TISAX-信息安全的评估和交换机制

一、背景
在日趋严格的信息安全合规要求与层出不穷的信息安全事件下，供应商如何向主机厂（OME）证明其自身的信息安全能力，如何保护主机厂的原型、样件、各类商业机密与客户数据，成为了汽车行业近年来的热门话题。
TISAX作为VDA德国汽车工业协会对所有 德系汽车主机厂、合资企业和供应商的信息安全要求，给出了德系汽车工业对于供应商技术评估、系统管理、项目合作、供应商资格延续在内的最佳实践。

供应商、OEM之间的关系图一

二、TISAX概述
2017年底，VDA和ENX联合为VDA ISA创建TISAX（Trusted Information Security Assessment Exchange）:信息安全的评估和交换机制，可以实现汽车行业信息安全评估的相互认可，并提供通用的评估和交换机制。

ISA: 用于组织的内部控制要求， 接触组织敏感信息的供应商（服务商）的审核要求。

VDA联合ENX推出成员组织认可的信息安全评估流程，将审核结果放在的授权平台上以供信息查询和交换。

ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会

ENX协会：TISAX的监管和组织的角色。

由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。

通过监管“ENX治理三角”得到保证，包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。

三、流程
1、注册；
2、评估；
3、交换；

1、注册：
1.1、TISAX 注册的主要目的，是采集关于您公司的信息。我们使用在线注册流程，来帮助您向我们提供该信息。
注册是所有后续步骤的先决条件，并需要缴纳费用。
在线注册过程中：

• 提供联系方式与地址信息。
• 须接受相应的条款和条件。
• 自定义信息安全评估的范围。
  2、评估
  2.1、第二步是完成信息安全评估。
  其中，包含四个子步骤：
  a.评估准备
  您需要针对评估工作进行准备，其程度视您的信息安全管理体系目前的成熟度而定。准备工作应基于 ISA 目录进行。
  b.选择审计服务提供商
  在准备好接受评估后，您需要选择一名由我方指定的 TISAX 审计服务提供商。
  c.信息安全评估
  您选定的审计服务提供商将从满足合作伙伴的要求出发，依照评估范围来相应开展评估工作。评估流程将包括预审计这一基本步骤。
  如果您的公司未能立即通过评估，则评估流程可能需要增加额外的步骤。
  d.评估结果
  一旦您的公司通过评估，您的审计服务提供商将向您提供正式的 TISAX 报告。您的评估结果亦将印上“TISAX 标签”。
  3、交换
  3.1、第三步，也就是最后一步，是与您的合作伙伴共享自己的评估结果。TISAX 报告的内容按照等级进行划分，您可自行决定合作伙伴有权查看哪一级别的内容。
  评估结果的有效期为三年，假设届时您仍是合作伙伴的供应商，那么您需要再次完成上述三大步骤。

注：一旦Share以后不得更改Share对象，因此在获得Label以后需谨慎共享。

2021年12月27日，continue…………
预告：下一节简述TISAX建设的具体步骤