TISAX(可信信息安全评估交换)是由德国汽车工业协会(VDA)
制定、ENX协会管理的信息安全标准。自2017年推出以来,欧洲乃至全球的汽车制造商、零部件制造商和供应商已广泛采用TISAX,以确保行业内统一的信息安全水平。
由于TISAX要求对信息安全控制措施进行全面审查,汽车制造商和零部件供应商应制定符合其要求的风险评估和持续监控策略,以增强全球汽车供应链的网络弹性。
本文探讨了汽车行业面临的信息安全挑战、TISAX信息安全控制措施与合规要求,以及简化TISAX合规的最佳实践。
汽车行业信息安全挑战
TISAX的开发旨在解决汽车行业特有的信息安全挑战与需求。
多样化的安全要求
通常,每家汽车制造商都会制定自己的信息安全标准,并将这些要求施加给其供应商。这种做法要求供应商遵守多项有时相互冲突的安全准则。
审计疲劳
在缺乏统一标准的情况下,供应商不得不接受不同制造商的多重审核,而每家制造商都依据其独特的标准评估信息安全。这种做法不仅造成重复工作,还给供应商带来了巨大的资源消耗。
全球供应链
汽车行业拥有复杂的全球供应链体系,涉及不同地区的众多合作伙伴和供应商。在如此庞大的网络中,若缺乏统一标准来管理信息安全,其难度与风险正日益加剧。
日益增长的网络威胁
随着行业采用更多数字技术和联网系统,网络威胁风险随之攀升。亟需建立标准化防护机制,以有效保护系统、敏感信息及知识产权。近期,丰田等汽车制造商因供应商遭受重大网络攻击而受到波及。
监管合规
随着欧盟《通用数据保护条例》(GDPR)等法规的出台,企业迫切需要标准化实践来帮助其遵守有关数据保护和隐私的法律要求。
TISAX旨在协调信息安全评估流程,减轻供应商的审计负担,并确保汽车供应链中的所有参与方均遵循高标准的安全规范。
TISAX信息安全控制与报告
当前版本为6.0.2的TISAX信息安全评估(ISA)涵盖以下九个控制类别,共计近80项信息安全、原型保护及数据保护控制措施:
- 信息安全政策与组织架构
- 身份与访问管理
- 合规性
- 人力资源
- 信息技术安全/网络安全
- 原型保护
- 物理安全
- 供应商关系
- 数据保护
完成的ISA评估报告以蜘蛛图形式呈现评估结果,对每个控制子类别的成熟度进行0(低)至5(高)的评分。同时,每个控制项均映射至行业标准(如ISO 27001、NIST 800-53、BSI等)中的对应控制项。
TISAX 合规要求
由于TISAX属于自愿性标准,其本身并不像传统监管罚款那样对不合规行为实施处罚。然而,未能达到TISAX合规要求可能对汽车行业企业产生多重重大影响,尤其体现在商业关系和企业声誉方面。
对汽车行业的众多企业而言,TISAX合规性直接关系到企业生存。获得TISAX认证的公司不仅彰显了其保护敏感信息的决心,更能增强商业伙伴间的信任,有效规避网络威胁与违规风险,从而提升营收、拓展新客户并巩固现有客户关系。汽车行业对TISAX认证的强烈激励,使其成为企业保持行业竞争力与安全性的近乎必需条件。
为符合TISAX要求,汽车行业的组织必须满足若干基于VDA ISA(信息安全评估)目录的规范。该目录将ISO/IEC 27001标准适应于汽车行业的特定需求。
实现TISAX合规的关键要求和步骤包括以下内容:
- 定义评估范围,根据TISAX标准确定需要评估的组织部分及流程。
- 使用VDA ISA问卷进行自我评估。此步骤需对照TISAX标准评估现有实践与政策,以识别差距。
- 实施必要的控制措施以弥补不足并满足要求标准。这可能包括加强信息技术安全措施、更新政策,以及确保采用适当的数据处理实践。
- 聘请经ENX认证的审计员执行正式审计并进行现场访问,以验证所有TISAX要求是否得到满足。这包括审查文件、访谈员工以及检查物理和IT安全措施。
- 若审计发现任何不合规领域,应实施整改措施。整改完成后,可能需要进行后续审计以确认合规性。
- 通过评估后将获得TISAX标签。该标签有效期为三年,注册于ENX TISAX门户,可与客户及合作伙伴共享以证明合规性。
- 定期审查并更新安全措施,每三年或在业务或IT环境发生重大变化时更频繁地进行重新评估。
这些步骤确保企业在审计期间符合TISAX标准,并持续致力于维持这些标准。
简化TISAX合规的五大最佳实践
识别合规要求、收集并分析所需数据,以及采取行动避免出现负面合规结果,这一过程可能既复杂又耗时。遵循以下五项最佳实践,可简化该流程。
