HLC 、什么是TISAX？ 随着信息化的普及，信息系统的基础性、全局性日益突出，信息资源已成为重要的战略资源之一 汽车行业也是一样，每日产生着大量的交互数据。供应链中的任何一家机密信息被泄露，都会对整个供 应链照成巨大损失。这就要求整车制造商及其上游所有企业都能协调一致采取共同行动应对日趋严峻的 网络安全威胁。 德国汽车工业协会（VDA）多年前就推动成员企业符合信息安全标准，很多年前建立VDA-ISA信息安 全评估标准，通常被用于组织的内部控制要求。从供需双方的角度，不同的客户以及供方审核导致众多 资源的浪费。为此，VDA联合ENX推出了信息安全评估流程，并将其审核结果放在一个可供信息交换的可 信平台（TISAX）上，其评估结果能够进一步相互认可，交换和信任，从而减少不同整车制造商的频繁审核。 TheTISAXmodelprovidesforITsecurityassessmentsbyauditproviders VDA in accordance witha VDA standard, and helps avoid redundantaudits. Newconcept:informationsecurityauditsofsuppliers(schematicdiagram) VDA TISAX=Trusted Information Security AssessmentExchange 3.0 industry /service certificate Governance accreditation ENX andsuppliers Awards accreditation TISAXauditprovider (assessment&certification) providers Supplies audit resuits andpays OEMS Requests ment Suppliers with business relations with the automotive industry 1:n ! relevanttoinformationsecurity "Information Security"workinggroup Page 图片来自于"Beschreibung TISAX und VDA-ISA fur VDA"，通过监管“ENX治理三角”得到保证， 包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。 二、通过TISAX认证的好处： 1 HLC 2.1能够满足外部需求方的直接要求，行业内的相互认可：所有VDA成员和OEM都需要获得TISAX认证， TISAX认证为汽车行业内的信息安全评估提供了统-且有约束力标准，评估结果得到其他TISAX参与者 共同认可从而实现汽车行业企业之间安全互信： 要进行次TISAX评估； 2.3提升员工安全意识，员工的行为对公司内部的安全有重大影响，通过TISAX提高员工安全意识与能力。 三、申请认证条件： 3.1申请者必须为合法经营的企业单位： 3.2能够提供汽车行业供应链的证据； 四、认可流程： 4.1.去ENX官网注册，确定好审核的信息安全范围等级和地点。注册完成后和审核公司约好审核的时间 和地点，确定好费用。 4.2.内部自查，根据VDA-ISA_EN_4-1-0里面的详细要求，找到目前公司的信息安全体系和标准之间的 差距。 4.3．内部整改，根据评审出的差异点进行内部整改，同时开展内部信息安全培训。 文件。同时，对于缺少的软硬件都必须到位。 4.5．公司内部再次根据VDAISA评估目前公司的信息安全运行情况，如果评分可以达到TISAX的要求， 可以调整到最佳状态迎接TISAX审核员的外审。 4.6．外审通过，等待外审机构报告，如果未通过，根据情况，再次审核，知道审核通过为止。需要注意 的是，您必须在9个月的时间内通过全部审核，否则需要全部重新开始申请一次。 2 HLC 五、审核注意事项： 5.1在执行TISAX审核之前需要企业与授权认证审核服务机构确定TISAX的审核对象，审核范围和审核级 别。 审核对象：是指企业组织范围，部门范围，物理地点等范围； 审核范围：是指标准范围，压缩范围还是扩展范围； 审核级别：分为3个级别，不同的审核级别是由参与方期望达到的保护级别所决定的，TISAX区分三 个不同的“保护级别”（正常，高和非常高），其对应AL1，AL2和AL3的审核级别；如果只是AL1 级别的审核，不需要外部审核方参与企业执行自我评估即可，但注意此级别无法获得TISAX标签；因 此企业通常都需要外部认证审核方执行AL2或AL3级别审核从而实现高和非常高的保护级别； 审核级别 保护级别 由被审核方执行自我评估审核，使用VDAISA自评问卷执行评估即可 正常 AL1 对被审核方的白评结果执行真实性检查，检查时主要通过支持文档的评 AL2 高 估和专家访谈热行 执行完整的审核评估包括支持文档的评估，现场检直，和专家访谈等 非常高 AL3 5.2对于TISAX审核时的具体技术标准的依据是VDA-ISA标准，这个标准是VDA组织基于ISO/IEC27XXX 不同信息安全相关标准定制而来，其中主要包括信息安全体系，第三方联系，数据保护，原型保护 等四个方面，包括多个控制检查点组成。 3 HLC If you have to selectthe assessment objective based on your own judgement, youmay find it helpful to considerthe following aspects: No.Assessment objectives Advice Infomation You may derive the protection level (high, verv high) from the documentclassificationofyourpartner. Connectionto3rdparties Generally,thisassessment objective applieswhen youhaveyour ownlocation(suchasanoffice)onyourpartner'spremisesandyou accessyourpartner'sapplicationsvia directnetworkconnections Theuse of this criteria catalogue among the OEMs is subject to individual interpretation.We therefore can't provide advice here Handling of prototypes If the parts you deal with are not visible or are ordinary parts, it is probably sufficient to select “Handling of prototypes with high protection level" If thepartsyoudealwitharevisibleforvehiclebuyersand essential for the design or if they bring a significant competitive advantage, then you probably have to select “Handling of prototypes with very highprotection level" Dataprotection If you handle customer data that falls under German $11 BDSG, you probablyhavetoselect“DataprotectionaccordingtoGerman11 BDSG" Ifyouhandlespecialcategoriesofdata(likehealthorreligion)that fall underGermans3section(9)BDSG("BesondereArten")and German $11 BDSG ("Auftragsdatenverarbeitung"),then you probably haveto select'Data protection with special categoriesof personal data" 评估的基础是VDA信息安全评估（ISA）调查问卷，由VDA信息安全委员会创建和维护。它可以从VDA 网站下载德语或英语。 5.3对于拥有多个地点的公司，常规TISAX评估流程可能非常广泛。在某些条件下，我们提供了另一种选 ， 与常规 TISAX评估过程相比，它可以减少工作量。这种特殊的 TISAX评估流程专为拥有至少三个地 点和集中，高度发达的信息安全管理系统（ISMS）的公司而设计。 4 HLC If you have to selectthe assessment objective based on your own judgement, youmay find it helpful to considerthe following aspects: No.Assessment objectives Advice Infom