您的公司是否必須提供依照 "VDA資訊安全評估"(VDA ISA) 所要求的憑證的資訊安全證明?
我們來自德國集團總部的驗證標準專家 Holger Schmeken 解答了所有有關 TISAX® -- 汽車產業的聯合測試和交換流程的重要問題。受此影響的公司範圍可能比最初預期的要大。除了典型的一級供應商之外,其他子級別的供應商以及資料處理或廣告領域的服務提供商也越來越需要 TISAX® 驗證,廣義來說包含了汽車產業的合作夥伴與企業。
您的公司是否必須提供依照 "VDA資訊安全評估"(VDA ISA) 所要求的憑證的資訊安全證明?
我們來自德國集團總部的驗證標準專家 Holger Schmeken 解答了所有有關 TISAX® -- 汽車產業的聯合測試和交換流程的重要問題。受此影響的公司範圍可能比最初預期的要大。除了典型的一級供應商之外,其他子級別的供應商以及資料處理或廣告領域的服務提供商也越來越需要 TISAX® 驗證,廣義來說包含了汽車產業的合作夥伴與企業。
TISAX® - Trusted Information Security Assessment eXchange
TISAX®是汽車產業的一個共同評估和交流程序。它基於VDA "資訊安全 "工作組開發的資訊安全問卷(ISA--資訊安全評估),該問卷首先被德國汽車工業協會(VDA)的成員公司用於對其公司處理敏感資訊的供應商和服務提供商進行稽核。VDA ISA調查問卷的5.1版本已於2022年開始使用。自 2022 年 1 月起,該版本已成為所有新 TISAX® 評估的強制性要求。對於用戶和稽核員來說,使用新的 TISAX® 5.1 稽核目錄現在應該更容易、更高效率。
VDA ISA 問卷 5.1 版自 2022 年起推出。自 2022 年 1 月以來,該版本已成為所有新 TISAX® 評估的強制性要求。使用新的 TISAX® 5.1 審計目錄現在應該更容易、更高效——對於用戶和審計員來說都是如此
此外,TISAX®是根據國際公認的資訊安全標準的基本要求:ISO 27001。它適用於所有產業,並定義了確保公司內部資訊安全的要求、規則和方法。在其要求中,該標準除了對IT技術系統的保護之外,還包括了所有值得保護的企業資產,例如:場所、安全控制和檔案。換句話說。ISO 27001確保了對組織有價值的所有資訊的保護。
您是否面臨符合汽車產業資訊安全要求的任務? 那麼您應該在評估 TISAX® 之前做出一些重要的決定。 DQS 針對你們的需求製作了免費白皮書來提供你進行 TISAX 之前的評估指導方針。
TISAX® 是ENX協會 的註冊商標,總部設在法蘭克福和巴黎。作為一個中立機構,它被委托執行項目 TISAX® 項目。ENX 成立於2000年,是由歐洲汽車製造商、供應商和包括VDA在內的四個國家汽車公會組成的協會。ENX 協會監控實施的品質,並按照嚴格的程序審查核准提供評估服務的供應商。DQS 被 ENX 列為核可的稽核服務供應商,可以在全球範圍內進行評估。我們的稽核專家具備所有專業知識以隨時回答您所有的問題。
為了實現驗證過程中所有相關參與者對評估的一致認可,ENX 與所有被核准的稽核服務供應商以及 TISAX® 網路參與者均簽訂了相對應的合約。通過標準化和品質監控,ENX 實現了所有參與者對評估結果的共同認可。避免了不必要的重複和多次評估。
TISAX®根據所需的保護,區分了三個評估級別(保護要求):正常(1級)、高(2級)和非常高(3級)。稽核方法和稽核強度取決於此。
等級1:沒有合理性檢查的自我評估,通常僅用於內部目的。這些評估結果意義有限,不用於TISAX®。
等級2:由稽核服務提供商(如DQS)對 貴公司的自我評估進行合理性檢查。這些資訊安全稽核通常以電話會議的方式進行,而不是以現場稽核的方式--除非其中有原型保護稽核目標適用或 貴公司明確要求這樣做。
