TISAX®汽车可信信息安全评估交换

希望在数字时代保持竞争力的企业必须高度重视信息安全。对于汽车行业来说尤其如此，每天都会交换大量机密数据。

• 网络攻击事件呈现出上升趋势；
• 大多数汽车网络黑客都是出于恶意进行的；
• 汽车相关 CVEs 的数量正在增加；
• 国际局势风云变幻，汽车产业链对可持续运营的需求日渐凸显。

TISAX®评估方案确保汽车制造商、服务提供商和供应商之间的信息安全水平一致。它通过确保制造过程中的完整性和可用性来帮助保护数据。专用的在线平台可以在汽车行业内交换信息安全评估结果。

TISAX®涉及生产过程中的信息保护保密性、完整性和可用性。为此ENX协会开发了一个专门的在线平台，用于交流汽车行业的信息安全评估结果。注册后，公司可以访问这些文件。TISAX一共有AL1，AL2，AL3三个级别。其中 AL2，AL3由授权的第三方认证机构进行评估，企业通过后可以使用TISAX标签。现行TISAX（ISA6版本）目前一共定义了10个标签，包括：2个保密性标签，2个可用性标签，4个原型保护标签以及2个数据保护标签，企业通过申请和评估，通过几个，就获得几个标签。

汽车行业的核心信息安全问题-信息安全是汽车行业的关键成功因素

隐私保护问题：隐私或个人数据的保护与合规

56%的消费者表示信息安全和隐私保护将成为他们未来做出车辆购买决定时的主要考虑因素；

信息安全管理问题：成体系、开放式、可兼容、多层次的信息安全管理与实践

信息安全必须融入到企业的文化精髓之中，并在车辆的整个生命周期确保信息的安全性；

风险控制问题：从设计、制造、驾驶到服务的整体信息安全风险控制

在互联互通式汽车时代，没有信息保护的车辆就不是完全安全的。

TISAX®评估内容

● TISAX是成熟度评估，其评估基于ENX协会发布的ISA的评估表。

● ISA当前版本（V6）一共有四项评估目标79个控制大类组成：

● 保密性&可用性（45个控制点）

● 原型保护（22个控制点）

● 数据保护（12个控制点）

● 第三方认证机构将按照VDA ISA评估表所列项目对企业进行评估，综合成熟度水平达到2.7分以上且没有不符合项遗留，合格。

TISAX评估的基本流程

TISAX评估的基本过程（参考流程）

● Step1-TISAX审核范围确认

● Step2-TISAX初步评估

● Step3-TISAX改进行动计划评估

● Step4-TISAX信息安全管理体系改进

● Step5-TISAX运行和完善阶段

● Step6-TISAX跟踪审核

● Step7-TISAX审核报告和标签获取

● Step8-TISAX审核结果公示

TISAX®评估的优势

☑ 促进现有供应商关系的续签。

☑ 通过全行业的认可，开启了建立全新业务联系的机会。

☑ 在行业内建立统一的信息安全标准。

☑ 使评估结果得到普遍认可。

☑ 与制造商和供应商合作以节省成本和精力，每三年评估一次即可。

TISAX®评估的四步法

VDA在2003年成立了信息安全工作小组。这一合作的一个主要成果VDA ISA目录。该目录是信息安全评估的行业标准，其基于ISO/IEC27001信息安全管理体系标准。VDA建议参与汽车行业价值链的公司建立信息安全。

SGS的快速安全评估流程：

 中国境内首家获得中国合格评定国家认可委员会(CNAS) ISO 17020认可的第三方合资检验机构，提供本土化解决方案；

 我们拥有广泛的全球和当地产品经理网络，可为客户提供最具洞察和前沿的技术专长及一流的服务，同时也意味着我们可以高效、持续地支持客户的国际业务和全球发展计划；

 SGS主导和参与了多项国际级标准、行业标准、地方标准编写，成功完成了诸多规模庞大，内容复杂的国际项目，凭借SGS的国际品牌声誉，获得全球范围内的认可；

 在全球IT领域，全球首批获得 ISO/IEC 20000和ISO/IEC 27001认证服务资质的机构之一，在信息和网络安全标准、认证和培训方面处于先进地位；

 全球范围内第一家同时拥有CSA STAR云安全评估以及EuroCloud欧盟云认证资格的认证机构，提供汽车行业与信息安全专业知识的强大组合；

 最早被欧盟云端联盟(EuroCloud Europe, ECE)认可在中国开展ECSA培训的认证机构。

● ISO/IEC 27001 信息安全管理体系

● IATF 16949 汽车行业质量管理体系

● ISO/IEC 27701 隐私信息管理体系

● VDA6.3 过程审核

● VDA6.5 产品审核

● ISO/SAE21434道路车辆网络安全工程

● ISO 14064 温室气体审核

● ISO 14067产品碳足迹

● 汽车行业低碳解决方案