贯标集团-江苏VDA信息安全评估的重磅升级 ——TISAX
- 供应商
- 贯标集团--天津公司
- 认证
- 联系电话
- 13116041931
- 手机号
- 13116041931
- 联系人
- 梁老师
- 所在地
- 天津市滨海高新区华苑产业区梅苑路5号金座广场-3318
- 更新时间
- 2024-06-14 08:36
引言
作为德国汽车工业联合会(vda)信息安全要求(isa— informationsecurityassessment)的升级版,tisax已于2017年底“重磅”推出。
vda建立其“信息安全”工作组已十多年,始终致力于开发成熟的适用于汽车行业的信息安全要求。近些年,不少标准都已成为适用于工业行业的信息安全标准,如iec62443、nistsp800、gb/t30976等。
作为vda的成员,之前的isa通常被用于组织的内部控制要求,或者是作为那些能接触组织敏感信息的供应商(服务商)的审核要求。从供应商(服务商)的角度来说,频繁的接受来自于不同客户的审核,且其审核要求大同小异,已经越来越成为供应商(服务商)自身运营的负担。为此,vda联合enx推出了得到大部分成员组织认可的信息安全评估流程,并将据此得到的审核结果放在一个可供信息交换的可信平台(tisax)上,以替代之前各主机厂的频繁审核,供各需求方进行经授权的查询。
tisax的参与方主要包括认可的审核服务方、汽车主机厂和众多的供应商(服务商),以及那些潜在的对此有兴趣的第三方。在tisax上的参与方只有两种角色,访问评估结果方和提供评估结果方。一个参与组织可能受另一家参与组织的要求,进行了信息安全评估,并对其公布自己的评估结果。当然,其它的参与组织也可以向其提出查看评估结果的要求,但这取决于后者自身的决定和授权范围。这样,可以避免重复的、频繁的审核要求,并提供可信的评估结果供需求方查询。
tisax由四方面组成,包括基本的信息安全要求,以及原型保护、第三方的联系和数据保护。当然,其它的模块也将陆续地加入tisax的评估要求中。
这些安全控制点,涉及到iso/iec 27001、iso/iec27002和iso/iec27017等标准。蕞新的isa要求(版本:4.0.3)去除了iso/iec27001的114项控制中20多项要求,增加了iso/iec27002和iso/iec27017的7项要求。对于所有的82项控制点来说,评估方都会对组织的各项实施状体予以成熟度的评估,从而展现出组织的各项改进空间。
对于国内众多的汽车主机供应商(服务商)而言,如何应对升级后的tisax,建立自身的信息安全内控要求将是一条必经之路。
展开全文