贯标集团-江苏VDA信息安全评估的重磅升级 ——TISAX

引言

作为德国汽车工业联合会(vda)信息安全要求(isa— informationsecurityassessment)的升级版，tisax已于2017年底“重磅”推出。 

vda建立其“信息安全”工作组已十多年，始终致力于开发成熟的适用于汽车行业的信息安全要求。近些年，不少标准都已成为适用于工业行业的信息安全标准，如iec62443、nistsp800、gb/t30976等。

作为vda的成员，之前的isa通常被用于组织的内部控制要求，或者是作为那些能接触组织敏感信息的供应商（服务商）的审核要求。从供应商（服务商）的角度来说，频繁的接受来自于不同客户的审核，且其审核要求大同小异，已经越来越成为供应商（服务商）自身运营的负担。为此，vda联合enx推出了得到大部分成员组织认可的信息安全评估流程，并将据此得到的审核结果放在一个可供信息交换的可信平台(tisax)上，以替代之前各主机厂的频繁审核，供各需求方进行经授权的查询。

tisax的参与方主要包括认可的审核服务方、汽车主机厂和众多的供应商（服务商），以及那些潜在的对此有兴趣的第三方。在tisax上的参与方只有两种角色，访问评估结果方和提供评估结果方。一个参与组织可能受另一家参与组织的要求，进行了信息安全评估，并对其公布自己的评估结果。当然，其它的参与组织也可以向其提出查看评估结果的要求，但这取决于后者自身的决定和授权范围。这样，可以避免重复的、频繁的审核要求，并提供可信的评估结果供需求方查询。

tisax由四方面组成，包括基本的信息安全要求，以及原型保护、第三方的联系和数据保护。当然，其它的模块也将陆续地加入tisax的评估要求中。

这些安全控制点，涉及到iso/iec 27001、iso/iec27002和iso/iec27017等标准。蕞新的isa要求（版本：4.0.3）去除了iso/iec27001的114项控制中20多项要求，增加了iso/iec27002和iso/iec27017的7项要求。对于所有的82项控制点来说，评估方都会对组织的各项实施状体予以成熟度的评估，从而展现出组织的各项改进空间。

对于国内众多的汽车主机供应商（服务商）而言，如何应对升级后的tisax，建立自身的信息安全内控要求将是一条必经之路。