明傲咨询在汽车零部件领域的可持续发展评估咨询项目做的比较多,如德国汽车普遍采用的SAQ和法国汽车通常采用的EcoVadis。最近服务过的老客户中,有好几家咨询我们TISAX-汽车行业可信信息安全评估交换认证,说是终端的汽车品牌要求他们做的。
其实信息安全属于商业道德范畴,商业道德又算在公司治理领域,这样来看,TISAX也算是ESG可持续发展里面的一个细分要求。坦白说,这个项目我们以前也没有特别留意过,为此,我们与TISAX授权认证的几家知名审核机构的对口经理进行了咨询,并通过网络收集,将TISAX认证相关详细介绍整理出来,供大家参考!
项目背景
该项目的大背景是,从零配件供应商、车联网运营服务商,到云厂商、高精地图厂商,甚至是保险公司等等汽车行业相关企业,都需要数据分析技术支持,特别是随着欧盟《通用数据保护条例》(简称GDPR)的生效,数据安全愈发受到重视。
从五年前“电动化、网联化、智能化、共享化”概念被首次提出,汽车行业开启了前所未有的、令人惊叹的变革。在变革浪潮中,汽车已逐渐摆脱其作为“交通工具”的单一设定,演化成如同手机般的智慧产品。据高盛研究部预计,自动驾驶汽车市场到2025年有望增长到960亿美元,并在2035年达到2900亿美元的规模。有数据显示,如今智能化汽车每天能产生20GB的数据,未来拥有更强自动驾驶能力的汽车,预计每秒就能产生10GB的数据。这意味着,从零配件供应商、车联网运营服务商,到云厂商、高精地图厂商,甚至是保险公司等等汽车行业相关企业,都需要数据分析技术支持,特别是随着欧盟《通用数据保护条例》(简称GDPR)的生效,数据安全愈发受到重视。
为了帮助主机厂确保其供应链的信息安全,2017年初,德国汽车工业协会(VDA)与ENX协会联合推出了可靠交换机制TISAX(Trusted Information Security Assessment Exchange可信信息安全评估交换),实现数字化汽车行业的信息安全可信评估。把受多数组织成员认可的信息安全评估流程 VDA ISA (Information Security Assessment) 之审核结果放上平台,供参与者在得到被审核者授权后做查询,是一个参考 ISO 27001、ISO 27002等标准规范所制定的信息安全评估结果的交换平台。同年起,该项评估的流程和标准开始成为强制性要求,在全球范围内,包括零部件厂商、外围服务供应商等在内的所有相关供应商,都被要求建立和维持基于行业互相的信息安全管理体系,并将通过与之对应级别的TISAX认证作为准入条件。如今,众多国内汽车配件公司都收到了主机厂要求通过TISAX认证的通知,纷纷着手准备该项认证。
ISA: 用于组织的内部控制要求, 接触组织敏感信息的供应商(服务商)的审核要求。
VDA:联合ENX推出成员组织认可的信息安全评估流程,将审核结果放在的授权平台上以供信息查询和交换。
ENX: 为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会
ENX协会:TISAX的监管和组织的角色。
由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。
通过监管“ENX治理三角”得到保证,包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。
关于TISAX认证最常见的几个问题
哪些企业需要进行TISAX认证?
TISAX认证适用于整个汽车行业增值链上的所有组织。随着数字化转型与行业生态的发展,跨界融合的趋势日益凸显。与此同时,信息安全问题全球化的态势,导致业内厂商对信息安全越来越重视。与此同时,随着虚拟化与云计算的应用,网上数据交互与协同办公已成为可能。事实上,大众集团已经向其供应商推行了KVS数据交互平台,其完整版已经具备协同开发设计的功能。因此,无论是原型设计与开发,还是数据安全,在信息化的条件下,信息安全已成为各大主机厂及其合作供应商的关切重点。因此,TISAX作为行业内信息安全的认证标准,已经从主机厂的一级供应商延伸到二级、三级供应商,从零部件供应商扩展到芯片等元器件供应商。所以,为满足市场与行业的要求,包括所有汽车制造商的供应商和服务提供商,以及处理相关公司敏感信息的供应商,都在积极申请获得TISAX认证。
在汽车行业中,TISAX认证能通用吗?
TISAX认证是唯一对汽车产业链进行信息安全认证的机制,其合作协会–德国汽车工业协会(VDA)有着深刻的行业认知。在汽车行业中,德系主机厂的要求最为严格,其他欧系、美系和国内厂商也在纷纷跟进。为了确保供应链的信息安全,很多德国主机厂都已强制要求其各个级别的供应商必须通过TISAX认证才能与他们交换数据,国内很多汽车配件公司也都收到了强制认证通知。事实上,大众、奥迪、以及雪铁龙集团早在2018年就已对其供应商明确提出”必须通过TISAX认证”的要求,奔驰、宝马等也纷纷跟进对供应商在取得TISAX认证方面的要求。
TISAX审核包括哪些内容?
TISAX审核的内容除了通用的信息安全(基于ISO/IEC 27001和27002)之外,根据客户与OEMs的业务合作特点,还可能包括原型保护、第三方连接、数据保护三个板块。按照客户获取、处理和存储的信息敏感度,其保护级别可以分为High(AL2)和Very High(AL3) 。需要注意的是,AL3、或带有原型保护的AL2、或带有第三方连接的AL2,均必须(对每个涉及的工作场所)进行现场审计。通常的审计方法包括人员访谈、现场检查、取证确认等 。
审计结论将严格按照VDA ISA成熟度级别的方法,采用成熟度得分来表示。每一项控制点的成熟度得分范围在0-5之间(可以包括不适用项),由审计方来评价。取得TISAX标签的前提是:需要达到规定的成熟度水平,并且没有任何偏差项(被审计方必须基于发现和偏差进行及时整改,并在规定时间内由审计方进行跟进评估和确认)。
获得TISAX认证对企业有什么用?
通常,TISAX认证都是来自于主机厂的强制要求,获得认证就是满足了外部需求方的直接要求,同时提升了员工安全意识和能力,无疑能为企业增强市场竞争力。而且,作为一项极具权威性的三方认证,TISAX认证是全行业包括个人客户都极为认可和推崇的,经过一次审核后,在三年有效期内,所有主机厂都可以查到审核信息,不必重复审核,在高认可度的情况下,还能避免多次检查,有效节省时间和管理成本。
TISAX评估流程包括哪些步骤?
TISAX评估流程主要分为下述这些,由主机厂确定评估级别,TISAX参与方(被审核方)需到ENX网站进行注册,然后通过由VDA/ENX授权认可的第三方机构执行审核,包括自评估、初步评估、改进计划和后续评估。整个评估过程最长不能超过9个月。如果在此规定时间内,没有完成评估流程,则必须重新申请评估流程。
TISAX审核等级如何划分?
审核等级分为AL1、AL2和AL3。AL1一般是自评,AL2和AL3需要第三方审核员对工厂进行现场审核,一般获得AL2和AL3才能够获得TISAX的认可。
TISAX审核后可获得哪些标签?
企业通过申请,通过几个,就将获得几个标签。可以同时发起申请,目前标签包括:2个信息安全标签(INFO HIGH,INFO VERY HIGH)、2个第三方连接标签(CON HIGH,CON VERY HIGH)、4个原型保护标签(PROTO PARTS,PROTO VEHICLES, TEST VEHICLES,EVENTS SHOOTINGS)。
关于TISAX认证,我们已与多家授权审核机构进行了详细沟通和确认,可依据企业要求推荐和选择合适的评估公司!
本文内容依据网络相关资料进行收集整理!