TISAX®是针对 "VDA信息安全评估"(VDA ISA)要求的评估程序,汽车行业的供应商或服务提供商可以用它来确保提供给他们的信息的安全性。TISAX®是Trusted Information Security Assessment eXchange的缩写,用于对处理客户委托给他们的敏感信息的供应商和服务提供商进行审核。
除了典型的一级供应商,TISAX®审核也越来越多地被要求对其他次级供应商--以及数据处理或广告领域的服务供应商进行审核。
自2022年起,新的VDA ISA目录5.1适用于所有新的TISAX®评估。据VDA称,与5.0版本相比,只有微小的变化。使用新的TISAX® 5.1测试目录的工作将被进一步简化,并使之更有效率--对用户和测试人员来说都是如此。
VDA ISA 5.1 - 主要变化
VDA信息安全评估(ISA)目录5.1中的大部分变化都是针对 "信息安全 "模块的。根据VDA ISA目录5.1中的变化历史,现在已经增加了以下变化和调整:
●消除歧义,纠正拼写错误和表达方式,语言上的澄清
●重组电子表格 "欢迎",电子表格的定义移至 "定义"
●在 "信息安全 "电子表格中增加了有关高度和非常高度保护需求的保护目标
●删除 "信息安全 "和 "原型保护 "电子表格中的 "已解决的保护目标 "栏
在 "信息安全 "和 "原型保护 "电子表格中清除了 "通常的流程所有者 "一栏的内容
早在TISAX®5.0版本中,"第三方连接 "模块的内容,包括测试目标,被整合到 "信息安全 "模块中。以下三个模块继续存在:
●信息安全
●数据保护
●原型保护
术语 "第三方连接 "描述了这样一种情况:TISAX®用户在合作伙伴的场地上有自己的位置,可以(通过直接网络连接)访问合作伙伴的系统。
为什么要进行TISAX®审核?
德国大众等主机厂已经将TISAX®作为其供应商必须通过的资格要求。企业通过TISAX®评估后,可以被众多主机厂认可。
三年有效期内只需要一次TISAX®审核,避免多次审核的需要,节约成本和时间。
企业通过TISAX®审核后,证明其实力,尤其在参与投标时,可以作为有利附加条件。
评估目标和相关的附加要求
TISAX使用评估目标和TISAX 标签,根据组织的风险状况配置评估和评估结果。
新的VDA ISA目录 5.1 适用于所有新的 TISAX® 评估。ISA已经验证了所有的基线要求("必须"和 "应该")在保密性、完整性和可用性方面都同样有效。在ISA 5.1版本中出现在每个附加要求末尾的字母C、I和A的组合,其中 "C"代表保密性,"I"代表完整性,"A"代表可用性。
拆分TISAX的评估目标
目前的 "处理有高度保护需求的信息"("Info High")标签将被拆分为"保密性 "和"高可用性"。
相应地,目前的 "处理具有非常高保护需求的信息"("信息非常高")将被分割为"高度保密"和"非常高的可用性"。
这些目标的新设置如下:
"机密"涵盖所有基线要求,以及所有标有C的高保护需求的额外要求。
"高可用性"包括所有基线要求,以及所有标有A的高保护需求的额外要求。
"高度保密"包括所有基线要求,以及所有标有C的高和非常高的保护需求的额外要求。
"非常高的可用性"包括所有基线要求,以及所有标有A的高和非常高的保护需求的额外要求。
请注意,新的 TISAX 标签是原来的 "信息高"和 "信息非常高"标签的一个子集。这一拆分并没有引入任何新的要求或改变TISAX评估等级。
由于 "保密性 "标签与旧的"信息"标签几乎相同,ENX将保留这些标签的原名,并在第二步完成拆分。一旦这一变更准备好,ENX 将提供另一个更新。
新TISAX标签的过渡
拥有 "高信息量"标签的组织将自动在ENX门户网站上为其评估结果分配新的 "高可用性"。
一旦 "保密性"标签可用,预计也会同样处理。
作为TISAX审核服务提供者,DQS正准备在2023年根据新的TISAX评估目标提供评估服务。
如果您作为参与者,正在注册一个新的范围并计划在2023年进行评估,您已经可以选择新的评审目标。
新的标签已经在ENX门户网站上准备好,可供选择,并从2023年开始进行评估。
在过渡期结束之前(即保密标签的实施),您仍然可以使用 "信息高"和 "信息非常高"的TISAX评估目标。
TISAX认证流程
1、定义:OEM确定评估级别,例如原型保护、数据保护等;
2、注册:申请企业需要在ENX网站进行注册,并获得注册号;
3、初步评估:第三方审核机构审查文件,然后进行2级远程评估或者3级现场评估;
4、阐述结果:编制报告并向认证组织阐述评估结果;
5、整改研究结果:认证组织根据评估结果制定改进方案,并在有效期内提交整改结果;
6、后续评估:在交换平台上形成最终报告。 审核完成后以电子标签形式发放评估结果,电子标签有效期3年。
DQS提供的TISAX审核服务内容
DQS是ENX首批的TISAX审核提供商之一,自2018年以来一直执行TISAX审核,DQS可以在全球范围内进行TISAX®评估。
DQS对ENX及其TISAX客户根据审核提供商标准和评估要求实施TISAX流程负有责任(short ACAR)。
ISA目录:信息安全评估(ISA)问卷,构成每个TISAX评估的基础。
DQS的所有TISAX®审核员也是ISO 27001的认可审核员。DQS正在提供一系列信息安全的培训课程、审核和认证,能够帮助机构或企业改善其信息管理体系,降低风险。DQS在信息行业标准领域的优势可谓有目共睹,助力了诸多客户实现信息、信息化的安全,同时,也愿携手更多用户一路前行、并帮助更多组织实现卓越。
DQS是您TISAX认证和培训的最佳合作伙伴。我们拥有众多经验丰富的审核人员和培训专家,能为您提供最优质的服务,最专业的审核报告和培训课程。DQS也将持续为您跟进最新实施进展。
Responsible for social media,Marketing & Sales activities in China.
