close
Share with your friends

汽车行业TISAX信息安全合规

汽车行业TISAX信息安全合规

安全驱动业务

更多home.kpmg內容

汽车生产线

一、概念篇

德国汽车行业通用的信息安全评估

 

什么是TISAX ?

Trusted Information Security Assessment Exchange(德国汽车行业的通用信息安全评估),最早起源于德国大众内部对其合作伙伴的信息安全审计,目的是对敏感信息的共享和保护,目前已通过德国汽车工业协会(VDA)逐渐扩展到所有的德国汽车主机厂(包括戴姆勒、宝马等),成为一种通用的对供应商信息安全能力水平的评估和交换机制,目的是为了实现德国汽车行业信息安全评估的相互接受,该项评估的流程和标准在2017年开始成为强制性要求,全球所有供应商(包括零部件厂商、外围服务商等)均应建立和维持其信息安全管理体系,并通过与之对应级别的TISAX审计,作为准入条件。

 

TISAX审计机制

毕马威作为ENX认可的TISAX审计服务提供商,在德国已拥有很好的声誉和专业审计经验,目前该项服务已面向国内的德系汽车行业供应商广泛开展。

该项服务由毕马威中国和德国团队合作开展,最大程度上降低了国内客户的沟通成本、审计周期,并可以按需定制审计相关的体系培训和应审辅导,增加预审环节等。这种服务模式也得到国内客户和德国大众的普遍认可。

 

TISAX 审计级别、范围和具体要求

TISAX按照信息安全保护程度,一共分为三个级别:AL1,AL2 (High), AL3 (Very High)。除AL1只需要供应商进行自评估外,其余等级均需要通过第三方审计。中国国内的供应商,无论是AL2还是AL3,都需要(对每个涉及的工作场所)进行现场评估,包括人员访谈、实地查看、取证确认等。从具体的评估内容来看,至少包括信息安全评估(ISA)共计52个控制点,这些控制点主要参照ISO/IEC27001和27002标准体系,并根据德国汽车行业特点进行相应的调整。不同的供应商根据与主机厂的业务合作,还可能包括对原型保护、第三方连接、数据保护的额外控制点的审计。每一项控制点按照信息安全保护能力成熟度,得分范围在0-5之间,最终得分由各项汇总后,按照偏差百分比决定是否通过TISAX审计(供应商可以根据偏差发现进行及时整改,并在规定时间内寻求审计确认)。

automotive-industry-tisax-information-security-compliance01

二、实践篇

毕马威TISAX服务和建议

 

1. TISAX实施建议
 

模式一:ISMS建设 + TISAX审计(6个月+)

  • 零基础:未建立信息安全管理体系或缺乏安全管理手段;
  • 除TISAX外,希望能同时通过ISO27001认证;
  • 希望在TISAX审计同时,获取其他增值的咨询服务,以建立信息安全管理能力。
     

模式二:TISAX培训 + TISAX审计 (2-6个月)

  • 目标明确:尽快通过TISAX审计;
  • 由于不了解TISAX审计要求或信息安全管理体系不健全等原因,尚不具备直接通过TISAX审计的条件;
  • 希望在TISAX审计同时,能更完整开展信息安全差距分析和获取整改建议。
     

模式三:直接TISAX审计(1-2个月)

  • 信息安全管理体系较成熟,对自评估结果有信心;
  • MNC在中国的实体,海外实体已通过TISAX审计;
  • 某些特殊原因造成之前TISAX审计未能通过或延误的。
     

2. 毕马威可提供的TISAX服务

automotive-industry-tisax-information-security-compliance05

培训支持:TISAX体系介绍和应审培训,协助客户进行自评估和差距分析,协助客户制定整改计划并跟进,TISAX应审准备(材料、人员等)

现场审核:按需提供现场审核(预审、正审),包括适用性分析、差异分析、初步改进建议等。

报告确认:与客户现场沟通确认审计报告(包括整改后的再次确认),完成TISAX正式审计报告,客户最终确认后上传ENX平台。
 

3. 为什么选择毕马威

automotive-industry-tisax-information-security-compliance03

团队经验:毕马威德国作为TISAX指定审计机构和ISO27001认证机构,长期为欧洲及全球各类汽车供应商提供审计和认证服务。中国毕马威拥有充足的本地化咨询和审计团队,对汽车行业客户长期提供专业服务。目前,中德双方已实现无缝协同开展国内的TISAX审计业务,并积累了不少成功案例。

审计方法:毕马威基于“风险导向和务实”的安全评估和审计方法,有效结合人员访谈、文档审阅和证据获取,并且能满足国内客户中文文档、国内ICT供应链、前期培训和预审等各类定制需求。

报告确认:无论是初审报告还是最终报告,毕马威均会先与客户进行沟通和确认,才进入下一阶段,确保提早揭示风险、对预期达成一致。

 

4. TISAX关键成功要素

  • 明确信息安全风险整体把控的原则,理解TISAX审计条款的具体要求
  • 建立完整的信息安全制度文件(文档)
  • 提供明确的执行记录以体现控制的有效性(证据)
  • 进行有针对性的应审准备,包括明确应审人员、应审材料的准备、各阶段时间的合理安排
  • 根据审计发现制定合理有效的整改计划,并积极对整改措施的执行情况进行追踪
automotive-industry-tisax-information-security-compliance04

联系我们