通翔顧問根據(jù)多年的管理體系認(rèn)證經(jīng)驗(yàn)為您總結(jié)了TISAX可信信息安全評估交換的有關(guān)內(nèi)容，如下：

  眾所周知，供應(yīng)鏈?zhǔn)悄壳捌髽I(yè)數(shù)據(jù)隱私中最薄弱的部分，雖然許多公司非常重視并花費(fèi)巨資，但每年仍有可能因處理其數(shù)據(jù)的供應(yīng)商而泄露數(shù)據(jù)。對于現(xiàn)代汽車廠商而言，數(shù)據(jù)就是核心競爭力，特別是機(jī)密數(shù)據(jù)和產(chǎn)品數(shù)據(jù)，供應(yīng)商數(shù)據(jù)泄露會讓公司核心知識產(chǎn)權(quán)暴露在大眾面前，對于公司造成巨大的負(fù)面影響。

  2018年7月，包含百余家著名汽車廠商的機(jī)密文件被曝光，共47,000 多個文件，157G字節(jié)的數(shù)據(jù)泄露，這些文件涉及車廠發(fā)展藍(lán)圖規(guī)劃、工廠原理、制造細(xì)節(jié)、客戶合同材料、工作計(jì)劃、各種保密協(xié)議等文件，甚至包括員工的駕駛證和護(hù)照的掃描件等隱私信息。這起事件的起因是這些著名廠商有共同的服務(wù)供應(yīng)商，在使用遠(yuǎn)程數(shù)據(jù)同步工具 rsync 同步數(shù)據(jù)時，備份服務(wù)器沒有進(jìn)行安全的IP地址和身份認(rèn)證設(shè)置，使非指定客戶端和個人連接了服務(wù)器，竊取了服務(wù)器存儲的數(shù)據(jù)。

  針對汽車行業(yè)供應(yīng)鏈中存在的信息安全問題，德國汽車工業(yè)聯(lián)合會(VDA)信息安全工作組與ENX協(xié)會推出了--TISAX(TRUSTED INFORMATION SECURITY ASSESSMENT EXCHANGE，可信信息安全評估交換)，基于VDA-ISA的第三方獨(dú)立評估，以實(shí)現(xiàn)汽車行業(yè)信息安全評估的相互認(rèn)可, 從而減少不同整車制造商的頻繁審核。

  TISAX由四方面組成，包括基礎(chǔ)：信息安全要求，以及三個附加模塊：原型保護(hù)、第三方的聯(lián)系和數(shù)據(jù)保護(hù)。四個方面都有不同的安全控制點(diǎn)，如下圖：

  TISAX的控制項(xiàng)融合了ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等標(biāo)準(zhǔn)的要求，并根據(jù)汽車行業(yè)的特殊需求，進(jìn)行了刪減。對于所有控制項(xiàng)，TISAX評估對公司信息安全的實(shí)施狀態(tài)進(jìn)行成熟度的評估，從而展現(xiàn)公司信息安全的改進(jìn)空間。

  TISAX評估的收益體現(xiàn)在以下幾個方面：

  1、TISAX已獲得全球認(rèn)可，并且德國主要汽車生產(chǎn)商已經(jīng)開始強(qiáng)制推行，通過TISAX評估便于介入德系汽車產(chǎn)業(yè)鏈開展業(yè)務(wù)。

  2、通過TISAX評估，可以幫助所有處理敏感信息的汽車供應(yīng)商和服務(wù)提供商滿足消費(fèi)者和法規(guī)的信息安全要求。

  3、通過TISAX評估，可以減輕安全漏洞和網(wǎng)絡(luò)攻擊的風(fēng)險，從而使公司能夠采取措施來減輕信息安全風(fēng)險。

  4、通過TISAX評估，可以向客戶證明公司在信息安全管理方面的準(zhǔn)備情況，可以促進(jìn)現(xiàn)有供應(yīng)商合同的續(xù)簽。

  5、TISAX認(rèn)證是一次審核后，在三年有效期內(nèi)，所有授權(quán)廠商都可以查到審核信息，不必重復(fù)審核，有效節(jié)省時間和管理成本。