贯标集团-北京汽车行业如何依据TISAX加强信息安全内部管理并通过认证

一、什么是TISAX

       VDA和ENX联合为VDAISA创建TISAX（TrustedInformation SecurityAssessmentExchange）:信息安全的评估和交换机制，可以实现汽车行业信息安全评估的相互认可，并提供通用的评估和交换机制。

ISA: 用于组织的内部控制要求，接触组织敏感信息的供应商（服务商）的审核要求。

VDA联合ENX推出成员组织认可的信息安全评估流程，将审核结果放在的授权平台上以供信息查询和交换。

ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会。

ENX协会：TISAX的监管和组织的角色。

      由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。

通过监管“ENX治理三角”得到保证，包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。

二、TISAX由来

（一）事件驱动：

1. 2018年度信息安全事件频频发生：来自UpGuard 安全团队的研究员Chris Vickery在网上发现了汽车供应商LevelOne的不安全数据库，数据库包括将近47000份文件，涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料（如合同、发票、工作计划等）。

2. 小鹏汽车员工遭FBI逮捕，指控窃取苹果公司无人驾驶商业机密。

（二）监管驱动：

1. 欧盟《一般数据保护条例》（GeneralDataProtectionRegulation，简称GDPR）在2018年5月25日生效，政府和企业越来越意识到信息安全至关重要，未来是信息化时代，信息安全至关重要。

2. 在这样的背景下，德国汽车工业联合会(VDA)信息安全要求(ISA— InformationSecurityAssessment)的升级版，TISAX已于2017年底“重磅”推出。

三、TISAX架构模型

      TISAX主要包含体系策划、原型保护、对供应商的要求及数据保护四个模块，在每个模块下都设有不同的安全控制点，共计85项。这些安全控制点涉及到ISO/IEC27001、ISO/IEC27002和ISO/IEC27017等标准，对于所有的控制点来讲，均会予以成熟度的评估工作。

四、TISAX实施现状

     据不完全统计自TISAX发布后，在德国，大众、奥迪等多家厂商已开始要求其供应商必须通过TISAX才能够与其进行数据交换，2018年度向中国进行推广，目前各大汽车公司正处于准备阶段，对于各大汽车行业供应商来讲，通过TISAX认证已是刻不容缓。

五、如何依据TISAX建立管理体系并通过认证

（一）明确审核范围和审核等级

审核范围共分为组织范围、物理范围和目标范围。

组织范围：即哪些公司、哪些分公司、哪些分部门需要涉及信息安全；

物理范围：即组织范围所设计的所有办公场所；

目标范围：一般需要和客户沟通，看看他们需要达到等级的要求，需要审核哪些内容。审核等级分为AL1、AL2和AL3。AL1一般是自评，AL2和AL3需要第三方审核员对工厂进行现场审核，一般获得AL2和AL3才能够获得TISAX的认可。

（二）实施差距分析与风险评估

再确定好实施范围后，需根据TISAX的要求和自身工厂的情况做一个诊断分析。主要从InformationSecurityAssessment（ISA）的要求进行打分，看看自身公司的差距与风险点在哪里示例如下：

（三）管理体系建设

基于标准去要求及差距分析及风险评估的结果，并结合企业实际情况制定符合TISAX的管理体系。

（四）体系试运行

完善第三步后，就需要运行一段时间管理体系体系，开展内部体系审核，管理评审方面的工作，运行中发现的问题需要整改。

（五）TISAX审核认证

在完成以上步骤后，企业可酌情预约审核员开展TISAX认证工作，并蕞终取得认证证书。