企航顧問(wèn)啟動(dòng)上海鷹峰電子科技股份有限公司的TISAX AL3（信息安全+原型保護(hù)）咨詢(xún)項(xiàng)目

2022/08/29

2022年8月下旬，企航顧問(wèn)啟動(dòng)了上海鷹峰電子科技股份有限公司的TISAX AL3（信息安全+原型保護(hù)）可信信息安全評(píng)估及交換機(jī)制咨詢(xún)項(xiàng)目。

TISAX相關(guān)專(zhuān)業(yè)知識(shí)請(qǐng)閱讀企航顧問(wèn)原創(chuàng)推文：
1、企航顧問(wèn)TISAX可信信息安全評(píng)估交換機(jī)制服務(wù)介紹
2、TISAX與ISO/IEC27001的比較研究
3、TISAX（可信信息安全評(píng)估及交換機(jī)制）合規(guī)體系建設(shè)方案

上海鷹峰電子科技股份有限公司成立于2003年9月，是一家集研發(fā)、制造、銷(xiāo)售、服務(wù)于一體的電力電子無(wú)源器件行業(yè)的高新技術(shù)企業(yè)。主要服務(wù)于西門(mén)子、ABB、施耐德、艾默生、日立、比亞迪等眾多知名品牌客戶(hù)。

信息安全對(duì)每個(gè)企業(yè)或組織來(lái)說(shuō)都是需要的，所以信息安全管理具有普遍的適用性，不受地域、產(chǎn)業(yè)類(lèi)別和公司規(guī)模限制。VDA（德國(guó)汽車(chē)工業(yè)聯(lián)合會(huì)）于2017年聯(lián)合ENX（歐洲汽車(chē)工業(yè)通信網(wǎng)絡(luò)協(xié)會(huì)）推出針對(duì)汽車(chē)行業(yè)的“可信信息安全評(píng)估及交換 Trusted Information Security Assessment Exchange（TISAX?）”機(jī)制，該機(jī)制進(jìn)一步的推動(dòng)企業(yè)在滿(mǎn)足不同相關(guān)方（主要是汽車(chē)整車(chē)制造商）的VDA-ISA（Information Security Assessment）信息安全評(píng)估，其評(píng)估結(jié)果能夠進(jìn)一步相互認(rèn)可、交換和信任，從而減少不同整車(chē)制造商的頻繁審核。

有關(guān)TISAX的詳細(xì)介紹，請(qǐng)閱讀企航顧問(wèn)原創(chuàng)推文《企航顧問(wèn)TISAX?可信信息安全評(píng)估及交換機(jī)制服務(wù)介紹》。

TISAX 審核內(nèi)容

1.  信息安全策略和組織Information Security Policies and Organization

   內(nèi)容涉及信息安全策略的創(chuàng)建、發(fā)布或分發(fā)及定期審查，資產(chǎn)管理，信息安全風(fēng)險(xiǎn)管理。

2.  人力資源Human Resources

   內(nèi)容涉及內(nèi)外部員工遵循信息安全規(guī)定的程度，內(nèi)外部員工遵守信息安全策略的程度。

3.  物理安全和業(yè)務(wù)連續(xù)性Physical Security and Business Continuity

   內(nèi)容涉及對(duì)敏感信息處理設(shè)施的安全區(qū)域的定義、保護(hù)和監(jiān)測(cè)，對(duì)自然災(zāi)害、故意襲擊或事故產(chǎn)生影響的應(yīng)對(duì)，信息安全要求和危機(jī)事件下的ISMS的連續(xù)性的界定、實(shí)施、核實(shí)和評(píng)估。

4.  身份與訪問(wèn)管理Identity and Access Management

   內(nèi)容涉及訪問(wèn)IT系統(tǒng)政策和程序的適用性，特權(quán)用戶(hù)和技術(shù)賬戶(hù)的分配和使用的監(jiān)督審查，用戶(hù)遵守創(chuàng)建和處理機(jī)密信息約束性政策的情況，授權(quán)人員的信息和應(yīng)用程序的獲取，與其他組織共享的環(huán)境中的數(shù)據(jù)分離。

5.  IT安全/網(wǎng)絡(luò)安全IT Security / Cyber Security

   內(nèi)容涉及密碼學(xué)，操作安全，系統(tǒng)采購(gòu)、需求管理和開(kāi)發(fā)。

6.  供方關(guān)系Supplier Relationships

   內(nèi)容涉及供應(yīng)商獲得公司信息資產(chǎn)時(shí)的風(fēng)險(xiǎn)控制，供應(yīng)商服務(wù)的定期檢測(cè)、審查和評(píng)估。

