TISAX® - 重要問題的解答

內容

• TISAX是什麼？ ^®代表什麼？
• TISAX有哪些好處？ ^® ？
• 誰來監TISAX？ ^® ？
• 什麼是評估等級？
• 是T伊薩克斯^®也適用於非製造型企業嗎？
• TISAX ^®無需客戶要求即可獲得認證？
• TISAX 的內容是什麼？ ^®與 ISO 27001 類似？
• 是ac對TISAX的聯合審計^®符合 ISO 27001 標準嗎？
• 我該如何定義TISAX？ ^®評估範圍？
• 個人評估需要多長時間？
• 什麼是主要不合格項和次要不合格項？
• 威爾·蒂薩克斯^®替換VDA原型保護？
• DQS能為我做什麼？

TISAX是什麼？ ^®代表什麼？

TISAX ^® - 可信任資訊安全評估交流平台

TISAX ^®是汽車業常用的評估和交流程序。它基於德國汽車工業協會 (VDA) 資訊安全工作組開發的資訊安全問卷 (ISA - 資訊安全評估)，該問卷最初由德國汽車工業協會 (VDA) 的成員公司用於審核處理敏感資訊的供應商和服務提供者。 版本 5.1的VDA ISA問卷該版本自 2022 年起可用。所有新用戶都必須使用此版本。 TISAX ^®自 2022 年 1 月以來的評估。與新…合作TISAX ^® 5.1現在，審計目錄對於使用者和審計人員來說都應該更加便捷有效率。

此外， TISAX ^®符合國際公認的資訊安全標準的基本要求： ISO 27001它適用於所有行業，並定義了確保公司內部資訊安全的要求、規則和方法。此標準的要求不僅限於保護IT技術系統，還包括所有值得保護的企業資產，例如辦公室、安全控制措施和檔案。換句話說： ISO 27001確保對組織有價值的所有資訊的安全。

TISAX有哪些好處？ ^® ？

• TISAX ^®創建一個統一的資訊安全水平在汽車產業
• 評估結果如下：各公司均認可在所有TISAX ^®參與者，從而增強了對經審計公司的信心
• 不必要的重複和多次審計是避免透過相互承認TISAX ^®網路
• 評估TISAX ^®認證這項活動每三年才舉辦一次，既省時又省錢。

誰來監TISAX？ ^® ？

TISAX ^®是註冊商標 ENX協會總部位於法蘭克福和巴黎。作為中立機構，它受託負責實施TISAX。 ^® ENX是由歐洲汽車製造商、供應商和四個國家汽車協會（包括VDA）組成的協會，VDA於2000年創立了ENX。 ENX協會負責監督實施質量，並根據嚴格的程序對評估服務提供者進行認證。 DQS是列出以 ENX 為經批准的審計服務提供者我們可在全球範圍內開展評估工作。我們的專家隨時為您解答疑問。

為了實現參與者之間評估結果的相互認可，ENX 與所有經批准的審計服務提供者以及 TISAX 的參與者簽訂了相應的合約。 ^®透過標準化和品質監控，ENX實現了所有參與者對評估結果的共同認可，避免了不必要的重複評估。

關於TISAX的問題和答案^®什麼是評估等級？

TISAX ^®根據所需保護程度，將評估等級（保護需求）分為三個等級：普通（1級）、高（2級）和極高（3級）。審核方法和審核工作量取決於此。

一級：未經合理性檢驗的自我評估，通常僅供內部使用。這些評估結果意義有限，不用於TISAX評估。 ^® 。

二級：由DQS等審計服務提供者對您的自我評估進行合理性核查。這些資訊安全審計通常以電話會議的形式進行，而非現場審計—除非符合原型保護審計目標或您明確提出要求。

此次新增的評估方法是另一種針對二級評估的評估方式。您的審計服務提供者不再進行合理性檢查，而是進行完整的遠端測試。這種方法有時被稱為「二級半評估」。其優勢在於，該方法在方法論上與三級評估相容。因此，日後只需付出適度的努力即可升級到完整的三級評估考試。

3級：由審計服務提供者透過深入、全面的現場審計，對您的自我評估進行合理性檢查。

TISAX的引入是^®對於非製造型企業來說，這也是必要的嗎？

這個問題的答案取決於您的業務背景：您是否需要實施TISAX ^®這取決於您的原始設備製造商 (OEM) 是否要求您提供資訊安全證明。除非汽車製造商主動聯絡您，或您發現條款和條件有所變更，否則建議您先觀望。過去，OEM 會在必要時聯繫相關公司，告知進一步合作的要求。當然，您也需要主動向汽車產業的合作夥伴諮詢。

