汽车行业的信息安全

您是汽车行业的供应商或服务提供商吗?那么今后您只需每三年提供一次客户提供给您的敏感信息的安全证明--作为TISAX®程序的参与者,通过相应的评估。该程序适用于所有行业,并定义了对贵公司的信息安全要求。

所有TISAX®参与者之间的相互认可

供应商和服务提供商对您的受审核公司取得更大的信任

TISAX®认证的评估工作每三年才进行一次

通过参与TISAX®网络节省时间和成本

关于TISAX®评估的基本信息

TISAX®是一个针对汽车行业的通用评估和交流程序。它基于VDA "信息安全 "工作组开发的调查问卷(ISA--信息安全评估),该问卷又基于国际标准ISO/IEC 27001的关键方面,并被扩展到包括一个成熟度模型。

此外,德国汽车工业协会(VDA)的负责机构已经为建立名为TISAX®(可信的信息安全评估交换)的联合评估和交换机制创造了条件。TISAX®是ENX协会的一个注册商标。该协会由欧洲汽车制造商、汽车供应商和汽车协会组成,负责监督TISAX®评估的质量,并控制TISAX®审计服务提供商的审批。TISAX®对超过10,000个地点进行了评估,该标准是全球第二广泛采用的信息安全框架,仅次于ISO/IEC 27001。因此,VDA和ENX成立了TISAX®和ISA目录的国际工作组,共同影响该标准的未来,促进与汽车行业的更密切合作。

显示更多
显示更少
Loading...

为什么TISAX®评估对我的公司有用?

作为汽车行业的服务提供商或供应商,您需要向您的客户证明您遵守了信息安全要求。到目前为止,这些评估主要是由制造商自己进行的。TISAX®网络的注册参与者现在可以通过一个共同的在线平台选择一个审计服务提供商,并要求进行评估。这对公司来说是利大于弊的。

  • 可以避免不同客户的重复和多次评估
  • 对TISAX®参与者的信息安全评估进行跨公司认可
  • 由于采用了统一的VDA ISA测试目录,结果具有可靠性
  • 加强对带有TISAX®标签的受审核公司的信任
显示更多
显示更少
Loading...

TISAX®的要求是什么?

ISA目录包括与信息安全管理、数据保护、访问控制、事件响应和保护敏感信息的其他关键方面相关的详细问题和标准。它帮助汽车公司评估其信息安全措施,识别漏洞,并努力符合ISO/IEC 27001等国际标准。ISA目录是确保汽车行业信息安全的关键工具,并不断更新以适应不断变化的安全需求。

的TISAX®评估目前基于行业特定的ISA目录版本5.1,该版本于2022年1月成为强制性标准。新版本更强调全面保障资讯科技及所有资讯资产的安全,扩大了评估范围。

从2024年开始,即将发布的ISA目录6.0版本将通过纳入IEC 62443标准的重要元素,更加强调确保供应链的可用性。因此,评估将更加关注操作技术(OT),包括管理生产过程的工业控制系统(IACS)。这证明了TISAX®对汽车行业不断变化的需求和要求的敏捷适应。

显示更多
显示更少
Loading...

TISAX®是如何运作的?

在TISAX®中,参与者可以扮演两个不同的角色:"信息消费者"(被动),例如,一个制造商希望收到关于供应商的信息,而 "信息贡献者"(主动),例如,零部件供应商或服务提供商,他们希望被审核是否合适,以便从制造商那里获得订单。

一个公司也可以同时承担两个参与者的角色。任何希望作为信息贡献者参与TISAX®的人必须采取以下四个主要步骤。

  • 1.在网上注册:www.enx.com/TISAX
  • 2.选择一个ENX认可的审计服务提供商,如DQS
  • 3.接受TISAX®评估
  • 4.在TISAX®在线平台上交流审核结果。
显示更多
显示更少
Business28.png
Loading...

TISAX®评估是如何进行的?

在开始TISAX®评估之前,您的公司必须建立一个明确的范围。这涉及到确定评估的基本特征,包括决定评估方法的评估水平,以及具体的评估要求。这些要求可能包括确保生产能力的“可用性”,保证委托信息的“机密性”,或确保“原型部件”和“个人数据”的安全。这些基本属性适用于评估范围内的所有地点。

一个关键的挑战在于对在单一作用域下共享相似需求的站点进行分组。DQS可以为您的瞄准镜设计提供有价值的指导,无论是单一的综合瞄准镜还是多个瞄准镜。
更少的范围意味着更少的标签来监视过期,而更集中的信息安全管理系统(ISMS)减少了审核团队需要花费在每个位置的时间,最终减少了总体评估持续时间。

启动TISAX®审核流程需要通过TISAX平台注册您的范围和位置。您的作用域将由ENX分配一个唯一的作用域ID。重要的是要注意,与此注册过程相关的服务费用,这些费用适用于您范围内的每个位置。

获得TISAX®标签是一个简单的过程,涉及两个关键步骤。第一步是从选择一家经批准的审计服务提供商开始的,比如DQS公司。在第二步中,该进程首先进行文件审查,这是一种自我评估,不涉及实地访问。随后,进行后续评估。评估的深度视乎评估级别而定:

AL - 2评估不包括现场访问,主要侧重于根据文件检查实施的信息安全管理系统的合理性。

AL - 3评估包括现场访问,并需要通过评估证据对实施的ISMS进行深入验证。

对于稍微不同的方法,有一种称为AL 2.5评估的替代方法。在这种方法中,您的审计服务提供者执行完全远程评估,而不是单独进行合理性检查。值得注意的是,该方法在方法学上与AL 3一致。它通过增量评估只关注物理方面和现场证据,为以后升级到完整的AL 3提供了灵活性。

对于目前只需要满足AL 2,但预计将来与他们合作的制造商可能会要求AL 3的客户,特别推荐使用AL 2.5。当出现更严格的需求时,这种方法可以确保更平滑的转换。

审核的结果记录在一份临时报告中。如果出现不符合要求的情况,将商定要实施的措施。如有必要,将在商定的时间内确定措施的实施。

在关闭不符合项后,通过审计的方式进行有效性检查。

最终报告将在TISAX®门户网站上在线发布。这将把贵公司列为参与者,并贴上相应的审核标签。

Banking13.png
Loading...

TISAX®的评估费用是多少?

两个重要因素

有两个重要因素影响着整个评估的范围,从而影响着费用。评估可以在扩展范围、标准范围或限制范围的基础上进行。您对范围的决定应该有充分的准备,并由所需的保护目标决定,同时也由您公司的规模决定。

例如,保护目标是指你是否想在评估中包括原型保护或数据保护等主题。如果您想参与TISAX®程序,请尽早与DQS--您的认可的审核服务供应商沟通。只有这样,我们才能确定评估范围的正确计算方法,并为您提供一份可靠的TISAX®认证费用报价。

显示更多
显示更少
Business2.png
Loading...

您可以从我们这里得到什么

  • DQS是ENX协会认可的审计服务提供商
  • 对您的组织中的信息安全有增值的洞察力
  • 对汽车行业的所有相关法规进行认证
  • 具有行业经验的审计师和领域内的专家
  • 超过35年的管理体系和流程认证经验
  • 具有国际认可的证书
  • 我们的专家在地区、国家和国际范围内提供个人的、顺利的支持
  • 具有灵活合同条款的个性化报价,没有隐性费用
显示更多
显示更少
Loading...

要求报价

您的当地联系人

我们很乐意为您提供TISAX程序的定制报价。