歡迎訪問(wèn):晟尚集團(tuán)ITSSISO體系認(rèn)證網(wǎng)

TISAX與ISO27001的區(qū)別是什么?總結(jié)來(lái)了!

發(fā)布日期:2022-10-13 瀏覽次數(shù):0

就目前的汽車(chē)配置來(lái)看,車(chē)載電腦已經(jīng)是車(chē)上的標(biāo)準(zhǔn)配備。例如車(chē)載導(dǎo)航、影片播放、上網(wǎng)、電話、故障診斷等功能都是車(chē)載電腦的應(yīng)用,但也因網(wǎng)絡(luò)安全漏洞及資料外泄事件層出不窮,車(chē)載信息安全問(wèn)題成為社會(huì)關(guān)注的焦點(diǎn)。以下我們匯總在輔導(dǎo)經(jīng)驗(yàn)中常被詢問(wèn)到的幾個(gè)常見(jiàn)問(wèn)題予以說(shuō)明。


Q1. 什么是 TISAX?

ANS:

TISAX(Trusted Information Security Assessment Exchange)信息安全的評(píng)估和交換機(jī)制是2017年由德國(guó)汽車(chē)工業(yè)聯(lián)合會(huì) (VDA) 聯(lián)合歐洲網(wǎng)絡(luò)交換所 (ENX) 所推出的信息交換平臺(tái),把受多數(shù)組織成員認(rèn)可的信息安全評(píng)估流程 VDA ISA (Information Security Assessment) 之審核結(jié)果放上平臺(tái),供參與者在得到被審核者授權(quán)后做查詢,是一個(gè)參考 ISO 27001、ISO 27002等標(biāo)準(zhǔn)規(guī)范所制定的信息安全評(píng)估結(jié)果的交換平臺(tái)。


  • ISA: 用于組織的內(nèi)部控制要求, 接觸組織敏感信息的供應(yīng)商(服務(wù)商)的審核要求。
  • VDA聯(lián)合ENX推出成員組織認(rèn)可的信息安全評(píng)估流程,將審核結(jié)果放在的授權(quán)平臺(tái)上以供信息查詢和交換。
  • ENX:為歐洲汽車(chē)工業(yè)提供開(kāi)發(fā)、采購(gòu)和生產(chǎn)控制安全交換關(guān)鍵數(shù)據(jù)解決方案的協(xié)會(huì)
  • ENX協(xié)會(huì):TISAX的監(jiān)管和組織的角色。
  • 由ENX認(rèn)可審核機(jī)構(gòu)并且監(jiān)督審核機(jī)構(gòu)的審核結(jié)果以及審核的合規(guī)性。
  • 通過(guò)監(jiān)管“ENX治理三角”得到保證,包括ENX協(xié)會(huì)與ENX認(rèn)可的審核機(jī)構(gòu)之間以及ENX協(xié)會(huì)與每個(gè)參與者之間的合作。
    TISAX與ISO27001的區(qū)別是什么?總結(jié)來(lái)了!

Q2. 誰(shuí)會(huì)需要使用到 TISAX?

ANS:

汽車(chē)零件制造廠、汽車(chē)應(yīng)用產(chǎn)品廠商及汽車(chē)供應(yīng)鏈成員。


Q3. 導(dǎo)入 TISAX的好處?

ANS:

  1. TISAX平臺(tái)上的評(píng)估結(jié)果具公信力,有助取得客戶信任。
  2. (TISAX)-VDA ISA的問(wèn)項(xiàng)內(nèi)容統(tǒng)一,參與者之評(píng)估結(jié)果具可比較性。
  3. 降低重復(fù)性的審核作業(yè),每三年評(píng)估一次即可。
  4. 許多歐系車(chē)廠如 Volkswagen / BMW / Porsche 已開(kāi)始要求供應(yīng)鏈必須取得 TISAX 認(rèn)證。

Q4. TISAX目前在國(guó)內(nèi)的現(xiàn)狀

ANS:

目前大眾,奧迪和保時(shí)捷要求供應(yīng)商必須通過(guò)TISAX認(rèn)證。后續(xù)其他德國(guó)車(chē)企也會(huì)跟進(jìn)要求供應(yīng)商通過(guò)TISAX認(rèn)證。

Q5. 導(dǎo)入 TISAX及 ISO 27001之目的及應(yīng)用層面有何差異?