努力爭取TISAX有意義嗎？ ^®即使沒有客戶要求也需要認證？

如今，積極主動地應對資訊安全問題通常都很有意義，這不僅適用於汽車行業的供應商。如果您的原始設備製造商 (OEM) 尚未明確規定哪些方面需要改進，那麼您應該主動採取措施。 TISAX ^®取得認證標籤是必要的，最好能達到3級水準（評估等級3：資訊安全水準極高）。這樣，您就能為未來的所有要求做好準備，而無需重複工作。

或者，全球公認的ISO/IEC 27001該標準為資訊安全提供了一個良好的跨行業入門指南。該標準的修訂版於2022年10月25日發布。

TISAX 的內容是什麼？ ^®與 ISO 27001 類似？

TISAX ^®評估目錄源自國際標準ISO 27001並藉鏡其中定義的「控制措施」（措施）。這些措施描述如何實施相應的要求（必須、應該），如何確保流程的順利進行以及可以使用哪些工具。這兩個標準之間的一個關鍵差異在於： TISAX ^®需要達到一定的成熟度。

是TISAX的聯合審計^®符合 ISO 27001 標準嗎？

聯合審核完全可行，DQS 可以隨時執行。許多 TISAX ^® DQS的審核員也獲得了授權。審計員對於 ISO 27001 而言，這意味著資訊安全的兩項評估可以同時進行，而無需付出太多額外努力。

我是否必須先獲得 ISO 27001 認證才能參加 TISAX 考試^® ？

這個問題的答案是：否。因為沒有規定必須擁有符合以下條件的認證資訊安全管理系統： ISO 27001必須已經存在。對於TISAX ^®評估時，您只需證明您按照資訊安全管理系統運作，並且相應的流程和程序在公司內部穩定實施即可。此評估由審核員進行，審核員也會根據相關文件來決定成熟度等級。

擁有 ISO 27001 認證有哪些優勢？

如果您已經能夠提供 ISO 27001 認證證書，這當然是一個優勢。原因很簡單： TISAX ^®你必須證明你已經實施了資訊安全管理，並且兩套規則的覆蓋範圍相似。

但請注意：定義TISAX ^®審計範圍可能與所需的定義有所不同ISO 27001認證其基本概念並不完全相同。對於規模較大的組織，也可以考慮註冊多個審計範圍。

ISO 9001 的「製程定義」是否與 TISAX 類似？ ^® ？

這個問題的答案是「是」。原則上，對應規則集中流程的定義和結構始終相同。 TISAX ^®評估目錄此外，該文件還明確規定了哪些控制措施必須用於確定關鍵績效指標 (KPI)，哪些則不能。為了確保汽車產業的資訊安全，KPI 的製定輔以實例說明。因此，查閱 VDA ISA 問卷有助於初步了解相關資訊。

是否建議在實施TISAX時配備IT安全官^® ？

負責引進TISAX的人員並非必須具備特定條件。 ^®均來自IT部門。然而，由於涉及IT支援的流程，具備一定的IT知識無疑是有益的。

我該如何定義TISAX？ ^®評估範圍？

ENX 提供的標準範圍由 90% 的使用者採用。 TISAX ^®參與者。預設範圍已預先定義且無法變更。如果您在準備評估的過程中發現標準範圍不適用，在特定情況下，您可以調整考試範圍。個別情況下，OEM廠商可能會要求擴展範圍。但是，這些特殊情況很少見，相關OEM廠商會與您詳細討論。通常情況下，標準範圍已足夠。它是基礎。 TISAX ^®評估結果為所有參與者所接受。

一種評估範圍是否足以涵蓋所有地點？

將所有站點納入單一範圍既有優勢也有劣勢。

對於擁有眾多分公司的公司，常規的TISAX ^®評估程序可能相當繁瑣。在特定情況下，我們提供一種替代方案—「簡化小組評估」（SGA）。簡化小組評估是TISAX的一種特殊情況。 ^®評估程序。如果滿足要求，與常規TISAX相比，該程序可能減少工作量。 ^®評估。這項特殊的TISAX評估^®評估程序適用於至少有三個辦公地點且具備集中式、高度發展的資訊安全管理系統（ISMS）的公司。 附錄描述了在哪些情況下您可以從簡化的團體評估中受益，以及如何進行特殊評估流程。

