可信信息安全评估交换
可信信息安全评估交换(英语:Trusted Information Security Assessment Exchange,简称TISAX),是汽车产业定义的信息安全标准。自从2017年起,许多德国汽车产业的成员会要求供应商通过TISAX的认证。
德国汽车工业协会(VDA)的成员已由国际标准ISO/IEC 27001中选取了符合车辆产业的需求,制作对应的文件 [1]。
核可的认证服务公司会依VDA ISA,针对服务供应商或组件供应商进行认证。ENX协会是此一系统的监理组织。会审核认证服务公司的认证结果,并且监控各公司实施以及评估的结果。确保最终产品有期望的质量以及设计目标,参与者的权利及义务都可以受到保护。
TISAX的验证分为以下三个类型:
- 信息安全控制措施
- 原型保护
- 隐私保护
TISAX有三种不同的审核级别,分别是AL1,AL2和AL3审核级别。其中以AL3的保护级别最高,AL1审核级别可以自行进行,但不能获取TISAX认证标签[2]。通过TISAX后,一般只要每三年重新评估一次即可。
测试
依照TISAX的测试(特别是针对服务提供者或是供应商的测试)会由TISAX测试服务提供者来进行。ENX协会是此一系统的治理组织,核可测试服务提供者,并且监控执行的质量以及评估的结果。其目的是确认其结果有符合期望的质量以及客观性,而且参与者的权利及义务都可以确保。这可以让公司决定此供应商(服务提供者或是供应商)结果的成熟度是否符合买家的要求。
测试要求已经有数次的改版。2020年10月发布了5.0版,在手册中有简述背景、应用地区、执行流程以及测试需求[3]。
参考资料
- ^ 存档副本. [2020-12-07]. (原始内容存档于2020-09-20).
- ^ TISAX汽车行业的交换认证
- ^ Pravitz, Sven. Das Wichtigste zum Tisax-Update. Automobil Industrie. [29 November 2022]. (原始内容存档于2023-01-28).