汽车行业的信息安全

您是汽车行业的供应商或服务提供商吗?那么今后您只需每三年提供一次客户提供给您的敏感信息的安全证明--作为TISAX®程序的参与者,通过相应的评估。该程序适用于所有行业,并定义了对贵公司的信息安全要求。

所有TISAX®参与者之间的相互认可

供应商和服务提供商对您的受审核公司取得更大的信任

TISAX®认证的评估工作每三年才进行一次

通过参与TISAX®网络节省时间和成本

Beschreibung Standard/Regelwerk
Loading...

关于TISAX®评估的基本信息

TISAX®是一个针对汽车行业的通用评估和交流程序。它基于VDA "信息安全 "工作组开发的调查问卷(ISA--信息安全评估),该问卷又基于国际标准ISO/IEC 27001的关键方面,并被扩展到包括一个成熟度模型。

此外,德国汽车工业协会(VDA)的负责机构已经为建立名为TISAX®(可信的信息安全评估交换)的联合评估和交换机制创造了条件。TISAX®是ENX协会的一个注册商标。该协会由欧洲汽车制造商、汽车供应商和汽车协会组成,负责监督TISAX®评估的质量,并控制TISAX®审核服务提供商的审批。

显示更多
显示更少
Zielgruppe
Loading...

为什么TISAX®评估对我的公司有用?

作为汽车行业的服务提供商或供应商,您需要向您的客户证明您遵守了信息安全要求。到目前为止,这些评估主要是由制造商自己进行的。TISAX®网络的注册参与者现在可以通过一个共同的在线平台选择一个审核服务提供商,并要求进行评估。这对公司来说是利大于弊的。

  • 可以避免不同客户的重复和多次评估
  • 对TISAX®参与者的信息安全评估进行跨公司认可
  • 由于采用了统一的VDA ISA测试目录,结果具有可靠性
  • 加强对带有TISAX®标签的受审核公司的信任
显示更多
显示更少
Mehrwert
Loading...

TISAX®的要求是什么?

TISAX®评估和交换程序包含VDA信息安全评估(ISA)的要求。这份关于汽车行业信息安全的调查问卷是由VDA工作组制定的。然而,TISAX®也是基于ISO 27001(信息安全管理系统)的基本要求。

特定行业的VDA ISA目录从2022年开始有了5.1版本。自2022年1月起,该版本对所有TISAX®的审计都是强制性的。国际和跨行业的信息安全标准ISO 27001的要求,反过来也有助于企业超越IT技术系统的保护,即所有企业资产的保护。

显示更多
显示更少
Technology25.png
Loading...

TISAX®是如何运作的?

在TISAX®中,参与者可以扮演两个不同的角色:"信息消费者"(被动),例如,一个制造商希望收到关于供应商的信息,而 "信息贡献者"(主动),例如,零部件供应商或服务提供商,他们希望被审核是否合适,以便接受制造商的订单。

一个公司也可以同时承担两个参与者的角色。任何希望作为信息贡献者参与TISAX®的人必须采取以下四个主要步骤。

  • 1.在网上注册:www.enx.com/TISAX
  • 2.选择一个ENX认可的审核服务提供商,如DQS
  • 3.接受TISAX®评估
  • 4.在TISAX®在线平台上交流审核结果。
显示更多
显示更少
Banking13.png
Loading...

ENX 的 TISAX 参与付款模式

a) 基于评估的费用付款模式 (默认)

  • 标准模型涵盖了与参与者的 TISAX 评估范围注册相关的所有费用;
  • 这是每个地点每个TISAX 评估范围在评估有效期内的一次性收费(多场地如有折扣系统会自动计算);
  • 如果参与者拥有并分享有效的 TISAX 评估,则它可以看到其他参与者的评估结果;
  • 要注册 20 个或更多地点和/或多个不同范围,参与者应当联系 ENX 以检查基于参与的收费 (“PBC”)模型的适用性。


b) 参与式收费支付模式(可选)

  • 参与者可以用年费方式注册任意数量的 TISAX 评估范围和地点;
  • 如要注册 PBC 模型,参与者需联系 ENX;
  • 参与者如果没有共享有效的 TISAX 评估结果,需要进行单独的适用性检查才能查看其他参与者的评估结果。

评审级别

  • AL2    -  远程合理性检查
  • AL2.5 -  远程全面审核   (获取AL2的标签)
  • AL3    -  现场全面审核
显示更多
显示更少
Business2.png
Loading...