7.  合規(guī)Compliance

   內(nèi)容涉及相關(guān)法律（特定國(guó)家）法規(guī)和合同要求的符合情況，個(gè)人身份信息的保護(hù)，獨(dú)立第三方定期或發(fā)生重大變化時(shí)對(duì)ISMS的審核。

8.  原型件保護(hù)Prototype Protetion

   除物理及環(huán)境要求、組織架構(gòu)要求外，內(nèi)容還涉及整車(chē)及零配件處理（車(chē)輛或部件在運(yùn)輸過(guò)程中根據(jù)客戶(hù)要求的保護(hù)情況，停放/存放需要保護(hù)車(chē)輛或部件的實(shí)施情況），測(cè)試車(chē)要求（預(yù)先定義的偽裝法規(guī)的實(shí)施情況，測(cè)試場(chǎng)地的保護(hù)措施，公開(kāi)批準(zhǔn)試駕的保護(hù)措施），活動(dòng)拍攝及拍照要求（涉及車(chē)輛、部件或配件的演示和活動(dòng)的安全要求，涉及車(chē)輛、部件或配件的膠片和照片拍攝的保護(hù)措施）。

9.  數(shù)據(jù)保護(hù)Data Protection

   內(nèi)容涉及數(shù)據(jù)保護(hù)的實(shí)施程度，個(gè)人身份數(shù)據(jù)處理的合法性保障措施，內(nèi)部或工作流程在數(shù)據(jù)保護(hù)法規(guī)下進(jìn)行，有關(guān)處理流程在何種程度上記錄了其可受理性。

TISAX標(biāo)簽

1. 根據(jù)VDA要求，企業(yè)首先需要和主機(jī)廠確定TISAX的評(píng)估范圍Assessment Scopes、評(píng)估目標(biāo)Assessment Objective和評(píng)估級(jí)別Assessment Level，并在ENX（第三方平臺(tái)）上完成上述信息的注冊(cè)，然后選擇具備TISAX評(píng)估資質(zhì)的評(píng)估機(jī)構(gòu)開(kāi)展信息安全評(píng)估，并最終出具TISAX評(píng)估評(píng)估報(bào)告，報(bào)告經(jīng)評(píng)估機(jī)構(gòu)和企業(yè)雙方簽字后，獲取TISAX標(biāo)簽（TISAX Label），作為供應(yīng)商和主機(jī)廠申請(qǐng)采購(gòu)訂單、項(xiàng)目合作、系統(tǒng)開(kāi)賬號(hào)、供應(yīng)商資格延續(xù)的必要條件。

   很多國(guó)內(nèi)企業(yè)在這方面受傳統(tǒng)體系認(rèn)證的影響，覺(jué)得TISAX也是必須先做咨詢(xún)后拿證書(shū)，這是一個(gè)很大的誤區(qū)，TISAX就是德國(guó)汽車(chē)行業(yè)委托第三方評(píng)估機(jī)構(gòu)開(kāi)展的一項(xiàng)信息安全評(píng)估，最終得到的是一份評(píng)估報(bào)告（三年有效），并不存在所謂的證書(shū)，TISAX Label是一個(gè)在 ENX 第三方平臺(tái)上可供行業(yè)內(nèi)共享的評(píng)估記錄，這點(diǎn)類(lèi)似國(guó)內(nèi)基于《網(wǎng)絡(luò)安全法》開(kāi)展的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)，測(cè)評(píng)機(jī)構(gòu)出具的是一份測(cè)評(píng)報(bào)告，TISAX評(píng)估機(jī)構(gòu)出具的也是一份評(píng)估報(bào)告，而TISAX Label類(lèi)似公安部門(mén)發(fā)的備案證明。

    

    

• 目前現(xiàn)行TISAX一共定義了8個(gè)標(biāo)簽。企業(yè)通過(guò)申請(qǐng)，通過(guò)幾個(gè)，就將獲得幾個(gè)標(biāo)簽。目前標(biāo)簽包括：

  2個(gè)信息安全標(biāo)簽（INFO HIGH，INFO VERY HIGH）；

  2個(gè)數(shù)據(jù)保護(hù)標(biāo)簽（DATA，SPECIAL DATA）；

  4個(gè)原型保護(hù)標(biāo)簽（PROTO PARTS，PROTO VEHICLES，TEST VEHICLES，EVENTS SHOOTINGS）。

