automotive-dqs-kfz in futuristischer farbgebung

TISAX® - 重要问题的答案

霍尔格 薛梅根

DQS信息安全专家
1月 17 , 2023
# TISAX(汽车行业的信息安全)

根据 "VDA信息安全评估"(VDA ISA)的要求,您是否必须提供向您提供的信息安全的证明?我们的标准专家André Saeckel对有关 TISAX®-- 汽车行业的联合测试和交换程序的重要问题进行了解答。受此影响的公司圈子比最初设想的要大。除了典型的一级供应商,TISAX®认证也越来越多地被要求来自其他子级别的供应商,以及数据处理或广告领域的服务提供商,例如,来自最广泛意义上的汽车行业的合作伙伴公司。

内容

TISAX®代表什么?

TISAX® - 可信的信息安全评估交流会

TISAX® 是汽车行业的通用评估和交换程序。它基于VDA "信息安全 "工作组开发的信息安全问卷(ISA--信息安全评估),该问卷首先被德国汽车工业协会(VDA)的成员公司用于对其公司处理敏感信息的供应商和服务提供商进行审核。VDA ISA调查问卷5.1版本从2022年开始使用。自2022年1月起,该版本对所有新的TISAX®评估都是强制性的。使用新的TISAX® 5.1审核目录工作现在应该更容易、更有效--对用户和审核員都是如此。

此外,TISAX®是基于国际公认的信息安全标准的基本要求 ISO 27001。它适用于所有行业,并定义了确保公司内部信息安全的要求、规则和方法。在其要求中,该标准超越了对IT技术系统的保护,包括了所有值得保护的企业资产,如场所、安全控制和档案。换句话说。ISO 27001确保了对一个组织有价值的所有信息的保护。

TISAX®的好处是什么?

  • TISAX® 在汽车行业创造了一个统一的信息安全水平
  • 评估结果在所有TISAX® 参与者的公司得到认可,使人们对受审核的公司更有信心
  • 通过TISAX® 网络的相互认可,避免了不必要的重复和多次审核
  • 认证的评估 TISAX®认证只需每三年进行一次,这样可以节省时间和金钱。
whitepaper-dqs-tisax-assessment

TISAX:良好的规划造就了成功的评估

您是否面临着满足汽车行业在信息安全方面要求的任务?那么您应该在TISAX®评估之前做出一些重要的决定。我们的免费白皮书提供了指导。

良好的信息有助于良好的规划。现在阅读白皮书。

谁来监督 TISAX®

TISAX® ENX协会的注册商标,总部设在法兰克福和巴黎。作为一个中立机构,它被委托实施TISAX®。ENX是由欧洲汽车制造商、供应商和四个国家汽车协会(包括VDA)组成的协会,该协会于2000年成立了ENX。ENX协会监督实施的质量,并根据严格的程序对评估服务供应商进行批准。DQS被ENX列为 认可的审核服务供应商,可以在全球范围内进行评估。我们的专家随时可以回答您的问题。

为了实现参与者对评估的相互认可,ENX与所有被批准的审计服务供应商以及TISAX® 网络的参与者签订了相应的合同。通过标准化和质量监控,ENX实现了所有参与者对评估结果的共同认可。避免了不必要的重复和多重评估。

关于 TISAX®的问题和解答。什么是评估等级?

TISAX®根据所需的保护,DQS区分了三个评估级别(保护要求):正常(1级)、高(2级)和非常高(3级)。审核方法和审计工作取决于此。

1级:没有合理性检查的自我评估,通常只用于内部目的。这些评估结果只有有限的意义,并不用于TISAX®中。

2级:由审核服务提供商(如DQS)对您的自我评估进行可信度检查。这些信息安全审核通常以电话会议的形式进行,而不是以现场审核的形式进行--除非其中一个原型保护审核目标适用或您明确要求这样做。

新的是在评估二级中进行评估的另一种方法。你的审核服务供应商不进行可信度检查,而是进行一个完整的远程测试。这种方法有时被称为 "评估级2.5"。其优点是,该方法在方法学上与评估级别3兼容。因此,有可能在以后以可控的努力升级到完整的评估级3级考试。

3级: 由审核服务提供商通过深入、全面的现场审核对您的自我评估进行可信度检查。

引入 TISAX®对非制造型企业来说也是必须的吗?

这个问题的答案取决于您企业的背景。您是否需要实施 TISAX®取决于您的OEM(原始设备制造商),或者他们是否要求您提供这个信息安全的证明。除非汽车制造商特别找你,或者你看到T&C中的变化,否则建议等待和观察。过去,在必要时,车厂会与公司联系,提出进一步合作的要求。然而,当然要靠你主动向你在汽车行业的合作伙伴询问。

但是,怎么做呢?

通过DQS的ISO 27001认证,汽车供应商Mubea成功地在十个欧洲国家实现了信息安全的标准化,从而在竞争中处于有利地位。

从别人的经验中获益--阅读他们的博客文章

即使没有客户要求,争取获得 TISAX®认证是否有意义?