评审范围

1. 标准范围

  • 标准范围描述是预定义的、强烈推荐的,并且通常被所有参与者接受。
  • 这是标准范围描述:
    标准范围包括以下定义的站点中的所有流程和相关资源,这些站点受汽车行业合作伙伴的安全要求约束。涉及的过程和资源包括信息的收集、信息的存储和信息的处理。
  • 涉及资源的示例:
    工作设备、员工、IT 系统,包括基础设施/平台/软件即服务等云服务、物理站点、相关承包商。
  • 场地示例:
    办公场所、开发场所、生产场所、数据中心。

2. 自定义范围

2.1 扩展范围

  • 如果您想将 TISAX 评估用于内部目的或汽车行业之外,则可能需要扩大范围;
  • 扩展范围始终包括标准范围并将接收 TISAX 标签;
  • 参与者需要编写自己的自定义范围描述。

2.2 缩小范围

  • 缩小范围不接收 TISAX 标签;
  • 参与者可以分享没有 TISAX 标签的评估结果;
  • 其他 TISAX 参与者一般不接受缩小范围的评估结果;
  • 参与者需要编写自己的自定义范围描述;
  • 缩小范围的示例:
    用于履行 XXX 公司服务的数据中心部分的物理安全、资源和流程。

3. 多场地一个范围

一个范围可以包含多个场地,包括一份评审报告、一份评审结果和一个到期日期。

评审目标

根据代表其合作伙伴处理数据的类型,参与者应从 8 个 TISAX 评审目标中选择一个或多个:

  1. 具有高保护需求的信息(信息高)
            -  "保密", 或
            -  "高可用性"
  2. 具有非常高保护需求的信息(信息非常高)
            -  "高度保密", 或
            -  "非常高可用性"
  3. 原型零部件(Proto parts)的保护
  4. 保护原型车(原型车)
  5. 测试车辆的处理(测试车辆)
  6. 在活动和电影或照片拍摄期间保护原型(活动 + 拍摄)
  7. 数据保护(数据)
      根据 (GDPR) 第 28 条(“处理者”)
  8. 特殊类别个人数据的数据保护(特殊数据)
      根据 GDPR 第 9 条规定的特殊类别个人数据的第 28 条(“处理方”)


注:

  • 每个评审目标都与 ISA 的标准目录相关联;
  • 评审目标与同名的 TISAX 标签相关联;
  • “信息量大”是 TISAX 评审的最低目标;
  • 根据正在处理的信息,参与者可能必须添加进一步的评审目标;
  • “信息高”或“信息非常高”是其他评审目标的基础;
  • 我们强烈建议您在决定评审目标之前咨询您的合作伙伴/客户;
  • 合作伙伴/客户可以要求参与者获得具有特定“评审级别”(AL)的评审。
显示更多
显示更少
Business28.png
Loading...

TISAX®评估是如何进行的?

评估范围和评估级别的要求必须由您事先定义,例如 "有或没有原型保护"。

作为TISAX®的参与者,您必须首先在网上注册,之后由ENX分配范围ID(需要支付年度服务费)。

在第一步,你可以选择ENX批准的DQS 作为您的审核服务商。

在第二步中,包括:

  • 启动会议,
  • 文件审查(审阅组织的自我评估报告),和
  • 评审(第2级:远程,第3级:现场)。

请注意:
在第2级评估中,有一种替代方法进行评估。你的审核服务供应商不是进行可信度检查,而是进行全面的远程评估。这种方法有时被称为 "评估2.5级"。评估级别2.5的优点是,该方法在方法上与评估级别3兼容。因此,可以在以后以可控的努力升级到完整的第三级评估考试。

审核的结果记录在一份临时报告中。如果出现不符合要求的情况,将商定要实施的措施。如有必要,将在商定的时间内确定措施的实施。

在关闭不符合项后,通过审核的方式进行有效性检查。

最终报告会在ENX®门户网站上公布。这将把你的公司列为参与者,并贴上相应的审核标签。

自2018年以来,DQS已为大量客户提供了 TISAX 审核,例如:

Samsung、Bosch、KPMG、DHL、Verizon、Valeo、Dell、Fischer、Hyundai、NTT、LG、Mobis、Yazaki、Delphi 等。

Banking13.png
Loading...

TISAX®的评估费用是多少?

两个重要因素

有两个重要因素影响着整个评估的范围,从而影响着费用。评估可以在扩展范围、标准范围或限制范围的基础上进行。您对范围的决定应该有充分的准备,并由所期望的保护目标决定,同时也由您公司的规模决定。

例如,保护目标是指你是否想在评估中包括原型保护或数据保护等主题。如果您想参与TISAX®程序,请尽早与DQS--您认可的审核服务供应商进行沟通。只有这样,我们才能确定评估范围的正确计算方法,并为您提供一份可靠的TISAX®认证费用报价。

显示更多
显示更少

您可以从我们这里得到什么

  • DQS是ENX协会认可的审核服务提供商
  • 对您的组织中的信息安全有增值的洞察力
  • 对汽车行业的所有相关法规进行认证
  • 具有行业经验的审核师和领域内的专家
  • 超过35年的管理体系和流程认证经验
  • 具有国际认可的证书
  • 我们的专家在地区、国家和国际范围内提供个人的、顺利的支持
  • 具有灵活合同条款的个性化报价,没有隐性费用
显示更多
显示更少
Contact-middle-east-woman-shutterstock_1461128441.jpg
Loading...

要求报价

您的当地联系人

我们很乐意为您提供TISAX程序的定制报价。