TISAX®汽车可信信息安全评估交换

服务背景

希望在数字时代保持竞争力的企业必须高度重视信息安全。对于汽车行业来说尤其如此，每天都会交换大量机密数据。

• COVID-19 减缓了许多汽车运营的速度，但网络攻击却呈上升趋势；

• 大多数汽车网络黑客都是出于恶意进行的；

• 过去十年中Zui常见的三种攻击媒介是服务器、无钥匙进入系统和移动应用程序，2020年服务器攻击增长了 73%。

• 汽车相关 CVEs 的数量正在增加；

• 2020 年，数据与车辆盗窃是网络攻击的严重影响之一。

TISAX®评估方案确保汽车制造商、服务提供商和供应商之间的信息安全水平一致。它通过确保制造过程中的完整性和可用性来帮助保护数据。专用的在线平台可以在汽车行业内交换信息安全评估结果。

标准概述

TISAX®涉及生产过程中的数据保护、完整性和可用性。为此开发了一个专门的在线平台，用于交流汽车行业的信息安全评估结果。注册后，公司可以访问这些文件。TISAX一共有AL1，AL2，AL3三个级别。其中AL2，AL3由授权的第三方认证机构进行评估，企业通过后可以使用TISAX标签。现行TISAX（5.1版本）目前一共定义了10个标签，包括：2个信息安全标签，2个可用性标签，4个原型保护标签以及2个数据保护标签，企业通过申请，通过几个，就获得几个标签。

汽车行业的核心信息安全问题-信息安全是汽车行业的关键成功因素

隐私保护问题：隐私或个人数据的保护与合规

56%的消费者表示信息安全和隐私保护将成为他们未来做出车辆购买决定时的主要考虑因素；

信息安全管理问题：成体系、开放式、可兼容、多层次的信息安全管理与实践

信息安全必须融入到企业的文化精髓之中，并在车辆的整个生命周期确保信息的安全性；

风险控制问题：从设计、制造、驾驶到服务的整体信息安全风险控制

在互联互通式汽车时代，没有信息保护的车辆就不是完全安全的。

TISAX®评估

TISAX®评估的优势

☑ TISAX®平台上的评估结果具公信力，有助取得客户信任；

    (TISAX®)-VDA ISA的控制要求内容统一，参与者的评估结果具有可比较性。

    许多欧系车厂如Volkswagen / BMW /ZF已开始要求供应链必须取得TISAX® 认证。

☑ 共同接受的评估标准使评估结果得到交流；

☑ 节省时间和资金；

☑ 为公司树立信心；

☑ 消除重复和多重评估，降低重复性的审核工作，每三年评估一次即可。

TISAX®评估的四步法

VDA在2003年成立了信息安全工作小组。这一合作的一个主要成果VDAISA目录。该目录是信息安全评估的行业标准，其基于ISO/IEC27001信息安全管理体系标准。VDA建议参与汽车行业价值链的公司建立信息安全。

SGS的快速安全评估流程：

TISAX®认证流程

TISAX®审核

TISAX®审核内容

● TISAX是成熟度评估，其评估基于VDA ISA的评估表。

● VDA ISA当前版本（V5.X）一共有三个部分67个控制措施组成：

● 信息安全含可用性（41个控制点）

● 原型保护（22个控制点）

● 数据保护（4个控制点）

● 第三方认证机构将按照VDAISA评估表所列项目对企业进行评估，综合得分达到7分以上且没有不符合项遗留，合格；

TISAX审核的基本流程

TISAX 审核的基本过程（参考流程）

● Step1-TISAX审核范围确认

● Step2-TISAX初步评估

● Step3-TISAX改进行动计划评估

● Step4-TISAX信息安全管理体系改进

● Step5-TISAX运行和完善阶段

● Step6-TISAX跟踪审核

● Step7-TISAX审核报告和标签获取

● Step8-TISAX审核结果公示

为什么选择SGS？

 中国境内首家获得中国合格评定国家认可委员会(CNAS) ISO17020认可的第三方合资检验机构，提供本土化解决方案；

 我们拥有广泛的全球和当地产品经理网络，可为客户提供洞察和前沿的技术专长及优质的服务，也意味着我们可以高效、持续地支持客户的国际业务和全球发展计划；

 SGS主导和参与了多项国际级标准、行业标准、地方标准编写，成功完成了诸多规模庞大，内容复杂的国际项目，凭借SGS的国际声誉，获得全球范围内的认可；

 在全球IT领域，全球首批获得 ISO/IEC 20000和ISO/IEC27001认证服务资质的机构之一，在信息和网络安全标准、认证和培训方面处于先进地位；

 全球范围内第一家拥有CSASTAR云安全评估以及EuroCloud欧盟云认证资格的认证机构，提供汽车行业与信息安全专业知识的强大组合；

 Zui早被欧盟云端联盟(EuroCloud Europe,ECE)认可在中国开展ECSA培训的认证机构。

相关服务

● ISO/IEC 27001 信息安全管理体系

● IATF 16949 汽车行业质量管理体系

● ISO/IEC 27701 隐私信息管理体系

● VDA6.3 过程审核

● VDA6.5 产品审核

● ISO/SAE21434道路车辆网络安全工程

● ISO 14064 温室气体审核

● ISO 14067产品碳足迹

● 汽车行业低碳解决方案