另一種方法是在評估等級 2 中進行評估。您的稽核服務商會進行完整的遠程測試,而不是進行合理性檢查。 這種方法有時被稱為“評估等級 2.5”。 優點是在方法上與評估等級 3 兼容。因此,可以在以後透過可控管的方式升級到完整的評估等級 3 。
等級3: 由稽核服務提供商透過深入、全面的現場稽核對 貴公司的自我評估進行合理性檢查。
這個問題的答案取決於 貴公司的背景:是否需要實施TISAX®取決於 貴公司的OEM(原始設備製造商),或者他們是否要求 貴公司提供此資訊安全證明。除非汽車製造商特別找 貴公司,或者 貴公司看到T&C有變化,否則建議觀望一下。過去,在必要時,OEM會與公司連絡提出進一步合作的要求。然而,您當然可以主動向汽車產業的合作夥伴詢問。
憑藉著DQS 的 ISO 27001 驗證,汽車供應商 Mubea 成功地在十個歐洲國家實現了資訊安全標準化,從而在競爭中脫穎而出。
如今,對資訊安全主題採取積極主動的方法是非常有意義的,而且不僅是對汽車產業的供應商。如果 貴公司的原始設備製造商沒有(尚未)指定應取得哪種TISAX®標籤,那麼取得3級(評估等級3:非常高的資訊安全)是一個好主意。這樣一來,貴公司就為未來的所有需求做好了準備,而無須重複工作。另外,全球公認的ISO/IEC 27001標準提供了良好的、跨行業的資訊安全介紹。
全球公認的 ISO/IEC 27001 標準為資訊安全提供了良好的跨行業介紹。 該標準的修訂版於 2022 年10月25日發佈。
符合ISO標準的整體管理系統 ★有效實施風險管理流程 ★持續改善安全水準
TISAX®評估目錄源自國際標準ISO 27001,並借鑑了其中定義的 "控制"(措施)。它們描述了如何實施各個要求(必須,應該),如何確保流程以及可以使用哪些工具。這兩個標準之間的一個關鍵區別是,TISAX®要求達到一定的成熟度水準。
這個問題的答案是:不。因為沒有要求必須先取得符合ISO 27001驗證的資訊安全管理系統。對於TISAX®的評估,貴公司只需要證明是按照資訊安全管理系統工作,並且相對應的流程和程序在公司中穩定的實施。該評估由稽核員執行,還會使用文件來指定成熟度等級。
如果 貴公司已經能夠提供ISO 27001證書,這當然是一個優勢。因為對於TISAX®來說,貴公司必須證明已經實施了資訊安全管理,而這兩套規則有相似的涵蓋範圍。
"汽車產業的數字化:汽車中的應用程式和資料量正爆炸性增長,隨之而來的是資訊安全的攻擊面和破壞潛力也在增長。"
但請注意:TISAX®稽核範圍的定義可能與ISO 27001驗證所要求的定義不同。其基本概念並不完全相同。對於大型組織,也可以考慮註冊多個稽核範圍。
這個問題的答案: "是"。原則上,相應規則集中流程的定義和結構總是相同的。TISAX®的評估目錄也非常明確地規定了哪些控制必須確定KPI,哪些不可以。KPI的建立有實例支持,以確保汽車產業的資訊安全。因此,查看VDA ISA的調查問卷有助於初步了解情況。
並不強制要求負責導入TISAX® 的人員必須來自IT部門。但是,由於關係到IT支持的流程,有一些IT知識是有利的。
ENX提供了一個標準範圍,被90%的TISAX®參與者所採用。默認範圍是預先定義的,不能更改。如果 貴公司在準備評估的過程中發現標準範圍不適合,貴公司可以在某些情況下調整檢查範圍。在個別情況下,原始設備製造商可能需要擴大範圍。但是,這些特殊情況很少見且各OEM會與 貴公司詳細討論。通常情況下,標準範圍就足夠了。它是TISAX®評估的基礎,並被所有參與者接受。
您是否面臨符合汽車產業資訊安全要求的任務? 那麼您應該在 TISAX® 評估之前做出一些重要的決定。 我們的免費白皮書提供指導。
一個包括所有場地的單一範圍有其優點,但也有其缺點。
