什么是TISAX认证?
TISAX(Trusted Information Security Assessment Exchange)可信信息安全评估与交换标准是基于ISO 27001信息安全管理体系标准和VDA-ISA(Trusted Information Security Assessment Exchange)信息安全评价检查表而建立的汽车行业专用信息安全标准。由于汽车行业的供应商和服务提供商经常需要处理高度敏感的客户信息,这就要求汽车主机厂在产品开发的整个阶段内所有的利益相关方确保高度的信息安全和网络安全。至此,由欧洲网络交换协会(以下简称“ENX”)和德国汽车工业协会(以下简称“VDA”)制定,于2017年推出,基于VDA-ISA信息安全评估标准和ENX运营的通用检查和交换机制,来实现汽车企业信息安全评估认可。
TISAX 为汽车行业内不同服务商提供了信息安全评估结果互认的模式,供应商通过了该评估,即意味着其结果得到了所有参与方的认可。
TISAX认证目前在全球范围的汽车主机厂商中备受推崇,许多为主机厂商提供软硬件及相关服务的供应商,会被主机厂商要求建立和维持其TISAX管理体系并通过与之对应级别的TISAX认证作为其准入条件。
审核对象
Audit object
传统的汽车零部件供应商以及从事汽车市场研究、以客户为中心的服务的公司(如研究机构)、提供支持性ICT服务(包括系统运营服务、邮箱服务、云服务等)的公司。
- 传统汽车零部件供应商:比如轮胎、保险杠、仪表盘、减震器、发动机、刹车片等,甚至车窗玻璃、主地毯、座椅也算。
- 汽车技术研发:比如现在国内的新能源汽车、自动驾驶等企业。不知百度的无人车事业部是否有考虑通过TISAX认证。
- 汽车周边产业市场研究:比如行业报告等。
- ICT服务提供商最典型的就是云服务:比如,国内阿里云通过TISAX认证,成为亚洲首家通过该认证的云提供商。另外为汽车行业客户提供系统运维服务、邮箱服务也在本范围内。
- 配套服务比如保险、移动云端互联APP等。总之,只要和德系主机厂或德系一级供应商有业务关系,相互之间存在数据交换,就必须通过TISAX。
TISAX各方职责
Responsibilities of TISAX parties
• TISAX的拥有者和主持者
德国汽车工业联合会VDA,VDA同时控制VDA-ISA检查表。
ISA:用于组织的内部控制要求,接触组织敏感信息的供应商(服务商)的审核要求。VDA联合ENX推出成员组织认可的信息安全评估流程,将审核结果放在的授权平台上以供信息查询和交换。
• TISAX的法律实体与组织者
ENX,所有评估结果都将放在ENX平台上。
ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会关键数据解决方案的协会。
• TISAX认可的审核提供方
获得认可的第三方认证机构。
ENX协会:TISAX的监管和组织的角色。
由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。通过监
管“ENX治理三角”得到保证,包括ENX协会与ENX认可的审核机构之间以及
ENX协会与每个参与者之间的合作。
TISAX评估级别(AL)
TISAX Assessment Level (AL)
- 评估级别 1(AL 1):评估级别 1 主要针对公司内部用途,是真正意义上的自我评估(self-assessment)。
- 评估级别 2(AL 2):为确认是否符合该级别(级别 2),审计服务提供商会对您的自我评估结果(针对评估范围内的所有地点)执行合理性检查。此外,审计服务提供商还会检查相关的证据,并约您以及其他同事谈话。审计服务提供商通常以电话会议的形式完成谈话过程,您亦可要求其与您进行面对面谈话。该评估级别(级别 2)一般不包含现场检查。但如果您选择了其中一个“原型”评估对象,则评估过程将总是包含一次现场检查。
- 评估级别 3(AL 3):为确认是否符合该级别(级别3),审计服务提供商会执行评估级别2 所要求的所有检查,只不过,相关检查的范围会更广,并且审计服务提供商将通过深入开展现场检查以及面对面谈话等形式,来全面核查您的自我评估结果。评估级别规定了我们的评估级别规定了我们的TISAX审计服务提供商所执行的审核深度以及使用的审计方法。简单来说,评估级别越高,相应的评估强度就越高,使用评级方法也就越高级。大部分情况下,建议企业选择级别AL3。
TISAX认证的价值
The value of TISAX certification
