貫標集團-江蘇汽車行業企業應對TISAX信息安全認證

       眾所周知汽車行業是一個擁有廣泛而復雜的供應鏈的行業，其擁有整車制造商，不同層級的零部件供應商等眾多企業，在這個鏈條上，其中任何一家企業的網絡安全問題不管是數據泄密還是內外部攻擊都有可能導致對上下游整個供應鏈造成巨大影響，因此任何一個企業都不能獨善其身，需要整車制造商及其上游所有企業都能協調一致采取共同行動應對日趨嚴峻的網絡安全威脅。

       德國汽車工業協會 (VDA) 多年前就推動成員企業符合信息安全標準，很多年前建立VDA-ISA信息安全評估標準，然后于2017年聯合ENX推出新的”可信信息安全評估交換“Trusted Information Security Assessment Exchange (TISAX) ”機制，此機制進一步推動企業（例如零部件廠商，供應商，服務商）在滿足不同相關方（主要是汽車整車制造商）的VDA-ISA信息安全評估時，其評估結果能夠進一步相互認可，交換和信任，從而減少不同整車制造商的頻繁審核。

       此圖展示了TISAX運行模式，通常大型汽車整車制造商例如大眾，戴姆勒，寶馬都會要求其供應鏈企業和相關服務方必須獲得TISAX資質才與其建立業務聯系，因此各類企業首先需要到VDA和ENX注冊成為TISAX機制參與方，然后通過由VDA/ENX授權認證的審核服務機構（例如德勤）執行審核，審核結果會發布在TISAX平臺上，一旦發布后TISAX的其他參與方可以在平臺上進行訪問和查閱其結果，通過這些步驟建立起相互共享，相互信任的平臺機制。

在具體執行TISAX審核之前需要企業與授權認證審核服務機構（例如德勤）確定TISAX審核的對象，審核的范圍和審核的程度。

審核對象：是指企業組織范圍，部門范圍，物理地點等范圍；

審核范圍：是指標準范圍，壓縮范圍還是擴展范圍；請注意壓縮范圍是無法獲得TISAX審核標簽的；

審核級別：分為3個級別，不同的審核級別是由參與方期望達到的保護級別所決定的，TISAX區分三種不同的“保護級別”（正常，高和非常高），其對應AL1，AL2和AL3的審核級別；如果只是AL1級別的審核，不需要外部審核方參與企業執行自我評估即可，但注意此級別無法獲得TISAX標簽；因此企業通常都需要外部認證審核方（例如德勤）執行AL2或AL3級別審核從而實現高和非常高的保護級別；

對于TISAX審核時的具體技術標準依據是VDA-ISA標準，這個標準是VDA組織基于ISO/IEC 27XXX不同信息安全相關標準定制而來，主要包括信息安全體系，第三方聯系，數據保護，原型保護等四個領域，包括多個控制檢查點組成。

通過TISAX認證企業，能夠獲取以下效益：

1. 滿足外部需求方直接要求，行業內相互認可：所有VDA成員和OEM都需要TISAX認證，TISAX認證為汽車行業內的信息安全評估提供了統一且有約束力標準，評估結果得到其他TISAX參與者共同認可從而實現汽車行業企業之間安全互信；

2. 避免多次檢查,降低管理成本：TISAX認證基于統一的VDA-ISA安全評估目錄和標準，通常每三年只需要進行一次TISAX評估；

3. 提升員工安全意識，員工是公司信息安全保護的重要資源與手段，他們的行為對公司內部的安全有重大影響，通過TISAX提高員工安全意識與能力；