就目前的汽車配置來看，車載電腦已經(jīng)是車上的標(biāo)準(zhǔn)配備。例如車載導(dǎo)航、影片播放、上網(wǎng)、電話、故障診斷等功能都是車載電腦的應(yīng)用，但也因網(wǎng)絡(luò)安全漏洞及資料外泄事件層出不窮，車載信息安全問題成為社會關(guān)注的焦點(diǎn)。以下我們匯總在輔導(dǎo)經(jīng)驗(yàn)中常被詢問到的幾個(gè)常見問題予以說明。

Q1. 什么是 TISAX？

ANS：

TISAX(Trusted Information Security Assessment Exchange)信息安全的評估和交換機(jī)制是2017年由德國汽車工業(yè)聯(lián)合會 (VDA) 聯(lián)合歐洲網(wǎng)絡(luò)交換所 (ENX) 所推出的信息交換平臺，把受多數(shù)組織成員認(rèn)可的信息安全評估流程 VDA ISA (Information Security Assessment) 之審核結(jié)果放上平臺，供參與者在得到被審核者授權(quán)后做查詢，是一個(gè)參考 ISO 27001、ISO 27002等標(biāo)準(zhǔn)規(guī)范所制定的信息安全評估結(jié)果的交換平臺。

ISA: 用于組織的內(nèi)部控制要求， 接觸組織敏感信息的供應(yīng)商(服務(wù)商)的審核要求。

VDA聯(lián)合ENX推出成員組織認(rèn)可的信息安全評估流程，將審核結(jié)果放在的授權(quán)平臺上以供信息查詢和交換。

ENX:為歐洲汽車工業(yè)提供開發(fā)、采購和生產(chǎn)控制安全交換關(guān)鍵數(shù)據(jù)解決方案的協(xié)會

ENX協(xié)會：TISAX的監(jiān)管和組織的角色。

由ENX認(rèn)可審核機(jī)構(gòu)并且監(jiān)督審核機(jī)構(gòu)的審核結(jié)果以及審核的合規(guī)性。

通過監(jiān)管“ENX治理三角”得到保證，包括ENX協(xié)會與ENX認(rèn)可的審核機(jī)構(gòu)之間以及ENX協(xié)會與每個(gè)參與者之間的合作。

Q2. 誰會需要使用到 TISAX？

ANS：

汽車零件制造廠、汽車應(yīng)用產(chǎn)品廠商及汽車供應(yīng)鏈成員。

Q3. 導(dǎo)入 TISAX的好處？

ANS：

TISAX平臺上的評估結(jié)果具公信力，有助取得客戶信任。

(TISAX)-VDA ISA的問項(xiàng)內(nèi)容統(tǒng)一，參與者之評估結(jié)果具可比較性。

降低重復(fù)性的審核作業(yè)，每三年評估一次即可。

許多歐系車廠如 Volkswagen / BMW / Porsche 已開始要求供應(yīng)鏈必須取得 TISAX 認(rèn)證。

Q4. TISAX目前在國內(nèi)的現(xiàn)狀

ANS：

目前大眾，奧迪和保時(shí)捷要求供應(yīng)商必須通過TISAX認(rèn)證。后續(xù)其他德國車企也會跟進(jìn)要求供應(yīng)商通過TISAX認(rèn)證。

Q5. 導(dǎo)入 TISAX及 ISO 27001之目的及應(yīng)用層面有何差異？

ANS：

兩者皆可提升組織的信息安全能力，降低信息安全事件、事故的發(fā)生，只是應(yīng)用層面有所不同。

1. ISO 27001是一應(yīng)用層面廣泛的信息安全管理系統(tǒng)的認(rèn)證，適于各產(chǎn)業(yè)采用。

2. TISAX則提供了汽車產(chǎn)業(yè)一信息安全評估結(jié)果的平臺，在評估方獲得被審核者授權(quán)后 (在 ENX Portal上授予權(quán)限)，讓被審核者可自行決定那些伙伴可在平臺得知其信息安全評估結(jié)果，藉此讓汽車供應(yīng)鏈合作伙伴了解其在網(wǎng)絡(luò)安全及資料保護(hù)上的成果。

Q6. ISO 27001及(TISAX)-VDA ISA之章節(jié)內(nèi)容有何不同？

ANS：

ISO 27001共包含兩部分，除了條文第四章至第十章，另外還有附錄 A的 114個(gè)資安控制措施，通過 ISO27001認(rèn)證代表企業(yè)已建立、實(shí)施及維持及持續(xù)改善ISMS要求之事項(xiàng)

TISAX VDA-ISA (Information Security Assessment) 參考 ISO 27001、ISO 27002等規(guī)范外，并參酌法規(guī)(例如:歐盟個(gè)資法 GDPR)及汽車產(chǎn)業(yè)之要求做為管制項(xiàng)目，四大管制面向及內(nèi)容簡述如下:

1. 信息安全 (information security) : 因?qū)俸诵牡膹?qiáng)制(mandatory)評估項(xiàng)目，故必須評估，無法排除。及下列選擇性問項(xiàng)，共三類。

2. 第三方的連接 (Connection to 3rd parties) : 如項(xiàng)目辦公室和項(xiàng)目區(qū)域。

3. 資料保護(hù) (Data protection) : GDPR第28條資料處理者。

4. 原型保護(hù) (Prototype protection) : 針對尚未對外公布的車、元件、零件之保護(hù)。

Q7. TISAX與ISO27001主要差異為何？

ANS：

1. 范圍: ISO 27001適用產(chǎn)業(yè)的范圍較 TISAX廣。

2. 級別制: ISO 27001無級別制，TISAX則采用級別制，

共有三種審核等級 (Assessment level (AL)，AL1一般是自評，AL2和 AL3需要第三方稽核員對公司進(jìn)行現(xiàn)場稽核，一般獲得 AL2和 AL3才能夠獲得TISAX的認(rèn)可。

而 AL2或 AL3則由客戶依照與供應(yīng)商的資料串接情況做選定，各級別評估方式如下：

(source:TISAX Participant Handbook)

另外，TISAX在四大管制面向六個(gè)成熟度級別做評分，讓組織了解現(xiàn)況級別，并可供往更高級別進(jìn)步之參考，六個(gè)成熟度級別定義如下：級別0：不完整級別1：已執(zhí)行級別2：已管理級別3：已建立級別4：可預(yù)測級別5：持續(xù)優(yōu)化。

Q8. 通過TISAX審核的步驟是怎樣的？

ANS：

初始診斷階段：明確TISAX審核范圍，審核等級。

風(fēng)險(xiǎn)評估階段

體系文件編寫階段

體系試運(yùn)行階段

體系完善階段

TISAX審核認(rèn)證

售后服務(wù)階段

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://m.rumin8raps.com/zs/202110/ccaa_29475.html