TISAX——可信信息安全评估交换

来源：    发布日期：2019.03.18   点击量：

为什么选择TISAX？

    或者更确切地说，你为什么在看这篇文章？
    为了回答这个问题，我们从通常来看是关注商业经营，尤其是信息的保护。
    想象一下你的搭档。他有机密信息。他想和他的供应商——你分享。你和你的合作伙伴之间的合作创造了价值。合作伙伴与您共享的信息是创造价值的重要组成部分。因此，他想适当地保护它。他想确保你同样谨慎地处理他的信息。
    但他怎么能确定他的信息可以被你妥当的保管呢？他不能仅仅是“相信”你。你的搭档需要看一些证据。
    现在有两个问题。谁定义了信息“安全”处理的意义？接下来，你如何证明这一点？
你的搭档和你都不是第一次面对这些问题的唯一一人。几乎每个人都必须找到答案，而且大多数答案都有相似之处。
    每次您必须独立地为一个常见问题创建一个解决方案时，如果有一种标准的方法，就可以减轻从头开始创建所有东西的负担。虽然定义一个标准是一项巨大的工作，但它只做了一次，而且它的追随者每次都从中受益。
    对于保护信息的正确做法，肯定有不同的看法。但是，由于上述好处，大多数公司都乐于采用标准。标准是针对给定挑战的所有经过验证和时间测试的最佳实践的浓缩形式。
    在您的案例中，像ISO27001（关于信息管理系统，isms）这样的标准和它们的实现方式建立了一种最先进的方法来安全地处理机密信息。这样的标准可以避免你重蹈覆辙。更重要的是，当两家公司需要交换机密数据时，标准提供了一个共同的基础。

自动方式/汽车之路

    从本质上讲，行业独立的标准设计成一个适合所有解决方案的尺寸，而不是为汽车公司的特定需求而定制的。
    早在很久以前，汽车行业就已经成立了一些协会，其目标之一是完善和定义关心他们更具体需求的标准。“Verband Der Automobilindustrie”（VDA，德国汽车工业协会）就是其中之一。在处理信息安全的工作组中，汽车行业的一些成员得出结论，他们有类似的需求来定制现有的信息安全管理标准。
    他们共同努力的结果是一份调查问卷，涵盖了汽车行业广泛接受的信息安全要求。它被称为“VDA信息安全评估”（VDA ISA）。
    有了VDA ISA，我们现在可以回答“谁定义了安全意味着什么？”通过VDA，汽车行业自己向其成员提供了这个答案。

如何有效地证明安全性

    虽然有些公司仅将VDA ISA用于内部目的，而另一些公司则使用它来评估其供应商的信息安全管理的成熟度。在某些情况下，“自我评估”是建立业务关系的充分基础。然而，在某些情况下，公司对其供应商的信息安全管理（包括现场审计）进行了全面评估。
    随着人们普遍认识到信息安全管理的必要性，以及越来越多地采用VDA ISA作为信息安全评估工具，越来越多的供应商面临着来自不同合作伙伴的类似要求。
    这些合作伙伴仍然采用不同的标准，并对如何解释这些标准有不同的意见。但供应商必须证明同样的事情，只是通过不同的风格。
    被合作伙伴要求证明其信息安全管理水平的供应商数量越多，抱怨重复努力的声音就越大。一个接一个地向审计人员展示相同的信息安全管理措施效率是非常低的。
    我们可以做些什么来提高效率？如果任何审计人员的报告可以被不同的合作伙伴重复利用，这会有帮助吗？
    负责维护VDA ISA的VDA工作组中的原始设备制造商和供应商听取了其供应商的投诉。现在，他们为他们的供应商以及汽车行业的所有其他公司提供了一个关于“如何证明安全性”的问题的答案。
    答案是TISAX，是“可信信息安全评估交换”的缩写。

一、TISAX过程概述

    TISAX流程(您可能会考虑将TISAX过程作为同行竞争中先发制人的手段。有些公司这样做是为将来的业务做好充分准备。已经接受TISAX评估可能意味着比尚未接受评估的机构投入合作的时间要短得多，因此可能会使您比尚未接受TISAX评估的竞争对手更具优势。)通常始于要求您根据“VDA信息安全评估”（VDA ISA）的要求证明定义的信息安全管理级别的合作伙伴之一。为了满足这一要求，您必须完成三步TISAX流程。本节概述了需要采取的步骤。
    三步TISAX流程包括以下步骤：

图1:TISAX流程概述

    1.注册
    我们收集有关贵公司的信息以及评估中需要包含的内容。
    2.评估
    您将通过我们TISAX认可的审计提供商进行的评估。
    3.交换
    你和你的搭档分享你的评估结果。

    每个步骤由子步骤组成。这些在下面的三个部分中进行了概述，并在下面的相应部分中进行了详细描述。

    请注意！
    虽然我们想对于你需要多长时间才能得到你的TISAX评估结果给你一个提示，但我们恳请你理解，我们是无法得到可靠预测结果的。
    TISAX过程的总持续时间取决于太多的因素。公司规模、评估目标和信息安全管理系统的准备程度的巨大差异使得这成为不可能。
    但是，TISAX规定整个TISAX评估过程的最长持续时间为9个月。

二、TISAX注册

    你的第一步是TISAX注册。
    TISAX注册的主要目的是收集有关贵公司的信息。我们使用在线注册流程帮助您向我们提供此信息。
    这是所有后续步骤的先决条件。这是收费的。
    在线注册过程中：
    我们询问联系方式和账单信息。
    你必须接受我们的条款和条件。
    您可以定义信息安全评估的范围。

三、评估

    第二步是进行信息安全评估。
    有四个子步骤：
    a）评估准备
    你必须准备评估，准备到何种程度，取决于当前信息安全管理系统的成熟度。但你的准备工作必须以VDA ISA目录为基础。
    b）审核提供程序选择
    一旦你准备好评估，你就必须选择我们TISAX认可的审计提供商之一。
    c）信息安全评估
    你的审核提供商将会基于匹配你合作伙伴要求的评估范围来进行评估。整个评估过程将至少包括初始审计。
    d）评估结果
    一旦你的公司通过了评估，你的审核供应商将提供TISAX官方报告给你。你的评估结果也将收到TISAX标签³。

四、交换

    第三步，也是最后一步是去和你的合作伙伴分享你的评估结果。TISAX报告的内容是由等级结构组成的。您可以决定您的合作伙伴可以访问的级别。
你的评估结果具有三年的有效期。
    既然你已经对TISAX的过程有了基础的认识，在接下来的部分中你将会知道如何去完成每一步。

联系我们

    更多关于TISAX的内容或业务需求请持续关注我们。
    详情请咨询：
    电话：021-62101209-811
    邮件：mkt@aryasec.com

相关客户案例：