評估範圍能否縮小，例如僅限於「安全關鍵型員工」？

ENX 回答了關於這個問題TISAX ^®明確而言：所有接觸汽車產業敏感資訊的員工都必須納入監管範圍。例如，操作客戶施工圖的機器操作員也屬於此類。貴公司必須自行界定哪些員工參與了與資訊安全相關的流程。

ENX是否真的可以申請TISAX？ ^®必須先提交審計報告，才能選擇審計服務提供者？

是的，沒錯。在您完成線上註冊後… www.enx.com/tisax/經ENX批准評估範圍後，您將收到一份所有核准評估服務提供者的名單。不過，您也可以提前在ENX網站上查看名單。 DQS已在ENX註冊為服務提供者，可在全球範圍內開展評估工作。如有任何關於汽車行業資訊安全方面的問題或疑問，請隨時聯繫我們的專家。

如果成熟度太低，進行詢問還有意義嗎？

如果你在自我評估中發現，你的公司在以下方面仍需迎頭趕上：資訊安全ty目前提出評估請求並不合適。建議您先彌補已發現的差距，然後再考慮進行審計。

個人評估需要多長時間？

關於單次評估所需時間的答案取決於貴公司的規模以及現場審核所需的差旅情況。對於一般規模的公司而言，現場評估通常需要 2-3 天。

公司需要多長時間才能獲得認證？

整個TISAX ^®審核流程最多可能需要九個月。它從初始審核開始，到最終複審結束。如果評估流程無法在規定期限內完成，您將無法取得TISAX證書。 ^®標籤。

如果貴公司符合所有標準或僅存在輕微不符合項，評估報告將提交給 ENX。報告一旦被接受，您將收到您的（臨時）許可證。 TISAX ^®標籤。如果存在必須先糾正的重大不合格項，則標籤自不合格項被視為已糾正之日起生效。

關於TISAX的問題和答案^®什麼是TISAX？ ^®標籤？

標籤是評估過程的結果，概括了您的評估結果。它們之間存在層級關聯，這意味著如果您獲得某個標籤，您將自動獲得其「下級」標籤。標籤只能在…中查看。 ENX門戶它們的有效期通常為三年。

什麼是主要不合格項和次要不合格項？

重大不符合項是指那些會引發人們對資訊安全管理體系整體有效性產生懷疑，或造成重大資訊安全風險的不符合項。例如，如果要求實施雙重認證，但尚未實施，則屬於重大不符合項。

例如，如果某種不符合項既不會影響資訊安全管理系統的整體有效性，也不會對汽車業的資訊安全構成重大風險，則該不符合項屬於輕微不符合項。例如，孤立或偶發的錯誤和實施缺陷。

我是否還需要提交各項措施有效性的證據？

答案是肯定的。在您制定並實施各項措施之後，我們將對其有效性進行驗證。因此，認證過程也預留了九個月的時間。

我如何才能「提前」確定員工人數？

具體來說：如果在與客戶簽訂合約之前不能再僱用其他員工，我該如何提前確定確切的員工人數？

員工分類的範圍TISAX ^®比國際標準大得多ISO 27001 . TISAX ^®它按員工人數進行分類，例如 0-50 人、51-150 人等等。因此，如果您大致知道將要雇用多少新員工，您就可以將自己置於一個合適的範圍內。

為符合TISAX的要求，需要提供多少份文件？ ^® ？

這裡無法給出統一的答案。具體情況取決於貴公司的規模和業務活動。理論上，只要思路清晰，所有內容都可以在一份文件中涵蓋。但是，建議建立多份文件分別闡述相關主題。

威爾·蒂薩克斯^®替換VDA原型保護？

自從TISAX ^®包含一個獨立的原型保護模組，該模組對各項標準進行了比以往更詳細的闡述，可以推斷，從長遠來看，TISAX ^®將取代先前汽車行業資訊安全規則。但目前，2018 年發布的 VDA 原型保護版本 3.0 仍然有效。

關於TISAX的問題和答案^® DQS能為我做什麼？

DQS已列入ENX認可的審核服務提供者名單，可在全球範圍內進行評估工作。我們許多TISAX ^®審核員也是該國際標準的認可審核員ISO 27001這意味著這兩個標準都可以透過以下方式進行評估： DQS同時，無需額外投入太多精力。我們的專家樂於解答您關於汽車產業資訊安全的問題。期待與您交流。

專業和信任

我們的技術文章均由公司內部的標準專家和資深審核員撰寫。如果您對文章內容或作者有任何疑問，請隨時與我們聯繫。