如今,对信息安全话题采取积极主动的态度一般来说是很有意义的,而且不仅仅是对汽车行业的供应商。如果您的原始设备制造商(还)没有规定您应该获得哪一个TISAX®标签,那么证明3级(评估等级3:非常高的信息安全)是一个好主意。这样一来,您就为所有未来的要求做好了准备,而不必重复工作。

另外,全球公认的ISO/IEC 27001标准提供了一个良好的、跨行业的信息安全介绍。该标准目前正在修订中,预计修订版将于2022年底出台。

ISO 27001 - 信息安全管理体系

符合ISO标准的整体管理体系 ★有效实施风险管理过程 ★持续改进安全水平

了解更多关于I­SO 27001的信息

TISAX®的内容是否与ISO 27001相类似?

TISAX®评估目录源自国际标准 ISO 27001,并借鉴了其中定义的 "控制"(措施)。它们描述了如何实施各自的要求(必须,应该),如何确保流程以及可以使用哪些工具。这两个标准之间的一个关键区别是 TISAX®要求达到一定的成熟度水平。

是否建议对 TISAX®和ISO 27001进行联合审核?

合并审核是绝对可能的,DQS可以在任何时候进行。DQS的许多TISAX®审核员也是ISO 27001的授权审核员,这意味着可以同时进行两种信息安全评估,而不需要额外的努力。

TISAX®系统是第一个在VDA调查表和ISO 27001原则的坚实基础上,为确保整个汽车行业的信息安全水平提供了可能性。

我是否必须在 TISAX®之前通过ISO 27001认证?

这个问题的答案是:不。因为没有要求必须已经存在一个符合ISO 27001的认证信息安全管理系统。对于 TISAX®评估时,你只需要证明你是按照信息安全管理体系工作的,并且相应的流程和程序在公司中得到了稳定的实施。该评估由审核员进行,他也会使用文件来分配一个成熟度等级。

已经拥有ISO 27001认证的优势是什么?

如果你已经能够提供ISO 27001证书的证据,这当然是一个优势。如果只是因为 TISAX®你必须证明你已经实施了信息安全管理,而这两套规则的覆盖面是相似的。

汽车工业的数字化。汽车中的应用和数据数量正在爆炸性增长,随之而来的是信息安全的攻击面和破坏潜力也在增长。

但请注意:TISAX®审核范围的定义可能与 ISO 27001认证 所要求的定义不同。其基本概念并不完全相同。对于较大的组织,也可以考虑注册多个审核范围。

ISO 9001的 "流程定义 "是否与 TISAX®类似?

这个问题的答案是 "是"。原则上,相应的规则集中的过程的定义和结构总是相同的。TISAX®评估目录还非常具体地规定了哪些控制必须确定KPI,哪些不能。KPI的建立有实例支持,以确保汽车行业的信息安全。因此,看一下VDA ISA的调查问卷有助于初步了解情况。

在实施 TISAX®的过程中,是否建议设立IT安全官员?

负责引进 TISAX® 的人员并不是必须来自IT部门。但是,由于涉及到IT支持的流程,一些IT知识肯定是有利的。

我如何定义 TISAX® 的评估范围?

ENX提供了一个标准范围,被90%的 TISAX® 参与者所采用。默认范围是预先定义的,不能更改。如果您在准备评估的过程中发现标准范围不适合,您可以在某些情况下调整您的考试范围。在个别情况下,OEM可能需要扩大范围。但是,这些特殊情况很少,各OEM会与你详细讨论。通常情况下,标准范围是足够的。它是 TISAX®评估的基础,被所有参与者所接受。

whitepaper-dqs-tisax-assessment

TISAX:良好的规划促进良好的评估

您是否面临着满足汽车行业在信息安全方面的要求的任务?那么您应该在TISAX®评估之前做出一些重要的决定。我们的免费白皮书提供了指导。

良好的信息有助于良好的规划。现在阅读白皮书。

一个评估范围是否足以满足所有站点的需要?

一个包括所有站点的单一范围有其优点,但也有其缺点。

优点

  • 只有一个检查结果,一个检查报告,一个失效日期
  • 降低成本,因为中央流程、程序和资源只需要评估一次

缺点

  • 审核结果只有在所有站点都被评估后才能得到
  • 审核结果取决于所有站点是否通过审核,也就是说,如果只有一个站点没有通过审核,你将不会得到一个积极的审核结果。

对于有许多地点的公司来说,常规的 TISAX®评估程序可能相当广泛。在某些情况下,我们提供一个替代方案--"简化集团评估"(SGA)。简化集团评估是 TISAX®评估程序的一个特殊情况。如果符合要求,与常规的 TISAX®评估相比,它可以减少工作量。这种特殊的 TISAX®评估程序适用于至少有三个地点的公司和一个集中的、高度发达的信息安全管理系统(ISMS)。本附录描述了在哪些情况下您可以从简化的集团评估中获益,以及如何通过特殊评估程序。

评估范围是否可以被隔离,比如说隔离到 "安全关键员工"?