TISAX 評(píng)估方式

TISAX評(píng)估結(jié)論將嚴(yán)格按照VDA-ISA成熟度級(jí)別的方法，采用成熟度得分來(lái)表示。每一個(gè)控制項(xiàng)的成熟度得分范圍在0-5之間（可以包括不適用項(xiàng)），由評(píng)估機(jī)構(gòu)來(lái)評(píng)價(jià)。

1、不完整的成熟度為0：沒(méi)有過(guò)程，或者過(guò)程不起作用、不適合實(shí)現(xiàn)目標(biāo)；

2、起一定作用的成熟度為1：遵循未記錄/未完整記錄過(guò)程，有指標(biāo)達(dá)成目標(biāo)，并由證據(jù)證明預(yù)期的基本實(shí)踐已經(jīng)實(shí)施；

3、勉力應(yīng)付的成熟度為2：遵循實(shí)現(xiàn)目標(biāo)的過(guò)程，過(guò)程文件和過(guò)程實(shí)施證據(jù)可用。

• 過(guò)程實(shí)施控制：確定 目標(biāo)、計(jì)劃并監(jiān)控實(shí)施、適時(shí)調(diào)整、定義分配和實(shí)施職責(zé)和權(quán)限、確定分配使用資源、管理相關(guān)方接口及溝通到位。

• 工作成果管理：確定工藝要求、定義工作成果的文件和控制要求、對(duì)工作成果進(jìn)行識(shí)別和控制、根據(jù)計(jì)劃對(duì)工作成果進(jìn)行評(píng)審并適時(shí)調(diào)整。

4、已獲確認(rèn)的成熟度為3：遵循集成到整個(gè)系統(tǒng)中的標(biāo)準(zhǔn)流程。對(duì)其他過(guò)程的依賴(lài)被記錄下來(lái)，并創(chuàng)建合適的接口。有證據(jù)表明，這一過(guò)程在很長(zhǎng)一段時(shí)間內(nèi)得到了持續(xù)和積極的使用。

• 過(guò)程定義：定義標(biāo)準(zhǔn)過(guò)程、確定順序和相互作用、能力和角色、基礎(chǔ)設(shè)施和環(huán)境、監(jiān)控有效性和適宜性。

• 過(guò)程部署：部署、分配角色職責(zé)權(quán)限、員工有經(jīng)驗(yàn)被培訓(xùn)、提供資源、維保、收集數(shù)據(jù)證明有效性和適宜性。

5、可預(yù)測(cè)的成熟度為4：同3級(jí)，另外流程可被測(cè)量和控制；

6、使優(yōu)化的成熟度為5：同4級(jí)，另外有專(zhuān)門(mén)的資源負(fù)責(zé)持續(xù)積極改進(jìn)。

在評(píng)分0-5分的基礎(chǔ)上，TISAX還使用了cut back機(jī)制，每個(gè)大控制點(diǎn)的目標(biāo)成熟度都是3分，為了確保低分項(xiàng)不會(huì)被高分項(xiàng)拉高最終評(píng)分，實(shí)際得分超過(guò)目標(biāo)成熟度的分?jǐn)?shù)均會(huì)被折算為目標(biāo)成熟度。具體操作如下圖所示，當(dāng)實(shí)際成熟度評(píng)分為4分或5分時(shí)，將調(diào)整為3分；實(shí)際成熟度評(píng)分為1-3分的將維持原分?jǐn)?shù)不變。

取得TISAX標(biāo)簽的前提是：需要達(dá)到規(guī)定的成熟度水平，并且沒(méi)有任何偏差項(xiàng)（被評(píng)估方必須基于發(fā)現(xiàn)和偏差進(jìn)行及時(shí)整改，并在規(guī)定時(shí)間內(nèi)由審計(jì)方進(jìn)行跟進(jìn)評(píng)估和確認(rèn)）。

TISAX評(píng)估分為三個(gè)階段：初始評(píng)估，糾正措施計(jì)劃評(píng)估和后續(xù)評(píng)估。整個(gè)評(píng)估過(guò)程最長(zhǎng)不能超過(guò)9個(gè)月。如果在此規(guī)定時(shí)間內(nèi)，沒(méi)有完成評(píng)估流程，則必須重新申請(qǐng)?jiān)u估流程。

