TISAX最早起源于德国汽车OEMs对其供应商的信息安全内部审计,目的是评估整个汽车供应链所达到的信息安全水平。目前已通过VDA(德国汽车工业协会,评估标准制定者)和ENX(TISAX注册和标签共享平台)逐渐扩展到所有的德国汽车行业,成为一种评价供应商信息安全能力的通用评估和交换机制。TISAX和相应的信息安全评估机制在2017年开始成为强制性要求 ,全球所有供应商(包括零部件厂商、服务提供商等)均应实施和维持其信息安全管理体系(ISMS),并通过与之相应级别的TISAX审计,作为与OEMs签约和德系汽车行业的市场准入条件。
毕马威德国作为ENX认可的TISAX审计服务提供商,在全球拥有良好声誉和专业审计经验,毕马威中国严格遵循毕马威全球Cyber服务标准和内部TISAX审计流程,为中国客户提供一站式服务。通过中国和德国TISAX专业团队之间的高效衔接,降低沟通成本、缩短审计周期、提高审计流程包括取得TISAX标签的效率,并能根据国内客户的实际需求提供定制服务。
TISAX信息安全评估:从传统零部件供应商到更广泛的合作伙伴
TISAX审计的对象,一般是面向传统的汽车零部件供应商,从国内覆盖范围来看,无论是跨国企业还是本土企业,审计地点会包括公司总部的办公环境、研发环境,也包括其在各地的工厂、实验室、测试场地等。
随着汽车发展变得更加节能和数字化,新能源汽车、移动互联网和自动驾驶领域的公司及其相应的技术研发和相关服务也成为汽车供应链中不可或缺的一部分。许多知名的科技巨头和高创新的初创企业已开始踏上他们的TISAX之路。
此外,从事汽车市场研究、以客户为中心的服务的公司(如研究机构)以及提供支持性ICT服务(包括系统运营服务、邮箱服务、云服务等)的公司也需要向其OEMs客户和/或汽车客户提供有效的TISAX标签。
TISAX实施路径:
注册 ➝ 审计 ➝ 整改 ➝ 确认 ➝ 报告 ➝ 分享
根据要求,企业首先需要依据与OEMs约定的TISAX审计的范围Scope、模块Objective和级别Assessment Level,在ENX平台上完成注册。毕马威作为第三方审计机构,将为客户开展基于注册信息的信息安全评估,出具TISAX审计并签字上传ENX平台,企业将获取TISAX Label(有效期3年),作为供应商和OEMs申请采购订单、项目合作、系统开账号、供应商资格延续的必要条件。
TISAX审计对象、审计级别、成熟度评分
TISAX审计的内容除了通用的信息安全(基于ISO/IEC 27001和27002)之外,根据客户与OEMs的业务合作特点,还可能包括原型保护、第三方连接、数据保护三个模块。按照客户获取、处理和存储的信息敏感度,其保护级别可以分为High(AL2)和Very High(AL3) 。需要注意的是,AL3、或带有原型保护的AL2、或带有第三方连接的AL2,均必须(对每个涉及的工作场所)进行现场审计。通常的审计方法包括人员访谈、现场检查、取证确认等 。
审计结论将严格按照VDA ISA成熟度级别的方法,采用成熟度得分来表示。每一项控制点的成熟度得分范围在0-5之间(可以包括不适用项),由审计方来评价。取得TISAX标签的前提是:需要达到规定的成熟度水平,并且没有任何偏差项(被审计方必须基于发现和偏差进行及时整改,并在规定时间内由审计方进行跟进评估和确认)。
联系我们
张令琪
网络与信息安全咨询
合伙人
毕马威中国
+86 (21) 2212 3637
richard.zhang@kpmg.com
邬敏华
网络与信息安全咨询
副总监
毕马威中国
+86 (21) 2212 3180
fm.wu@kpmg.com