ENX对这个问题的回答是 TISAX® ,毫不含糊。所有接触到汽车行业敏感信息的员工都必须包括在范围内。这也可以是,例如,与客户的施工计划一起工作的机器操作员。你的公司必须为自己定义哪些员工参与了与信息安全有关的过程。

使用ENX,必须先提交 TISAX®审核的申请,然后才能选择审核供应商,这是真的吗?

是的,这是正确的。在您在线注册 www.enx.com/tisax/,并由ENX批准评估范围后,您会收到一份所有被批准的评估服务供应商的名单。但是,您也可以提前在ENX查看该名单。DQS被列为ENX的服务提供商,可以在世界各地进行评估。有关汽车行业信息安全的问题和答案,请不要犹豫,联系我们的专家。

如果成熟度太低,调查是否有意义?

如果你在自我评估中确定你的公司在信息安全方面还有待提高,那么评估请求暂时就没有意义了。建议你首先弥补已确定的差距,然后再考虑审计。

个人评估需要多长时间?

关于个别评估的持续时间,其答案取决于贵公司的规模和审核地点所涉及的旅行。对于一个普通的公司规模,2-3天的现场评估过程就足够了。

一个公司需要多长时间才能被认为获得认证?

整个 TISAX®审核过程最多需要九个月的时间。它从最初的审核开始,到最后的跟踪审核结束。如果评估过程不能在规定期限内完成,您将不会收到 TISAX®标签。

baretton-gerber-1-dqs

TISAX®评估

我们也很乐意在个人会议上回答您的问题。

无义务且免费。

现在开始联系

如果贵公司符合所有标准或只显示出轻微的不符合项,评估报告将提交给ENX。一旦报告被接受,您将收到您的(临时TISAX®标签。如果存在必须首先纠正的重大不符合项,则标签的有效期为不符合项被认为已被纠正的那一天

关于 TISAX®的问题和解答。什么是 TISAX®标签?

标签是评估过程的结果,概括了你的结果。它们之间有层次上的联系,这意味着如果你收到某个标签,你会自动收到 "下面 "的标签。这些标签只能在ENX门户网站上查看。它们的有效期通常为三年。

什么是主要和次要的不符合项?

主要不符合项是指不符合项使人对你的信息安全管理系统的整体有效性产生怀疑,或导致重大的信息安全风险。例如,如果需要双因素识别,但尚未实施,就属于这种情况。

例如,如果不符合项既没有质疑你的信息安全管理系统的整体有效性,也没有对汽车行业的信息安全构成重大风险,则存在轻微不符合项。例如,孤立的或零星的错误和实施缺陷。

我是否还需要提交个别措施的有效性证据?

答案是 "是的"。在你创建了你的措施目录并实施了这些措施之后,它们的有效性将得到验证。出于这个原因,认证程序还规定了九个月的期限。

如何才能 "提前 "确定雇员的数量?

具体说来。如果在与我们的客户签订合同后才可能雇用更多的员工,我怎样才能提前确定员工的确切人数?

雇员的分类范围 TISAX® 对员工数量的分类范围明显大于国际标准 ISO 27001因此,如果你知道大约有多少新员工将被雇用,你可以把自己放在一个适当的范围内。

为了遵守 TISAX®的规定,应该提供多少份文件?

在这里不可能做一个笼统的说明。这总是取决于贵公司的规模和活动。理论上,只要你有一个清晰的概述,你可以在一份文件中涵盖所有内容。然而,最好是创建几个涵盖相关主题的文件。

TISAX®会取代VDA原型保护吗?

由于 TISAX®包括一个单独的原型保护模块,它对各个标准的阐述比以前要详细得多,因此可以认为从长远来看,TISAX®将取代以前的汽车行业信息安全规则集。然而,目前,VDA原型保护的2018年3.0版仍然有效。

关于 TISAX®的问题和答案 - DQS能为我做什么?

DQS被ENX列为认可的审计服务提供商,可以在全球范围内进行评估。我们的许多TISAX®审核员也是国际标准 ISO 27001 的认可审核员,这意味着DQS可以同时对这两个标准进行评估,而且不需要额外的努力。我们的专家将很乐意回答您关于汽车行业信息安全的问题。我们期待着与您交流。

您有任何问题吗?

请联系我们!

没有义务,免费。

现在发送查询

专业知识和信任

我们的技术文章完全由我们的内部标准专家和长期审核员撰写。如果您对内容或我们的作者有任何疑问,请随时联系我们。

作者
霍尔格 薛梅根

TISAX® 和 VCS 产品经理、ISO/IEC 27001 审核员、拥有 30 多年经验的软件工程专家、信息安全副官。 Holger Schmeken 拥有商业信息学硕士学位,并具有德国关键基础设施 (KRITIS) 的扩展审计能力。

有任何问题吗?

我们在这里为你服务。
联系我们