1. 制定组织风险管理流程
建立全面的第三方风险管理(TPRM)或网络安全供应链风险管理(C-SCRM)
计划,使其与更广泛的信息安全与治理、企业风险管理及合规计划保持一致。寻求能够与贵组织在以下方面开展协作的专家:
- 定义TPRM和C-SCRM流程及解决方案
- 选择风险评估问卷和框架以对结果进行基准测试(例如,采用TISAX特定评估或更通用的ISO 27001评估)
- 根据组织的风险偏好优化计划,以应对整个第三方风险生命周期--从采购和尽职调查到终止和离职
- 在整个组织内明确划分角色与职责(例如采用RACI模型)
- 根据贵组织的风险承受能力实施风险评分和阈值设定
2. 对所有供应商进行分类和分级
通过电子表格模板或API连接现有采购/供应链系统,构建集中化的供应商库存。企业各部门应能通过统一的录入表单及关联工作流任务,快速补充关键供应商信息。该功能应通过邮件邀请向全体员工开放,无需任何培训或系统专业知识即可使用。
在对所有供应商进行审查时,团队应建立全面的供应商档案,其中需包含与TISAX评估相关的所有书面证据,同时涵盖供应商的人口统计信息、ESG评分、近期业务动态与声誉分析、数据泄露记录以及最新财务表现。这将为审计流程提供必要的背景信息。
供应商评估流程中,需识别供应商生态系统中的第四方及N方供应商,因关键依赖关系可能影响分级决策。可通过问卷调查评估供应商,或被动扫描供应商的公开基础设施。最终生成的关联图应清晰呈现可能使组织面临风险的延伸依赖关系。
最后,需量化所有供应商的固有风险,以有效实施供应商分级管理,设定适当的后续尽职调查层级,并确定持续评估的范围。用于计算供应商分级固有风险的评估标准可包括:
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考量(例如《通用数据保护条例》)
- 与受保护数据的交互
3. 根据TISAX要求评估供应商
利用供应商的TISAX风险评估、
、ISO 27001、NIST 800-53或其他可轻松映射至TISAX要求的行业标准评估。将评估结果整合至中央供应商风险管理平台,通过工作流自动化、任务管理及自动证据审查功能评估供应商成熟度评分。 同时,评估结果应呈现在集中式风险登记簿中,便于您快速可视化、分类并锁定最关键风险。
4. 整改发现的问题
重要的是,针对供应商管控成熟度较低且超出组织风险承受能力的状况,应提出整改建议。供应商风险管理解决方案应包含基于风险评估结果的内置整改建议,以确保供应商能够及时有效地应对风险,并能向审计人员提供充分的合规证明。
5. 持续监控供应商的威胁
持续追踪并分析供应商面临的外部威胁。在此过程中,需监控互联网及暗网中的网络威胁与漏洞。监控来源通常包括:
- 犯罪论坛;洋葱页面;暗网特权访问论坛;威胁情报源;泄露凭证粘贴网站——以及若干安全社区、代码仓库和漏洞数据库
- 包含全球数千家企业多年数据泄露历史的数据库
所有监控数据均应与评估结果相关联,并集中记录于每个供应商的统一风险登记册中,从而简化风险审查、报告、整改及应对措施的实施流程。
将所有评估与监控数据整合至中央风险登记簿后,依据可能性与影响模型实施风险评分与优先级排序。该模型应将风险归入矩阵框架,便于直观识别高影响风险并优先开展整改工作。明确责任主体,持续追踪风险及整改措施直至达到企业可接受的水平。
TISAX合规的后续步骤
Prevalent第三方风险管理平台提供集中式自动化解决方案,可协同您的整体网络安全与企业风险管理计划,实现第三方风险管理及网络安全供应链风险管理的规模化管理。借助Prevalent平台,您的团队能够:
- 建立集中化的供应商库存系统,包含全面的风险档案,供企业内多个团队访问使用。
- 评估固有风险以指导供应商评估、分级与分类工作——并确定持续尽职调查活动的适当范围与频率
- 在第三方生命周期的每个阶段自动进行风险评估和补救
- 通过监控互联网和暗网的网络威胁和漏洞,持续跟踪和分析第三方面临的外部威胁
立即联系Prevalent获取免费成熟度评估:
在供应商预评估前,评估您的TPRM政策是否符合TISAX要求,或预约产品演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