ANS:

兩者皆可提升組織的信息安全能力,降低信息安全事件、事故的發(fā)生,只是應(yīng)用層面有所不同。

1. ISO 27001是一應(yīng)用層面廣泛的信息安全管理系統(tǒng)的認(rèn)證,適于各產(chǎn)業(yè)采用。

2. TISAX則提供了汽車(chē)產(chǎn)業(yè)一信息安全評(píng)估結(jié)果的平臺(tái),在評(píng)估方獲得被審核者授權(quán)后 (在 ENX Portal上授予權(quán)限),讓被審核者可自行決定那些伙伴可在平臺(tái)得知其信息安全評(píng)估結(jié)果,藉此讓汽車(chē)供應(yīng)鏈合作伙伴了解其在網(wǎng)絡(luò)安全及資料保護(hù)上的成果。
TISAX與ISO27001的區(qū)別是什么?總結(jié)來(lái)了!

Q6. ISO 27001及(TISAX)-VDA ISA之章節(jié)內(nèi)容有何不同?

ANS:

  •  ISO 27001共包含兩部分,除了條文第四章至第十章,另外還有附錄 A的 114個(gè)資安控制措施,通過(guò) ISO27001認(rèn)證代表企業(yè)已建立、實(shí)施及維持及持續(xù)改善ISMS要求之事項(xiàng)
  • TISAX VDA-ISA (Information Security Assessment) 參考 ISO 27001、ISO 27002等規(guī)范外,并參酌法規(guī)(例如:歐盟個(gè)資法 GDPR)及汽車(chē)產(chǎn)業(yè)之要求做為管制項(xiàng)目,四大管制面向及內(nèi)容簡(jiǎn)述如下:
   
1. 信息安全 (information security) : 因?qū)俸诵牡膹?qiáng)制(mandatory)評(píng)估項(xiàng)目,故必須評(píng)估,無(wú)法排除。及下列選擇性問(wèn)項(xiàng),共三類(lèi)。
   
2. 第三方的連接 (Connection to 3rd parties) : 如項(xiàng)目辦公室和項(xiàng)目區(qū)域。
   
3. 資料保護(hù) (Data protection) : GDPR第28條資料處理者。
   
4. 原型保護(hù) (Prototype protection) : 針對(duì)尚未對(duì)外公布的車(chē)、元件、零件之保護(hù)。

Q7. TISAX與ISO27001主要差異為何?

ANS:

1. 范圍: ISO 27001適用產(chǎn)業(yè)的范圍較 TISAX廣。
2. 級(jí)別制: ISO 27001無(wú)級(jí)別制,TISAX則采用級(jí)別制,
    
共有三種審核等級(jí) (Assessment level (AL),AL1一般是自評(píng),AL2和 AL3需要第三方稽核員對(duì)公司進(jìn)行現(xiàn)場(chǎng)稽核,一般獲得 AL2和 AL3才能夠獲得TISAX的認(rèn)可。


而 AL2或 AL3則由客戶依照與供應(yīng)商的資料串接情況做選定,各級(jí)別評(píng)估方式如下:


評(píng)估方式
AL1(自評(píng))
AL2
AL3
自評(píng)
(self-assessment)

證據(jù)
(evidence)
真實(shí)性檢查(Plausibility check)
徹底查證
(Thorough verification)
訪問(wèn)
(interviews)
電話會(huì)談
(Audio conference)
人員現(xiàn)場(chǎng)訪談
(In person,on site)
現(xiàn)場(chǎng)稽查
(on-site inspection)
不一定
(source:TISAX Participant Handbook)
 
另外,TISAX在四大管制面向六個(gè)成熟度級(jí)別做評(píng)分,讓組織了解現(xiàn)況級(jí)別,并可供往更高級(jí)別進(jìn)步之參考,六個(gè)成熟度級(jí)別定義如下:級(jí)別0:不完整級(jí)別1:已執(zhí)行級(jí)別2:已管理級(jí)別3:已建立級(jí)別4:可預(yù)測(cè)級(jí)別5:持續(xù)優(yōu)化。
TISAX與ISO27001的區(qū)別是什么?總結(jié)來(lái)了!

Q8. 通過(guò)TISAX審核的步驟是怎樣的?

ANS:

  1. 初始診斷階段:明確TISAX審核范圍,審核等級(jí)。
  2. 風(fēng)險(xiǎn)評(píng)估階段
  3. 體系文件編寫(xiě)階段
  4. 體系試運(yùn)行階段
  5.  體系完善階段
  6. TISAX審核認(rèn)證
  7. 售后服務(wù)階段