能够满足外部需求方的直接要求,行业内的相互认可:所有VDA成员和OEM都需要获得TISAX认证,TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力标准,评估结果得到其他TISAX参与者共同认可从而实现汽车行业企业之间安全互信;
避免多次检查,降低了管理成本:TISAX认证基于统一的VDA-ISA安全评估目录和标准,通常每三年只需要进行一次TISAX评估;
提升员工安全意识,员工的行为对公司内部的安全有重大影响,通过TISAX提高员工安全意识与能力。
TISAX评估流程
TISAX evaluation process
服务流程
Service process
泛亚管理咨询(深圳)有限公司是一家专业的体系认证、检验检测与实验室技术服务机构,泛亚成立于2017年,总部位于深圳,陆续在北京、上海、杭州、苏州等地设立5个全资子公司,10多家分支机构。为满足全国客户的个性化需求,公司在基础平台层、销售端和交付端持续投入,已逐步构建了较为完善的立体式服务网络和平台,在平台和服务网络紧密合作下,泛亚能高效和迅速地调动各方面的资源,为全国客户提供高质量的技术服务。
5个全资子公司,10多家分支机构
北京泛亚网信科技有限公司
中泛亚(上海)检测认证有限公司
泛亚管理咨询(深圳)有限公司
江苏凯亚检测认证有限公司
浙江泛亚检测认证有限公司
-
深圳
深圳市罗湖区桂园街道新围社区深南东路5015号金丰城大厦A座2207
-
北京
北京市通州区聚和一街5号院9号楼1层1461
-
上海
中国(上海)自由贸易试验区临港新片区宏祥北路83弄1-42号20幢118室
-
苏州
中国(江苏)自由贸易试验区苏州片区苏州工业园区创苑路236号4幢3A023室
-
杭州
浙江省杭州市上城区秋涛路178号8幢410室
精英服务团队
结合技术专长和深厚的行业知识,为客户提供专业解决方案
曾先后为中石化、华西村股份、南磷化工、福莱新材、卡乐丽建材等多家大中型企业提供认证服务。
常见问题
common problem
TISAX认证好通过吗?
答:TISAX认证的难点主要包括:1、信息安全计划的制定和实施;2、文档和证明材料的准备;3、审核环节的通过;4、技术更新和维护。企业可以寻找具备丰富经验和专业知识的咨询公司或个人协助完成TISAX认证。这些专业人士可以帮助企业评估信息安全风险、制定信息安全计划等方面提供指导和建议。
TISAX评估的费用?
答:TISAX的成本因案件而异。TISAX认证费用包括ENX的注册费、外部审核费用、咨询及整改费用、差旅费等,以上费用具体多少,要根据贵司申请TSIAX标签的等级、场所和标签数量来决定
TISAX评估流程是怎样安排的?
TISAX评估流程主要分为六个步骤,由主机厂确定评估级别,TISAX参与方(被审核方)需到ENX网站进行注册,然后通过由VDA/ENX授权认可的第三方机构执行审核,包括自评估、初步评估、改进计划和后续评估。
通过审核后,企业将获得哪些优势?
企业通过TISAX审核后,证明其实力,尤其在参与投标时,可以作为有利附加条件。允许跨公司之间的审核结果互认。
TISAX 标签的有效期限?
TISAX 标签通常有效期为 3 年。 如果 TISAX 评估范围发生重大变化,其有效期可能会缩短。 例如:贵公司的搬迁,新地点(范围扩展评估)等。
在汽车行业中,TISAX认证的认可度怎么样?
TISAX认证是唯一对汽车产业链进行信息安全认证的机制,其合作协会–德国汽车工业协会(VDA)有着深刻的行业认知。在汽车行业中,德系主机厂的要求最为严格,其他欧系、美系和国内厂商也在纷纷跟进。为了确保供应链的信息安全,很多德国主机厂都已强制要求其各个级别的供应商必须通过TISAX认证才能与他们交换数据,国内很多汽车配件公司也都收到了强制认证通知。事实上,大众、奥迪、以及雪铁龙集团早在2018年就已对其供应商明确提出”必须通过TISAX认证”的要求,奔驰、宝马等也纷纷跟进对供应商在取得TISAX认证方面的要求。
哪些企业需要进行TISAX认证?
TISAX认证适用于汽车行业上下游供应链中的所有组织。奔驰、宝马、大众、奥迪等主机厂都已强制要求其各个级别的供应商必须通过TISAX认证,才能与之进行数据交换;国内众多零部件供应商也都接到了主机厂的通知而纷纷着手准备。
TISAX认证周期?
“认证过程通常持续1-3个月,取决于批准的范围。我们提供专业TISAX AL2 AL3认证,并且包过,降低客户的认证成本和风险,欢迎来电咨询。
TISAX 认证申请条件?
①申请者必须为合法经营的企业单位;
②能够提供汽车行业供应链的证据;
400-100-5686
客服