当今世界正处于数字化的洪流中,从个人到企业,每天都面临大量的数据交互。汽车行业本身就拥有极其复杂的上下游供应链,随着车辆网联化发展,跨界入局者也与日俱增,其中任何一家企业发生信息安全问题都可能会对整个供应链造成巨大影响,带来安全隐患。
在此背景下,TISAX(可信信息安全评估交换)应运而生,它是由德国汽车工业协会(VDA)与ENX协会联合推出的可靠交换机制,旨在帮助主机厂确保其供应链的信息安全,在汽车行业具有标杆地位。
图:TISAX的认证架构
TISAX改版要点抢先看
2020年7月,ENX对TISAX的要求进行了重要改版,TISAX手册从2.1版本升级到2.2版本,VDA-ISA评估标准从4.1.1版本升级到5.0版本,其中评估标准的章节、要求和检查项等都发生了重大变化。
图:新版 TISAX V.2.2
VDA ISA 5.0改版要点包括:
新版只保留了must和should项,取消了may的项目,评估要求更清晰且严格
新版自评表结构更简洁,内容更清晰准确,填写难度加大
原型保护的编号从25修改为8,评分体系更直观
数据保护24不变,修改了部分审核内容,如数据识别、合同事项等
第三方连接的要求点融入了ISMS部分,增加了IS模块的通过难度
增加了远程办公,员工资质等特定的控制要求
以上更新都体现了TISAX新版的难点,这无疑对企业通过TISAX认证提出了更多新的挑战,建议有TISAX认证需求或即将续证的客户,积极关注并早做准备。
常见Q&A
1. 哪些企业需要进行TISAX认证?
TISAX认证适用于汽车行业上下游供应链中的所有组织。奔驰、宝马、大众、奥迪等主机厂都已强制要求其各个级别的供应商必须通过TISAX认证,才能与之进行数据交换;国内众多零部件供应商也都接到了主机厂的通知而纷纷着手准备。
2. TISAX认证与ISO 27001的关系是什么?
两者都旨在提升组织的信息安全能力。ISO 27001是适用于各个行业的信息安全管理体系认证。TISAX基于ISO 27001,但在许多方面专注于汽车行业的特定要求,如:TISAX采用三种审核等级,AL1为自评、AL2和AL3需要第三方审核员进行现场审核;在关注点方面,TISAX必须实施好ISMS体系的控制点要求,并能证明PDCA循环在发生作用以及提供足够的支持文档。
3. 什么是TISAX认证中的独立性原则?
ENX曾多次对审核的独立性进行说明,明确同一组织机构,不能同时为客户提供TISAX审核和咨询,或类似于咨询的培训服务。
