官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
dewei吴彦祖- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
dewei吴彦祖 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
前言
TISAX(Trusted Information Security Assessment Exchange)认证作为汽车行业和相关领域内的一项重要安全评估标准,其目的是为信息安全评估提供一种标准化的方法,以增强供应链中各参与方的信任度。对于希望在汽车行业中保持竞争力的企业而言,获得TISAX认证不仅是一个目标,更是一项战略投资。 本文旨在为那些准备迈向TISAX认证之路的企业提供一份详尽的指南。我们将从基础概念讲起,逐步深入到认证的具体步骤、关键要素以及最佳实践。无论您是刚刚接触TISAX认证的新手,还是已经有一定了解但希望进一步优化流程的专业人士,本文都将为您提供有价值的信息和指导。
TISAX的简介:
TISAX(全称:Trusted Information Security Assessment Exchange)是一个面向汽车行业的信息安全评估和交换的认证机制。由德国汽车工业联合会(VDA)与欧洲汽车工业通信网络协会(ENX)联合重磅推出了可供信息交换的可信平台(TISAX)上,注意的是TISAX每三年需要重新认证一次。
它的主要目的是在汽车制造商、供应商和第三方信息安全评估机构之间建立一种共同信任的机制,以便在日益复杂的全球汽车供应链环境中更好地应对信息安全风险。
评估的范围相当广泛,包括信息技术安全、数据处理和存储、人员安全等方面的评估。它不仅关注技术层面,还关注管理层面,如安全政策的制定和执行、安全培训的实施等。
TISAX模块划分和评估等级:
TISAX分为三个模块:信息安全、原型保护和数据保护
TISAX认证评估等级分为:AL1、AL2、AL3三个级别,其中AL2为高保护级别,AL3为极高保护级别。正常的企业都选择AL2或者AL3;AL1很少公司选择。AL2审核一般情况是通过电话会议;或者现场进行审核,若企业选择AL3级别的话,AL3级别的企业必须接受现场审核。
TISAX评估标准准则:
AL3为例;设施要求:必须都满足;评估结果来说2.7分没有严重不符合项可颁发临时标签;2.4-2.7分有轻微不符合需要整改后再进行评估;2.4分以下不给通过;
评分规则:必须项和应该满足项必须都满足;不然只能得2分;如果在评审中必须项的文件中没有策划直接被判定为0分;
TISAX参与者手册:
建议先下载手册观看;目前TISAX手册推出多种语音可供下载:
提示:
简介TISAX主要流程:
官方给的流程为三个大步骤;分为为 注册、评估、交换,
注册:
我们采集公司以及评估过程所需要的信息。
评估:
参与评估流程,评估工作指定一家 TISAX 认证机构执行。
交换:
您与合作伙伴共享评估结果。
注册主要流程:
注册地址:
注册的第一步,是在 ENX 门户中为自己创建一个账号。
因为正是需要利用门户账号,才能够管理公司的“参与者信息”。
注意事项:
如果注册时邮件地址提示已被使用,请ENX。 该提示信息可能表明,由于某些原因,信息已录入我们的系统中。
如上所述,创建门户账号并不意味着已成为“参与者联系人”或“范围联系人”可以积极参与评估流程。
反之亦然,“参与者联系人”或“范围联系人”也不会自动获得门户账号中参与者信息的管理权限。也就是说,被指定为“参与者联系人”或“范围联系人”的同事不会自动获得 ENX 门户中参与者信息的访问权限。如果您希望将管理参与者信息的权限授予一名您已在 ENX 门户中创建的联系人,都需要邀请该联系人。(介绍一个有必要理解的新术语;到目前为止,您的身份一直是“供应商”,TISAX 本身并不区分这两种角色。对于 TISAX 而言,每一位注册人员都是“参与者”,也就是说,您与合作伙伴“参与”了信息安全评估结果的交换过程。)
第二步,是将公司注册为“TISAX 参与者。
TISAX 参与者”是指与其他参与者交换评估结果的公司。
注意事项:
每个联系人指定至少一名的代理人。一旦联系人暂时联络不上或不在公司的时候 ;则可由他人代为管理公司的参与者信息。否则,如果要新指定一名联系人的话,相关流程会比较复杂;只有能够证明自己有权合法代表公司的人才能批准指定一名新的主要联系人。 注意:在后续流程中(甚至是在完成在线注册流程,或完成评估之后),不能随时添加或删除联系人。
参与者联系人不可使用公共邮箱(例如“111@aaa.com” 或 IT@222.com)作为电子邮件地址。这个规定也符合 ISA 关于用户登录的相关规定。
对于每一位联系人,可以选择是否为其授予访问公司参与者信息的权限。原因有:只是添加联系人,该联系人的信息录入ENX系统,但其没有登录或管理信息的权限。或者邀请联系人。ENX门户将向该联系人发送邀请邮件,联系人须按照其中邀请的链接内容提示进行操作。在创建了自己的ENX门户账号后,该联系人便可管理公司的参与者信息。
创建新联系人:登录(Sign in)> 我的 TISAX(MY TISAX)> 管理员 (ADMINISTRATORS)> 创建新的 TISAX 管理员(Create new TISAX Administrator ) 邀请联系人:登录(Sign in)> 我的 TISAX(MY TISAX)> 管理员 (ADMINISTRATORS)> 转到该联系人所在表格行的末尾,并点击带有向下箭头的按 钮 > 编辑 TISAX 管理员(Edit TISAX Administrator)> 转到“ENX 门户访问 (ENX PORTAL ACCESS)”部分 > 将“邀请此联系人(INVITE THIS CONTACT)"设 置为“是(Yes)” > 点击“保存联系人(Save Contact)”
