TISAX 汽車業可信任資訊安全評估詳細說明
- 2023.03.31
文章目錄
TISAX 是什麼?
汽車產業是如何定義資訊安全的標準?對於每天都有大量數據交流的汽車產業來說,相關的資訊安全是必須注意的。
TISAX網路平台提供汽車產業跨企業資訊安全評估認可支援。依據TISAX線上資訊安全評估的分享,企業能夠核對其他企業或是供應商是否完成評估,因為TISAX參與者是得到跨公司的認可,受稽核公司的資訊安全會更令人信任。
TISAX 的目的?
ISO 27001國際標準,雖然已經建立了先進的防護體系處理保密資訊,但對於汽車產業的特殊需求卻無法滿足,TISAX是德國汽車工業聯合會(VDA) 根據 ISO 27001 的標準規範,所訂製在汽車製造商、服務提供商和供應商之間的資訊安全統一標準,確保車輛能夠在製造到運作的完整性及可用性中得到保障,提供汽車產業的資訊安全評估與審核。
TISAX 的內容與架構
TISAX 的流程分為以下三大步驟
- 註冊:TISAX監管單位 ENX Association負責收集評估參與公司的過程及資訊。
- 評鑑:會由ENX Association指定的稽核人員執行評鑑流程的工作。
- 交換:合作夥伴以及參與者皆能獲得分享評鑑的結果。
TISAX 驗證的主要架構
TISAX 驗證範圍:合作夥伴的資安需求,以及相關廠區所有流程及關聯資源,包含其中的資料蒐集、資料儲存與資料處理。
TISAX 驗證三大類型:
- 資訊安全控制措施 (共 41 項)
- 原型保護 (共 22 項)
- 隱私保護 (共 4 項)
成熟度評鑑:評鑑分為0~5個等級,等級3為每個評鑑項目的最低標準。
TISAX 評估等級
TISAX分為三個不同審核等級,分別為AL1、AL2、AL3,各級別的評估方式如下:
| 評估方式 | AL1(自評) | AL2 | AL3 |
| 自評 | 是 | 是 | 是 |
| 證據 | 否 | 真實性查核 | 徹底詳細稽核 |
| 訪問 | 否 | 電話、線上會談 | 人員現場訪談 |
| 現場稽查 | 否 | 依評估者需求 | 是 |
TISAX 與ISO27001 差異
TISAX 與 ISO27001兩者皆能提升組織的資訊安全,並降低發生資訊安全相關事件的機會,主要差異在應用層面上。
ISO27001:
ISO 27001在資訊安全管理系統的認證中有廣泛的應用層面,通過 ISO 27001 認證,代表企業已建立、實施及維持及持續改善 ISMS要求之事項。
TISAX:
TISAX則是在汽車產業提供一個資訊安全評估的平台,在法規及管制項目則有三大管制面向:
- 資訊安全 (information security)
- 資料保護 (Data protection)
- 原型保護 (Prototype protection)
TISAX 適用對象
TISAX 適用的對象是汽車產業藉由資安評估的共享,了解其中資訊安全與資料保護的零件製造廠、應用產品廠商及供應鏈成員。
當一個公司或組織開始建立資訊安全管理系統時,有一些步驟是必須要遵循的。其中包括:
- 評估風險:這意味著評估可能會對組織造成損害的風險,並制定計劃來減輕或消除這些風險。
- 設計管理制度:建立一個資訊安全管理制度,包括文件、政策和流程,以確保所有人都知道如何保護數據和系統。
- 執行紀錄:按照所制定的程序規範進行資訊安全管控措施的執行,並對其進行監控和量測,以確保安全。
- 進行演練:進行營運持續和資訊事故處理等相關規劃的演練,以確保相關人員熟悉並了解如何應對安全事件。
- 自我評估:為了準備接受 TISAX 評估,將資訊安全管理制度調整到最佳狀態,並通過 ISA 標準的自我評估來確定成熟度等級。ISA 標準是一套通用的標準目錄,用於汽車行業的資訊安全評估。
TISAX 評估流程
達寬推薦相關課程
目前達寬推薦的課程有VDA系列、DVS系列、ISO系列提供豐富且專業的培訓、技術評估和認證,為汽車品質與人類安全盡一份心力。
想要讓你的企業成為國際標準的遵循者嗎?別擔心,達寬為你提供最佳解決方案!
首先,我們有提供教育訓練的服務喔!不懂的地方就問問我們的老師,他們都是國際標準的專家呢!
趕快加入達寬的行列,讓我們一起為你的企業開啟國際標準的大門吧!