汽车行业网络安全供应链风险管理
TISAX(可信信息安全评估交换)是由德国汽车工业协会(VDA)制定、ENX协会管理的信息安全标准。自2017年推出以来,欧洲乃至全球范围内的汽车制造商、零部件制造商及供应商已广泛采用TISAX标准,以确保行业内信息安全达到统一水平。
当前版本为6.0.2的TISAX信息安全评估(ISA)涵盖九个控制领域,评估近80项信息安全、原型保护及数据保护控制措施。
由于TISAX要求对信息安全控制措施进行全面审查,汽车制造商和零部件供应商应制定符合其要求的风险评估和持续监控策略,以增强全球供应链的网络弹性。
相关要求
-
定义TISAX评估的范围,确定需要评估的组织部分和流程。
-
实施必要的控制措施以弥补不足并达到要求标准
-
若审计发现任何不合规领域,则实施整改措施。
-
使用TISAX内部安全评估(ISA)问卷进行自我评估,对照TISAX标准评估当前实践和政策。
-
聘请经ENX认证的审计员执行正式审计并进行现场访问
-
定期审查并更新安全措施,每三年接受一次重新评估。
如何简化TISAX合规流程
根据TISAX要求评估供应商
该平台包含一项风险评估功能,该功能符合TISAX和ISO 27001标准要求,并通过工作流自动化、任务管理及自动证据审查能力来评估供应商成熟度评分。此外,Prevalent解决方案将评估结果集中呈现于风险登记簿中,使您能够快速可视化、分类并锁定最关键的风险点。
定义组织风险管理流程
与Prevalent专家合作,构建全面的第三方风险管理(TPRM)或网络安全供应链风险管理(C-SCRM)计划,使其与您更广泛的信息安全与治理、企业风险管理及合规计划保持一致。
评分固有风险
普瑞瓦尔通过量化所有供应商的固有风险,有效实现供应商分级管理,设定适当的进一步尽职调查层级,并确定持续评估的范围。
识别第四方和第n方供应商
借助Prevalent,您可以通过问卷式供应商评估或被动扫描供应商公开基础设施,识别供应商生态系统中的第四方及N方供应商。由此生成的关联图谱将揭示可能使组织面临风险的延伸依赖关系。
补救调查结果
普瑞瓦平台内置基于风险评估结果的整改建议,确保供应商及时有效地处理风险,并能向审计人员提供充分的合规证明。
持续监控供应商的威胁
Prevalent持续追踪并分析供应商面临的外部威胁。其解决方案通过监控互联网和暗网来识别网络威胁与漏洞。监控来源包括:
– 犯罪论坛;洋葱页面;暗网特权访问论坛;威胁情报源;泄露凭证粘贴网站——以及若干安全社区、代码仓库和漏洞数据库
– 包含全球数千家企业多年数据泄露记录的数据库
所有监控数据均与评估结果相关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告、整改及应对措施的实施流程。
风险评分与优先级排序
当所有评估与监控数据整合至中央风险登记簿后,Prevalent将依据概率与影响模型实施风险评分与优先级排序。该模型将风险归入矩阵框架,便于您直观识别高影响风险,从而针对性地优先推进整改工作。通过指派责任人并追踪风险及整改措施,最终使风险控制达到企业可接受的水平。