對於擁有多個地點的公司,常規的 TISAX® 評估程序可能非常廣泛。 在某些情況下,我們提供了另一種選擇——“簡化的小組評估”(SGA)。 簡化的小組評估是 TISAX® 評估程序的一個特例。 如果符合要求,與常規 TISAX® 評估相比,它可能會減少工作量。 這種特殊的 TISAX® 評估程序適用於至少擁有三個地點和一個集中的、高成熟度的資訊安全管理系統 (ISMS) 的公司。 本附錄描述了在哪些情況下可以從簡化的小組評估中受益,以及如何通過特殊評估流程。
ENX對TISAX® 這一問題有明確的回答:所有接觸到汽車產業敏感資訊的員工都必須納入評估範圍。例如,這也可以是從事客戶施工計劃的機器操作員。貴公司必須自行定義哪些員工參與了與資訊安全有關的流程。
是的,沒錯。貴公司網路註冊 www.enx.com/tisax/ 並由ENX核准評估範圍後,會收到一份獲得核准的所有評估服務供應商的名單。但是,貴公司也可以在ENX提前查看這項名單。DQS被列為ENX的服務提供商,可以在世界各地進行評估。有關汽車產業資訊安全的問題和答案,請不要猶豫,聯系我們的專家。
如果 貴公司在自我評估中確定公司在資訊安全方面還有待提高,那麼評估請求暫時就沒有意義了。建議首先彌補已確定的差距,然後再考慮稽核。
關於個別評估的持續時間,其答案取決於 貴公司的規模和稽核地點及差旅時間。對於一個普通的公司規模,2~3天的現場評估就足夠了。
整個TISAX®稽核過程最多需要九個月的時間。從最初的稽核開始,到最後的追蹤稽核結束。如果無法在規定期限內完成評估,貴公司將不會收到TISAX®標籤。
我們很樂意另外安排時間進行單獨的會議,並在會議上回答您所有的問題。
過程免費且無需簽訂任何合約
如果 貴公司符合所有標準或僅有輕微的不符合項目,則評估報告將提交給ENX。一旦報告被接受,貴公司將收到(臨時)TISAX®標籤。如果有重大不符合項目必須先行改善,則標籤的有效期則從不符合項目被確認改善的當天為起始日。
標籤是評估過後並概括總結的結果。它們按照各層級之間有互相關聯。這意味著如果 貴公司收到某個標籤,也會自動收到隸屬它"之下"的標籤。這些標籤只能在ENX網站上查看。它們的有效期通常為三年。
主要不符合項目是指不符合項目會對 貴公司的資訊安全管理系統的整體有效性產生疑慮,或當它導致重大的資訊安全風險時。例如,如果要求兩項鑑別因素但卻尚未實施,就屬於這種情況。
例如,如果不符合項目不會對 貴公司的資訊安全管理系統的整體有效性產生疑慮,也沒有對汽車產業的資訊安全構成重大風險,則是輕微不符合項目。例如,獨立或零星的錯誤和實施缺失。
答案是 "是的"。在創建並實施了這些措施之後,將驗證它們的有效性。出於這個原因,驗證程序還規定了九個月的期限。
在此無法有一個概括的說明。這取決於 貴公司的規模和活動。理論上,只要 貴公司有一個清晰的概要,就可以在一份文件中涵蓋所有內容。然而,最好是建立多個涵蓋相關主題的文件。。
由於TISAX®包含一個單獨的原型保護模組,其中對各個標準的闡述比以前要詳細得多,因此可以假設從長遠來看,TISAX®將取代以前的汽車產業資訊安全規則集。然而,目前2018年VDA原型保護3.0版仍然有效。
歡迎聯絡我們諮詢
過程完全免費且無需簽訂任何合約
我們的技術文章完全由我們的內部標準專家和資深稽核員撰寫。如果您針對內容或我們的作者有任何疑問,歡迎隨時聯絡我們。
在DQS擔任資訊安全管理的product manager。作為資訊安全和IT安全目錄(關鍵基礎設施)領域的標準專家,André Säckel負責以下標準和產業特定標準等。ISO 27001、ISIS12、ISO 20000-1、KRITIS和TISAX(汽車產業的資訊安全)。他也是ISO/IEC JTC 1/SC 27/WG 1工作組的成員,作為德國標準化研究所DIN的國家代表。