汽车工业联合会(VDA)联合欧洲汽车工业通信网络协会(ENX)制定,把受多数组织成员认可的信息安全评估流程之审核结果放上平台,供参与者在得到被审核者授权后做查询,专为汽车行业需求而开发。 ISO/IEC27001信息安全管理体系(以下简称“ISO/IEC27001”),是由国ji标准化组织(ISO)采纳英国标准协会BS7799-2标准后实施的管理体系,成为了“信息安全管理”的国际通用语言,企业建立ISO/IEC27001体系能有效保证企业在信息安全领域的可靠性,降低企业泄密风险,更好的保存核心数据和重要信息。目前蕞新版本为ISO/IEC27001:2013。
信息安全对每个企业都非常重要,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。目前认证较多的行业主要是软件和信息技术服务业、ICT(信息与通信技术)、电力、金融等行业。
Q1
TISAX与ISO/IEC 27001之间有何联系?
许多企业将TISAX等同于ISO/IEC27001认证,这是可以理解的。因为这是一个全球公认的行业标准。TISAX以ISO/IEC27001为基础,遵循其主要管理思路与原则,内容也覆盖了ISO/IEC27001标准的基本要求。
Q2
TISAX与ISO/IEC 27001标准的适用范围
ISO/IEC27001适用产业的范围相对TISAX更广。TISAX主要聚焦在汽车行业相互接受信息安全评估,由欧洲汽车工业通信网络协会(ENX)认可的第三方机构进行,并为专业交流提供共同的评估机制。
Q3
TISAX与ISO/IEC 27001两者之间的不同点?
1. 应用范围不同。TISAX以ISO/IEC27001为基础,遵循其主要管理思路与原则,TISAX定义了信息安全在汽车行业场景下的特定含义,包含有一些关于原型车辆、零部件、测试车辆的处理以及在活动、电影和照片拍摄期间保护信息的具体章节,而ISO/IEC27001则是允许在不同场景下对信息安全定义有一定程度的不同解读:
ISO/IEC27001由两部分组成,除了第4章至第10章外,附录A中还有114项信息安全控制措施。其认证表明了企业建立、实施、保持并持续改进了ISMS(信息安全管理体系)要求。TISAX信息安全评估流程参考ISO/IEC27001、ISO/IEC27002等规范外,并参照法律法规(如通用数据保护法GDPR)及汽车产业之要求作为管制项目。 2.级别机制不同。ISO/IEC27001无级别制,TISAX则采用级别制,共有三种审核等级(Assessmentlevel(AL),企业可以自行选择其需要通过的认证等级。AL1一般是自评,AL2和AL3需要第三方对公司进行现场稽核,一般获得AL2和AL3才能够获得TISAX的认可。ISO/IEC27001证书是意味着通过审核和评审的结果,基本可以理解对应的是TISAX的AL2。 另外,TISAX在四大管制面向五个成熟度级别做评分,让企业了解现况级别,并可供参考往更gao级别进步。五个成熟度级别定义如下: 0:不完整级别;1:已执行级别;2:已管理级别;3:已建立级别;4:可预见级别;5:持续优化。