TISAX® 評估 - 汽車產業的資訊安全
所有 TISAX® 參與者之間的相互認可
對被稽核的服務提供商和供應商更有信心
每三年才進行一次 TISAX® 評估
通過參與 TISAX® 線上評估節省時間和成本
關於 TISAX® 評估的基本概要
此外,德國汽車工業協會(VDA)的負責機構已為 TISAX®(可信資訊安全評估交換)的聯合評估和交換機制創造了條件。TISAX® 是 ENX 協會的註冊商標。該協會由歐洲汽車製造商、汽車供應商和汽車協會組成,負責監督 TISAX® 評估的品質,並管控 TISAX® 稽核服務提供商的認可。現在已有超過 10,000 個地點按照 TISAX® 標準進行評估,使這一標準成為僅次於 ISO 27001 的全球第二大資訊安全評估規範。VDA 和 ENX 為此標準成立了國際工作組,以進一步發展 TISAX® 和 ISA 目錄的標準。同時,這也促進了與全球汽車行業的更緊密合作。隨著 TISAX 6.0 的更新推出,更新版的評估和交換程序已於 2023 年秋季發布。
TISAX® 2.2 - 2024 年 4 月 1 日起強制規範 - 過渡期注意事項
新 ISA 目錄 6.0 是 TISAX® 的一個重要里程碑。評估目錄針對稽核提供商的要求有進行了調整,這些要求在 TISAX® ACAR 2.2 規定中有定義。主要語言改為英語突顯了全球視角和為全球發展所做的共同努力。計劃進一步翻譯 TISAX VDA 6.0。
新ISA目錄 6.0 中的最重要變更包括:
安全方面標章的變更:- 信息安全標籤被可用性和保密性標籤取代。根據您在供應鏈中的角色,可用性或保密性或兩者皆可能與您相關。- 現有的“信息安全高”標籤將被“高可用性”和“高保密性”標籤取代。同樣,現有的“訊息安全非常高”標籤將被“非常高可用性”和“嚴格保密”標籤取代。- 兩個標籤都必須符合相同的一套基線要求。此外,每個標籤對於高和非常高保護需求有具體要求。評估過程由標籤驅動,考慮到您在供應鏈中的角色。因此,與您的客戶確認哪些標籤與您的角色相關是值得的。
加重聚焦在對供應鏈中資訊安全和 OT 系統的要求:- 供應鏈中的相關公司必須滿足“高可用性”或“非常高可用性”的要求。- 強調在 TISAX® 評估中生產和其他領域的操作技術(OT)系統。- 參考 IEC 62443-2-1 和新的 ISA 目錄要求以促進對 OT 的關注。- 包括工業通信和控制系統(IACS)。- 這一類別中的公司必須證明在開發和生產中對敏感數據的充分保護。- 許多要求與“高敏感性”或“非常高敏感性”重疊。- 供應鏈中不具高度相關性但被委託處理敏感訊息的公司必須證明這些資訊能夠得到充分保護。- “高保密性”或“嚴格保密”標籤用於選擇有助於這一保護目標的 TISAX® 要求。- 上述選擇性評估的主要目的是確保公司僅需滿足 ISA 目錄中與其角色相關的要求。
製造業廠商的新挑戰:- OT 系統必須接受類似於 TISAX® IT 系統的一般管理要求。- 因此,在資產管理中的 OT 需要識別其具體風險,分析潛在漏洞,由合格員工管理,並遵循符合 ISMS 的流程進行遠程維護和其他最佳管理實踐方案。
申請參與 TISAX® 對企業的好處有什麼?
- 可以避免不同客戶的重複和多次評估
- TISAX®參與者對資訊安全評估的跨公司認可
- 統一的VDA ISA測試目錄,結果具有可靠性
- 強化對有TISAX®標簽的受稽核公司的信任
當您順利通過評估後,您將在 TISAX® 線上平台上獲得 TISAX® 標章。這個標章類似於證書,旨在增強外界對您公司的信任,並證明了您在確保資訊安全方面所做的努力。
TISAX® 評估如何運作?
TISAX® 評估運作模式
在進行 TISAX® 評估之前,公司必須先明確定義評估的範疇。其中包括評估級別,這些級別規定了具體的評估要求。這些要求可能包括確保生產能力的 “可用性”,保障受託資訊的 “機密性”,或保護 “原型零件” 和 “個人資料” 的安全。這些基本標準適用於範疇內的所有場所。
TISAX® 稽核的結果將記錄在中期報告中,如果發現不符合之處,將商定需實施的措施,如有必要,這些措施的實施將在商定的期限內完成。此程序確保所有識別出的問題能夠得到有效且及時的解決。
一旦不符合項目被解決,將進行有效性審核,以驗證不符合項目的結案情況,並評估所採取的矯正措施的整體有效性。
最終結果將在線上 ENX® 平台網站發布。您的公司隨後將被視為 TISAX® 程序的參與者被列出,並獲得相應的測試標籤。與其他認證不同的是,TISAX® 並不頒發證書。
TISAX® 評估的費用是多少?
例如,保護目標可能涉及您是否希望將原型保護或數據保護等主題納入評估範疇。如果您希望參與 TISAX® 評估,請盡早與 DQS - 經 ENX® 核可的稽核服務供應商 - 進行溝通,這是我們唯一能夠更精確計算評估範疇並為您的 TISAX® 認證提供報價的程序。
DQS 能提供您的價值
- 超過 35 年的管理系統和流程的驗證經驗
- 具有國際認可度的標章
- 來自 DQS 的稽核專家在國內和國際上提供個人化、平穩的支援
- 具有彈性合約條款的個別化報價,沒有隱藏費用
TISAX® 評估
DQS 集團是註冊的 TISAX® 參與會員,並已經通過了「高度資訊安全」標籤的 TISAX® 評估,評估等級為 3 級。TISAX® 評估由 ENX 認證的評估服務提供商進行,TISAX® 評估結果不對公眾開放,DQS 集團的評估結果可通過 ENX 門戶網站 https://portal.enx.com/ 提供給註冊參與者。