什么叫TISAX,怎样通过TISAX审核认证?

什么叫TISAX，怎样通过TISAX审核认证?

1.汽车行业为何要做TISAX?

案例一:2018年7月初有媒体报道，来自UpGuard 安全团队的研究员Chris Vickery 在网上发现了汽车供应商Level One 的不安全数据库，数据库包含将近47000份文件，涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、顾客资料(如合同、发票、工作规划等)

案例二:小鹏汽车员工遭FBI逮捕，指控窃取苹果公司无人驾驶商业机密

同时，作为VDA的成员，以前的ISA通常被用于组织的内部控制要求，或是作为那些能接触组织敏感信息的供应商(服务商)的审核要求。从供应商(服务商)的角度而言，频繁的接受来自于不同顾客的审核，且其审核要求大同小异，已经越来越成为供应商(服务商)自身运营的负担。

随着欧盟GDPR法规的生效，全球各地对数据安全越来越重视，汽车作为全球非常重要的1个产业，TISAX就是在这样的时代背景下应运而生。

2.什么叫tisax?

2017年底，VDA和ENX联合为VDA ISA创建TISAX(Trusted Information Security Assessment Exchange):信息安全的评估和交换机制，能够实现汽车行业信息安全评估的相互认可，并提供通用的评估和交换机制。

ISA:用于组织的内部控制要求， 接触组织敏感信息的供应商(服务商)的审核要求。

VDA联合ENX推出成员组织认可的信息安全评估流程，将审核结果放在的授权平台上以供信息查询和交换。

ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会

ENX协会:TISAX的监管和组织的角色。

由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。

通过监管“ENX治理三角得到保证，包含ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。

3.TISAX在国内目前的现状

大众，奥迪和保时捷要求供应商必须通过TISAX

未来其他德国车企奔驰，宝马可能也会跟进要求供应商通过TISAX

目前主要是德国主机厂强制要求通过TISAX才能够和他们交换数据，因此国内汽车配件公司都被通知要求通过TISAX。由于2018年中大众奥迪等公司才提出TISAX的要求，国内大部分公司处于准备阶段，少部分已经在捡证网的协助下，通过了审核。

4.申请TISAX的主要流程和步骤:

1. 去ENX官网申请注册，明确好审核的信息安全范围等级和地点。申请注册完成后和审核公司约好审核的时间和地点，明确好费用。

2. 首次评估。根据VDA ISA 4.04里面的详细要求，找到目前公司的信息安全体系和标准之间的差距。

3. 培训。公司必须对整个公司的相关人员进行信息安全的培训，建立信息安全意识

4. 文件编写和信息安全的运行。根据标准要求，编写和实施相关的信息安全文件，让相应的部门执行文件。同时，对于缺少的软硬件都必须到位。

5. 公司内部再次根据VDA ISA评估目前公司的信息安全运行情况，假如评分能够达到TISAX的要求，能够调整到最佳状态迎接TISAX审核员的外审。

6. 外审通过，等待外审机构报告，假如未通过，根据情况，再次审核，知道审核通过为止。必须注意的是，您必须在9个月的时间内通过全部审核，否则必须全部重新开始申请一次。

评估只能由TISAX专门认可的审核提供商予以实施。

重要须知：您始终对您的结果可控--该信息仅有在事先获得批准后才能交换和分享。有什么评估等级？

有3个评估等级：

1级：标准的供应商只需完成信息安全评估调查问卷并在TISAX平台中公布该自我评估结果。

2级：若为较复杂的供应商，在实施自我评估后，获得认可的审核提供商之后会通过电话对其进行随机的合理性审查。

3级：处理高度敏感外部数据的供应商将由获得认可的审核提供商根据其自我评估结果进行现场检查。

评估6步

第1步：分类

在第1步，根据涉及到数据的敏感性，供应商将被区划为OEM或顾客。

第2步：申请注册

在第2步，他们向ENX进行申请注册，包含其适用范围编号。

第3步：评估

按要求的水平进行评估

第4步：报告

受评企业收到审核员发送的报告。

第5步：消除漏洞

受评公司消除识别出的漏洞。

第6步：上传报告

完成的报告将上传至交换平台。只能在已申请注册的参与者之间，且仅有在受评公司明确将结果发布给这些请求方后，才能交换这些汇总报告。