- 首 页
- 关于我们
- 认证咨询
AS9100D AS9110C AS9120B IATF16949:2016 ISO13485:2016 ISO14001:2015 ISO9001:2015 ISO45001:2018 Nadcap特殊认证 ISO20000:2018 ISO27001:2013 GJB9001:2017 ISO28000:2018 ISO 26262:2018 ISO27001:2013 ISOTS22163:2017 ISO50001:2018 ISO22000:2018 SA8000:2014 TL9000(2019-R6.2版) EN15085:2011 GB-T50430:2017 IECQ/QC080000:2018 ISO22716:2007 ISO3834国际焊接体系 ISO37001:2017 ISO15378:2017 ISO22301:2019 ISO/17025:2017 ISO14064:2018 绿色供应链认证 AS6081:2012 AS6496:2014 ISOTS 22163:2017 ISO10012 TPG交通和能源 ISO17000:2015翻译认证
- 管理咨询
- 新闻中心
- 核心团队
- 证书查询
- 联系我们
- 招聘人才
- 线上课程
- 首页 > 认证咨询 > IATF16949:2016 > 东莞IATF16949认证_TISAX 汽车行业-信息安全的评估和交换机制流程说明_凤岗IATF16949,塘厦IATF16949,石鼓IATF16949,雁田IATF16949
- 东莞IATF16949认证_TISAX 汽车行业-信息安全的评估和交换机制流程说明_凤岗IATF16949,塘厦IATF16949,石鼓IATF16949,雁田IATF16949
目前的汽车配置来看,车载电脑已经是车上的标准配备。例如车载导航、影片播放、上网、电话、故障诊断等功能都是车载电脑的应用,但也因网络安全漏洞及资料外泄事件层出不穷,车载信息安全问题成为社会关注的焦点。以下我们汇总在辅导经验中常被询问到的几个常见问题予以说明。
T1. 什么是 TISAX?
TISAX(Trusted Information Security Assessment Exchange)信息安全的评估和交换机制是2017年由德国汽车工业联合会 (VDA) 联合欧洲网络交换所 (ENX) 所推出的信息交换平台,把受多数组织成员认可的信息安全评估流程 VDA ISA (Information Security Assessment) 之审核结果放上平台,供参与者在得到被审核者授权后做查询,是一个参考 ISO 27001、ISO 27002等标准规范所制定的信息安全评估结果的交换平台。
ISA: 用于组织的内部控制要求, 接触组织敏感信息的供应商(服务商)的审核要求。
VDA联合ENX推出成员组织认可的信息安全评估流程,将审核结果放在的授权平台上以供信息查询和交换。
ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会
ENX协会:TISAX的监管和组织的角色。
由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。
通过监管“ENX治理三角”得到保证,包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。
T2. 谁会需要使用到 TISAX?
汽车零件制造厂、汽车应用产品厂商及汽车供应链成员。
T3. 导入 TISAX的好处?
TISAX平台上的评估结果具公信力,有助取得客户信任。
(TISAX)-VDA ISA的问项内容统一,参与者之评估结果具可比较性。
降低重复性的审核作业,每三年评估一次即可。
许多欧系车厂如 Volkswagen / BMW / Porsche 已开始要求供应链必须取得 TISAX 认证。
T4. TISAX目前在国内的现状
目前大众,奥迪和保时捷要求供应商必须通过TISAX认证。后续其他德国车企也会跟进要求供应商通过TISAX认证。
T5. 导入 TISAX及 ISO 27001之目的及应用层面有何差异?
两者皆可提升组织的信息安全能力,降低信息安全事件、事故的发生,只是应用层面有所不同。
1. ISO 27001是一应用层面广泛的信息安全管理系统的认证,适于各产业采用。
2. TISAX则提供了汽车产业一信息安全评估结果的平台,在评估方获得被审核者授权后 (在 ENX Portal上授予权限),让被审核者可自行决定那些伙伴可在平台得知其信息安全评估结果,藉此让汽车供应链合作伙伴了解其在网络安全及资料保护上的成果。
T6. ISO 27001及(TISAX)-VDA ISA之章节内容有何不同.
ISO 27001共包含两部分,除了条文第四章至第十章,另外还有附录 A的 114个资安控制措施,通过 ISO27001认证代表企业已建立、实施及维持及持续改善ISMS要求之事项
TISAX VDA-ISA (Information Security Assessment) 参考 ISO 27001、ISO 27002等规范外,并参酌法规(例如:欧盟个资法 GDPR)及汽车产业之要求做为管制项目,四大管制面向及内容简述如下:
1. 信息安全 (information security) : 因属核心的强制(mandatory)评估项目,故必须评估,无法排除。及下列选择性问项,共三类
2. 第三方的连接 (Connection to 3rd parties) : 如项目办公室和项目区域。
3. 资料保护 (Data protection) : GDPR第28条资料处理者。
4. 原型保护 (Prototype protection) : 针对尚未对外公布的车、元件、零件之保护。
T7. TISAX与ISO27001主要差异为何?
1. 范围: ISO 27001适用产业的范围较 TISAX广。
2. 级别制: ISO 27001无级别制,TISAX则采用级别制,
共有三种审核等级 (Assessment level (AL),AL1一般是自评,AL2和 AL3需要第三方稽核员对公司进行现场稽核,一般获得 AL2和 AL3才能够获得TISAX的认可。
而 AL2或 AL3则由客户依照与供应商的资料串接情况做选定,各级别评估方式如下:
评估方式
AL1(自评)
AL2
AL3
自评
(self-assessment)
是
是
是
证据
(evidence)
否
真实性检查(Plausibility check)
彻底查证
(Thorough verification)
访问
(interviews)
否
电话会谈
(Audio conference)
人员现场访谈
(In person,on site)
现场稽查
(on-site inspection)
否
不一定
是
(source:TISAX Participant Handbook)
另外,TISAX在四大管制面向六个成熟度级别做评分,让组织了解现况级别,并可供往更高级别进步之参考,六个成熟度级别定义如下:级别0:不完整级别1:已执行级别2:已管理级别3:已建立级别4:可预测级别5:持续优化。
T8. 通过TISAX审核的步骤是怎样的?
初始诊断阶段:明确TISAX审核范围,审核等级。
1.风险评估阶段 2.体系文件编写阶段
3.体系试运行阶段 4. 体系完善阶段
5.TISAX审核认证 6.售后服务阶段