TISAX 流程三大步驟

Step1注冊(cè)：

TISAX有別于常見(jiàn)體系的地方之一，可以把TISAX看成個(gè)論壇、朋友圈，注冊(cè)過(guò)程需明確范圍、業(yè)務(wù)場(chǎng)景、評(píng)估級(jí)別（即E3）、信息安全管理現(xiàn)狀（如ISMS建設(shè)或認(rèn)證）等信息，注冊(cè)成功后可以與業(yè)務(wù)伙伴在網(wǎng)站上分享相關(guān)信息。

Step2 評(píng)估：

TISAX用Assessment這個(gè)詞，作用上與常見(jiàn)體系的Audit相差不大，有自評(píng)估、初始評(píng)估、后續(xù)評(píng)估的說(shuō)法，自評(píng)估可視為內(nèi)審，初始評(píng)估、后續(xù)評(píng)估可視為外審，但TISAX中后續(xù)評(píng)估不是外審的二次審核，也不是必經(jīng)項(xiàng)，組織可以在初始評(píng)估中完全符合，進(jìn)而一次性通過(guò)TISAX審核評(píng)估，獲取標(biāo)簽。

Step3交換：

是TISAX關(guān)鍵功能之一，TISAX中文可翻譯為可信信息安全交換，而最后的X來(lái)自Exchange，交換的是TISAX審核評(píng)估的結(jié)果。

關(guān)于企航顧問(wèn)

上海企航科技咨詢(xún)有限公司【中文簡(jiǎn)稱(chēng)：企航顧問(wèn) or 企航咨詢(xún) ，英文簡(jiǎn)稱(chēng)：SQT】

企航顧問(wèn)在汽車(chē)供應(yīng)鏈領(lǐng)域提供的服務(wù)有：

• IATF16949、VDA6.1、VDA6.2、VDA6.4：汽車(chē)工業(yè)質(zhì)量管理體系咨詢(xún)和培訓(xùn)

• TISAX：可信信息安全評(píng)估交流機(jī)制咨詢(xún)和培訓(xùn)

• ASPICE：汽車(chē)軟件過(guò)程改進(jìn)及能力評(píng)定咨詢(xún)和培訓(xùn)

• ISO26262：汽車(chē)功能安全咨詢(xún)和培訓(xùn)

• ISO/SAE 21434：道路車(chē)輛 信息安全工程咨詢(xún)和培訓(xùn)

• MMOG/LE：全球物料管理運(yùn)作指南/物流評(píng)估培訓(xùn)和輔導(dǎo)

• BIQS、QSB+、Ford-Q1、Formel-Q：OEM汽車(chē)供應(yīng)鏈驗(yàn)廠輔導(dǎo)

• CQI-x：熱處理、電鍍、涂裝、焊接、錫焊、模塑、鑄造、釬焊等特殊工藝過(guò)程控制與管理的培訓(xùn)和咨詢(xún)

• APQP、FMEA、MSA、SPC、PPAP：汽車(chē)工業(yè)五大核心工具的培訓(xùn)和輔導(dǎo)

• 其它 ......

企航顧問(wèn)在IATF16949項(xiàng)目上的優(yōu)勢(shì)：

• 4,000+ 汽車(chē)整車(chē)及零部件企業(yè)全程輔導(dǎo)獲得16949（ISO/TS or IATF）證書(shū)

• 4,500+ 汽車(chē)整車(chē)及零部件QS9000\VDA6.1&6.4\QSB\16949全程輔導(dǎo)

• 6,000+ 客戶(hù)包括眾多國(guó)際及國(guó)內(nèi)知名企業(yè)全過(guò)程咨詢(xún)經(jīng)驗(yàn)

• 10,000+ 培訓(xùn)企業(yè)客戶(hù)（內(nèi)訓(xùn)+公開(kāi)課+游學(xué)+研修）

• 100,000+ 課時(shí)AIAG核心工具、VDA-x、CQI-x、BIQS、MMOG/LE、Q1及內(nèi)審員授課經(jīng)驗(yàn)

• 東風(fēng)汽車(chē)有限公司連續(xù)9年華東地區(qū)唯一指定咨詢(xún)合作伙伴

• 國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)（CNCA）首批備案之16949、EMS、OHSMS顧問(wèn)機(jī)構(gòu)

• 中國(guó)認(rèn)證認(rèn)可協(xié)會(huì)（CCAA）理事單位、上海市認(rèn)證協(xié)會(huì)（SCA）理事單位

• 全國(guó)六西格瑪推行工作委員會(huì)（CCPSS）委員單位