TISAX® 汽車可信資訊安全評估交換認證

TISAX® 評估 - 汽車產業的資訊安全

您的企業是汽車產業的下游服務供應商嗎？依照國際商業對於資安議題的發展趨勢，今後貴公司需要證明您的產品可用性或您所接收的敏感訊息的安全性，同時，您還需要提供正確處理原型的相關證明。作為一個 TISAX® 評估的參與者，通過相對應的評估，只需每三年進行一次。此評估程序適用於所有跟車載相關的產業，此標準也清楚定義了貴公司在資訊安全方面的要求。

所有 TISAX® 參與者之間的相互認可

對被稽核的服務提供商和供應商更有信心

每三年才進行一次 TISAX® 評估

通過參與 TISAX® 線上評估節省時間和成本

關於 TISAX® 評估的基本概要

TISAX® 是汽車產業的通用資安評估和交換程序。它是基於 VDA "資訊安全 "工作組開發的調查問卷（ISA--資訊安全評估協會），該問卷基於國際標準 ISO/IEC 27001 的關鍵點，也已經擴展到涵蓋成熟度模型。此外，ISA 也引用了 ISO/SAE 62443-2-1 標準，該標準適用於工業控制系統（IACS）和操作技術（OT）的自動化和監控，用於工業生產設施。

此外，德國汽車工業協會（VDA）的負責機構已為 TISAX®（可信資訊安全評估交換）的聯合評估和交換機制創造了條件。TISAX® 是 ENX 協會的註冊商標。該協會由歐洲汽車製造商、汽車供應商和汽車協會組成，負責監督 TISAX® 評估的品質，並管控 TISAX® 稽核服務提供商的認可。現在已有超過 10,000 個地點按照 TISAX® 標準進行評估，使這一標準成為僅次於 ISO 27001 的全球第二大資訊安全評估規範。VDA 和 ENX 為此標準成立了國際工作組，以進一步發展 TISAX® 和 ISA 目錄的標準。同時，這也促進了與全球汽車行業的更緊密合作。隨著 TISAX 6.0 的更新推出，更新版的評估和交換程序已於 2023 年秋季發布。

較少顯示

TISAX® 2.2 - 2024 年 4 月 1 日起強制規範 - 過渡期注意事項

在 2024 年 3 月 31 日之前所委託申請的 TISAX® 評估可以根據舊的 ISA 5.1 版本進行。自 2024 年 4 月 1 日起委託的初次或重新評估將完全按照新的 TISAX® 程序，依據 ISA 6.0 目錄進行。有賴於目前仍正在進行的稽核活動，例如改善計劃評估、後續評估、範圍擴展評估或簡化的團體持續評估階段，將繼續根據原始稽核所使用的版本進行。

關於新ISA 6.0的主要變更資訊，請參閱我們的部落格文章 “新ISA目錄6.0”。

新 ISA 目錄 6.0 是 TISAX® 的一個重要里程碑。評估目錄針對稽核提供商的要求有進行了調整，這些要求在 TISAX® ACAR 2.2 規定中有定義。主要語言改為英語突顯了全球視角和為全球發展所做的共同努力。計劃進一步翻譯 TISAX VDA 6.0。

新ISA目錄 6.0 中的最重要變更包括：

安全方面標章的變更：- 信息安全標籤被可用性和保密性標籤取代。根據您在供應鏈中的角色，可用性或保密性或兩者皆可能與您相關。- 現有的“信息安全高”標籤將被“高可用性”和“高保密性”標籤取代。同樣，現有的“訊息安全非常高”標籤將被“非常高可用性”和“嚴格保密”標籤取代。- 兩個標籤都必須符合相同的一套基線要求。此外，每個標籤對於高和非常高保護需求有具體要求。評估過程由標籤驅動，考慮到您在供應鏈中的角色。因此，與您的客戶確認哪些標籤與您的角色相關是值得的。

加重聚焦在對供應鏈中資訊安全和 OT 系統的要求：- 供應鏈中的相關公司必須滿足“高可用性”或“非常高可用性”的要求。- 強調在 TISAX® 評估中生產和其他領域的操作技術（OT）系統。- 參考 IEC 62443-2-1 和新的 ISA 目錄要求以促進對 OT 的關注。- 包括工業通信和控制系統（IACS）。- 這一類別中的公司必須證明在開發和生產中對敏感數據的充分保護。- 許多要求與“高敏感性”或“非常高敏感性”重疊。- 供應鏈中不具高度相關性但被委託處理敏感訊息的公司必須證明這些資訊能夠得到充分保護。- “高保密性”或“嚴格保密”標籤用於選擇有助於這一保護目標的 TISAX® 要求。- 上述選擇性評估的主要目的是確保公司僅需滿足 ISA 目錄中與其角色相關的要求。

