随着汽车行业数字化转型的不断推进,车联网概念的不断实践,法律法规的日趋严格以及安全事件的层出不穷,如何保障车主的个人信息、汽车主机厂的原型数据以及公司大大小小的商业机密成为汽车行业不得不迎接的挑战。
1. tisax的建立
通常情况下,一辆汽车约由上万个不可拆卸的零部件构成,而这些零部件由不同的供应商提供,一些制造业的供应商可能接收到来自整车厂的零部件、整车样件及其相关数据。而非制造业的供应商也会收到来自整车厂的数据,包括市场分析数据、营销策划数据等。考虑到汽车行业供应链牵一发而动全身的复杂性,汽车供应链任何一个枢纽出现信息安全事件都可能导致整条供应链的其他企业受到影响。过去,供应商们需要满足各大整车厂(oem)提出的安全要求,从而证明自己的安全能力,而面对层次不齐的安全标准和频繁的接受来自于不同客户的审核,不仅增加了供应商的流程负担,其存在的安全短板,还可能导致安全事件的发生。2017年,tisax(trustedinformation securityassessmentexchange)在信息安全大背景下应运而生。作为德国汽车工业协会(vda)和enx共同推出的可信信息安全评估交流机制,tisax为汽车行业提供了一套统一的安全测评标准以替代之前各主机厂的重复审核。tisax通过一次评估、多方使用的机制,为oem和汽车行业的供应商、服务商提供了一证三年的高效安全体系,供各需求方进行经授权的查询。
tisax – 汽车行业信息安全评估交流机制
2. tisax的相关方
vda(verbandderautomobilindustrie),即德国汽车工业协会,由德国620多家从事汽车工业生产的公司组成。
enx(the communications network of the europeanautomotiveindustry),即enx协会,于2000年6月创建,主要为欧洲汽车行业制定并执行标准,在tisax审核中作为主管机构,负责判定审核方资质,监控审核质量及结果。
tisax协会,tisax协会确保tisax概念的公开性及透明性,理解并制定vdaisa要求,确定审核方的资质要求,为enx协会实施审核提供保障。
oem(originalerer),即各大整车厂,他们会要求特定供应商提供tisax报告以决定是否要与该供应商合作。部分整车厂要求所有供应商证明其信息安全管理能力,在这种情况下,可能会采用管理服务商的模式,若tisax的要求由其管理服务商提出,可视同于整车厂的要求。
tisax审核方,由enx协会认证并对受审方进行审核,提供审核结果。
tisax受审方,在tisax中注册的公司,与汽车行业有关的各类参与商,接受审核方的审核。
3. 哪些企业需要获得tisax标签?
汽车行业是一个高度依赖供应商的行业,业务运营中存在大量的机密文件传输与交换,供应商的安全漏洞可能会导致整车厂的严重业务风险。在tisax推出早期,大众集团要求与其有数据交互的子公司和供应商,尤其是需要进行技术连接的供应商获得tisax标签。但是随着tisax的不断推广和各大车企对tisax的认同,宝马和戴姆勒都已开始考虑将tisax标签列为供应商准入的审核标准。所以,为汽车主机厂提供软件或硬件的,或可能获取其车辆信息的,或被要求获得tisax标签的,以及希望通过tisax标签证明自己信息安全能力的汽车行业相关供应商,建议获得tisax标签。目前,tisax标签认证的趋势已经从提供零部件的一级供应商逐渐扩大到提供元器件或信息服务的二级、三级供应商,国内众多汽车行业相关供应商和服务商均已开始积极准备tisax的认证。接下来,我们将不断地推出有关探讨tisax的文章,从介绍tisax四大模块的内容与iso/iec27001的比较,到详解tisax的考级体系和审核内容,再到讨论企业如何应对tisax的审核,蕞后深度解析企业如何依据tisax要求进行合规建设。从零开始,帮助您逐步了解tisax,玩转tisax!
tisax基础知识