TISAX與ISO27001的區(qū)別是什么?總結來了!

發(fā)布日期:2022-10-13 瀏覽次數:0

就目前的汽車配置來看,車載電腦已經是車上的標準配備。例如車載導航、影片播放、上網、電話、故障診斷等功能都是車載電腦的應用,但也因網絡安全漏洞及資料外泄事件層出不窮,車載信息安全問題成為社會關注的焦點。以下我們匯總在輔導經驗中常被詢問到的幾個常見問題予以說明。


Q1. 什么是 TISAX?

ANS:

TISAX(Trusted Information Security Assessment Exchange)信息安全的評估和交換機制是2017年由德國汽車工業(yè)聯合會 (VDA) 聯合歐洲網絡交換所 (ENX) 所推出的信息交換平臺,把受多數組織成員認可的信息安全評估流程 VDA ISA (Information Security Assessment) 之審核結果放上平臺,供參與者在得到被審核者授權后做查詢,是一個參考 ISO 27001、ISO 27002等標準規(guī)范所制定的信息安全評估結果的交換平臺。


  • ISA: 用于組織的內部控制要求, 接觸組織敏感信息的供應商(服務商)的審核要求。
  • VDA聯合ENX推出成員組織認可的信息安全評估流程,將審核結果放在的授權平臺上以供信息查詢和交換。
  • ENX:為歐洲汽車工業(yè)提供開發(fā)、采購和生產控制安全交換關鍵數據解決方案的協(xié)會
  • ENX協(xié)會:TISAX的監(jiān)管和組織的角色。
  • 由ENX認可審核機構并且監(jiān)督審核機構的審核結果以及審核的合規(guī)性。
  • 通過監(jiān)管“ENX治理三角”得到保證,包括ENX協(xié)會與ENX認可的審核機構之間以及ENX協(xié)會與每個參與者之間的合作。
    TISAX與ISO27001的區(qū)別是什么?總結來了!

Q2. 誰會需要使用到 TISAX?

ANS:

汽車零件制造廠、汽車應用產品廠商及汽車供應鏈成員。


Q3. 導入 TISAX的好處?

ANS:

  1. TISAX平臺上的評估結果具公信力,有助取得客戶信任。
  2. (TISAX)-VDA ISA的問項內容統(tǒng)一,參與者之評估結果具可比較性。
  3. 降低重復性的審核作業(yè),每三年評估一次即可。
  4. 許多歐系車廠如 Volkswagen / BMW / Porsche 已開始要求供應鏈必須取得 TISAX 認證。

Q4. TISAX目前在國內的現狀

ANS:

目前大眾,奧迪和保時捷要求供應商必須通過TISAX認證。后續(xù)其他德國車企也會跟進要求供應商通過TISAX認證。

Q5. 導入 TISAX及 ISO 27001之目的及應用層面有何差異?

ANS:

兩者皆可提升組織的信息安全能力,降低信息安全事件、事故的發(fā)生,只是應用層面有所不同。

1. ISO 27001是一應用層面廣泛的信息安全管理系統(tǒng)的認證,適于各產業(yè)采用。

2. TISAX則提供了汽車產業(yè)一信息安全評估結果的平臺,在評估方獲得被審核者授權后 (在 ENX Portal上授予權限),讓被審核者可自行決定那些伙伴可在平臺得知其信息安全評估結果,藉此讓汽車供應鏈合作伙伴了解其在網絡安全及資料保護上的成果。
TISAX與ISO27001的區(qū)別是什么?總結來了!

Q6. ISO 27001及(TISAX)-VDA ISA之章節(jié)內容有何不同?

ANS:

  •  ISO 27001共包含兩部分,除了條文第四章至第十章,另外還有附錄 A的 114個資安控制措施,通過 ISO27001認證代表企業(yè)已建立、實施及維持及持續(xù)改善ISMS要求之事項
  • TISAX VDA-ISA (Information Security Assessment) 參考 ISO 27001、ISO 27002等規(guī)范外,并參酌法規(guī)(例如:歐盟個資法 GDPR)及汽車產業(yè)之要求做為管制項目,四大管制面向及內容簡述如下:
   
1. 信息安全 (information security) : 因屬核心的強制(mandatory)評估項目,故必須評估,無法排除。及下列選擇性問項,共三類。
   
2. 第三方的連接 (Connection to 3rd parties) : 如項目辦公室和項目區(qū)域。
   
3. 資料保護 (Data protection) : GDPR第28條資料處理者。
   
4. 原型保護 (Prototype protection) : 針對尚未對外公布的車、元件、零件之保護。

Q7. TISAX與ISO27001主要差異為何?

ANS:

1. 范圍: ISO 27001適用產業(yè)的范圍較 TISAX廣。
2. 級別制: ISO 27001無級別制,TISAX則采用級別制,
    
共有三種審核等級 (Assessment level (AL),AL1一般是自評,AL2和 AL3需要第三方稽核員對公司進行現場稽核,一般獲得 AL2和 AL3才能夠獲得TISAX的認可。


而 AL2或 AL3則由客戶依照與供應商的資料串接情況做選定,各級別評估方式如下:


評估方式
AL1(自評)
AL2
AL3
自評
(self-assessment)

證據
(evidence)
真實性檢查(Plausibility check)
徹底查證
(Thorough verification)
訪問
(interviews)
電話會談
(Audio conference)
人員現場訪談
(In person,on site)
現場稽查
(on-site inspection)
不一定
(source:TISAX Participant Handbook)
 
另外,TISAX在四大管制面向六個成熟度級別做評分,讓組織了解現況級別,并可供往更高級別進步之參考,六個成熟度級別定義如下:級別0:不完整級別1:已執(zhí)行級別2:已管理級別3:已建立級別4:可預測級別5:持續(xù)優(yōu)化。
TISAX與ISO27001的區(qū)別是什么?總結來了!

Q8. 通過TISAX審核的步驟是怎樣的?

ANS:

  1. 初始診斷階段:明確TISAX審核范圍,審核等級。
  2. 風險評估階段
  3. 體系文件編寫階段
  4. 體系試運行階段
  5.  體系完善階段
  6. TISAX審核認證
  7. 售后服務階段