製造業廠商的新挑戰：- OT 系統必須接受類似於 TISAX® IT 系統的一般管理要求。- 因此，在資產管理中的 OT 需要識別其具體風險，分析潛在漏洞，由合格員工管理，並遵循符合 ISMS 的流程進行遠程維護和其他最佳管理實踐方案。

較少顯示

申請參與 TISAX® 對企業的好處有什麼？

作為汽車產業的服務提供商或供應商，貴公司需要向客戶證明已遵守了資訊安全要求。到目前為止，這些評估主要是由製造商自己進行的。TISAX®網路的註冊參與者現在可以透過一個共同的線上平台選擇稽核服務提供商，並要求進行評估。對公司來說是利大於弊的。

可以避免不同客戶的重複和多次評估
TISAX®參與者對資訊安全評估的跨公司認可
統一的VDA ISA測試目錄，結果具有可靠性
強化對有TISAX®標簽的受稽核公司的信任

當您順利通過評估後，您將在 TISAX® 線上平台上獲得 TISAX® 標章。這個標章類似於證書，旨在增強外界對您公司的信任，並證明了您在確保資訊安全方面所做的努力。

較少顯示

TISAX® 評估如何運作？

在 TISAX® 評估程序中，參與者可以擔任兩種不同的角色：“資訊消費者”（被動角色），例如希望獲取供應商資訊的製造商；以及“資訊貢獻者”（主動角色），例如希望通過稽核以獲得製造商訂單的零件供應商或服務提供商。

一家公司也可以同時擔任這兩種角色。任何希望作為“資訊貢獻者”參與 TISAX® 的企業，必須完成以下四個主要步驟：

在 www.enx.com/TISAX 進行在線註冊
選擇一個經 ENX 認可的稽核服務提供商，如DQS
接受 TISAX® 評估
在 TISAX® 在線平台上交換稽核結果

如果有公司對您的 TISAX® 結果感興趣，它可以以 “資訊消費者” 的身份向 ENX 註冊。您可以針對每一個吃訓消費者決定是否與他們分享您的當前 TISAX® 狀態。

TISAX® 評估運作模式

在進行 TISAX® 評估之前，公司必須先明確定義評估的範疇。其中包括評估級別，這些級別規定了具體的評估要求。這些要求可能包括確保生產能力的 “可用性”，保障受託資訊的 “機密性”，或保護 “原型零件” 和 “個人資料” 的安全。這些基本標準適用於範疇內的所有場所。

TISAX® 稽核的結果將記錄在中期報告中，如果發現不符合之處，將商定需實施的措施，如有必要，這些措施的實施將在商定的期限內完成。此程序確保所有識別出的問題能夠得到有效且及時的解決。

一旦不符合項目被解決，將進行有效性審核，以驗證不符合項目的結案情況，並評估所採取的矯正措施的整體有效性。

最終結果將在線上 ENX® 平台網站發布。您的公司隨後將被視為 TISAX® 程序的參與者被列出，並獲得相應的測試標籤。與其他認證不同的是，TISAX® 並不頒發證書。

TISAX® 評估的費用是多少？

有兩個重要因素會影響整個評估的範疇，進而影響成本。評估可以基於擴展範疇、標準範疇或限制範疇進行，您在選擇範疇時應做好充分準備，這不僅取決於所希望達成的保護目標，還取決於公司的規模。

例如，保護目標可能涉及您是否希望將原型保護或數據保護等主題納入評估範疇。如果您希望參與 TISAX® 評估，請盡早與 DQS - 經 ENX® 核可的稽核服務供應商 - 進行溝通，這是我們唯一能夠更精確計算評估範疇並為您的 TISAX® 認證提供報價的程序。

較少顯示

DQS 能提供您的價值

DQS 是 ENX® 協會認可的稽核服務提供商
對您企業組織的資訊安全提供具有高附加價值的洞察觀點
汽車產業所有相關法規的認證專業能力
具有多年產業經驗的稽核員和領域內的專家

超過 35 年的管理系統和流程的驗證經驗
具有國際認可度的標章
來自 DQS 的稽核專家在國內和國際上提供個人化、平穩的支援
具有彈性合約條款的個別化報價，沒有隱藏費用

較少顯示

TISAX® 評估

DQS 集團是註冊的 TISAX® 參與會員，並已經通過了「高度資訊安全」標籤的 TISAX® 評估，評估等級為 3 級。TISAX® 評估由 ENX 認證的評估服務提供商進行，TISAX® 評估結果不對公眾開放，DQS 集團的評估結果可通過 ENX 門戶網站 https://portal.enx.com/ 提供給註冊參與者。

下載 TISAX 評估結果