第三步,是接受“TISAX 参与一般条款和条件”。
一般来说,需要签订两份合约,第一份合约的签订人是您与 ENX 协会;即“ TISAX 参与一般条款 和条件”(TISAX 参与者 GTC);第二份合约的签订人是与一家由ENX指定的 TISAX 认证机构。注册流程仅会用到第一份合约。
在线注册过程中,我们将要求您选中两个复选框(必选):
☐ We accept the TISAX Participation General Terms and Conditions ( 我方接受“TISAX 参与 一般条款和条件”)
☐ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; ( 我方确认 已知晓,根据“TISAX 参与一般条款和条件”IX.5 和 X.3 部分有关规定,申请者将解除针对认证 机构的职业保密义务;)
可通过链接下载条款查看
第四步,信息安全评估注册评估范围。
注意事项:
1.指定评估范围名称。 范围名称的主要目的是,方便在ENX门户的范围概览列表中辨别范围。
2.选择评估范围类型(标准、自定义)。
3.指定主要范围联系人。 该联系人通常负责特定范围的评估事宜,可以是公司里的其他人。 通常,我们只需要指定主要范围联系人。其他人亦可以看到由ENX所发送的、与该特定范围相关的所有交流信息,可添加“备选参与者联系人”。
4.选择评估对象。
5.添加评估范围地点要求指定从属于评估范围的所有相关地点。
6.选择发布与共享级别(可选) 在此阶段已经可以决定是否向其他TISAX参与者发布企业的评估结果,并与合作伙伴共享评估结果。通常,该操作步骤会授权我们至少显示以下信息:您的公司是一名参与者,且已成功通 过 TISAX 评估流程。 在最初注册时,您可选择跳过此步骤,并于之后的某个时间再设定您评估结果的访问权限。
7.指定账单接收人。 要求指定账单的接收人。(交钱)
8.确认邮件,完成上述所有强制性步骤后,将对申请进行审核,并发送确认邮件。
状态信息
在当前阶段,有两种状态,来描述在 TISAX 流程中所处的位置:
1.参与者状态
2.评估范围状态
下图中说明了,参与者状态”和“评估范围状态”的满足条件为达到某个状态所必需满足的条件:
1、您的行动 2、我们的行动 3、注册 4、参与者:[ ] 公司[ ] 地点[ ] 联系人[ ] 一般条款和条件(GTC) 5、评估范围:[ ] 联系人[ ] 评估对象[ ] 评估地点[ ] 发布 + 共享 6、否 7、是 8、完成? 9、完成? 10、否 11、是 12、审核 + 批准(确认邮件) 13、账单 14、[ ]付款 15、已付款 16、参与者ID 17、范围ID 18、参与者状态 19、评估范围状态 20、1.未完成 21、2.等待批准 22、3.初步完成 23、已完成注册 24、已失效 25、1.未完成 26、2.等待您的指示 27、3.等待 ENX 批准 28、4.等待您的付款 29、5.已完成注册 30、6.已通过评估 31、7.已失效
完成以上步骤现在,您已是一名TISAX 注册参与者,可以前往TISAX 流程的下一步骤
评估(第二步):
其中最繁琐和重要的阶段就是评估阶段;评估主要分为自评估和机构评估;自评估阶段需进行自我评估满足认证各项佐证;并且将自己的信息安全管理体系(ISMS)调整到最佳状态;机构评估阶段是对提交的佐证进行验证。
本章简述评估流程;下章节主要详细围绕TISAX评估标准进行讲解。
自评估阶段:
- 先确认评估等级;公司开会根据企业计划或者客户需求来确认过AL2或者AL3等级;还需要确认委员会(确认委员会的主要目的是决策部门信息安全相关事宜)。
- 企业在TISAX官网进行注册;获取注册号。
- 先进行自评估;到现场进行调研;确认各部门内审员
- 根据调研结果开展内审员培训,然后开始对部门信息资产识别和风险评估;
- 根据风险评估报告对企业的管理和技术进行改造;满足审核要求;并且管理要求需要有6个月的佐证记录。
- 准备好佐证后提交到评估机构进行预评估。
机构评估:
- 机构对企业申请的审核进行核定。
- 审核机构根据申请安排审核计划
- 根据提交的佐证机构进行审核;出具审核报告;要求企业出具整改计划;
- 企业根据整改计划进行整改;并且可以拿到9个月的临时标签;
- 整改后可获得正式标签。
流程拆解分析:下章见;码字码的人都麻了,
自我评估结果可能表明,在具备获得 TISAX 标签的资格之前,您需要对自己的信息全管理体系进行改进。
对于成熟度等级与目标成熟度等级之间的差距,或许已知道如何进行弥补。对于其他事宜,可能需要咨询外部人士。在这种情况下,可以请求TISAX 认证机构提供咨询服务。TISAX允许其提供咨询,但不作要求。请注意,无论是哪一家认证机构,只要为您提供过咨询服务,便不能再为您进行TISAX 评估。
结尾
通过本文的介绍,我们希望您对TISAX认证注册有了更深入的理解,并且对如何从零开始准备TISAX认证有了清晰的认识。TISAX认证是一个涉及多个层面的复杂过程,它不仅需要企业在技术层面上进行投入,还需要在组织结构、流程管理和文化建设上做出努力。然而,一旦成功获得认证,企业将能够享受到更高的市场信任度、更强的竞争优势以及更广阔的合作机会。 请记住,TISAX认证是一个持续的过程,而非一次性的任务,每三年需要重新认证一次。 最后,我们祝愿所有致力于TISAX认证的企业能够顺利通过评估。
已在FreeBuf发表 22 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
LV.4- 22 文章数
- 65 关注者