最近很多人詢問可信資訊安全評估交換(TISAX)相關簡介如下:
汽車產業的很多供應商和服務提供者都會處理來自客戶的高度機敏性資訊,所以客戶經常要求供應商提供符合資訊安全要求的證明,例如根據德國汽車工業聯合會(VDA)編制的資訊安全評估(ISA)標準進行評估作業,但是多數製造商已經獨立為其供應商進行資訊安全評估,而且很多供應商已接受多次相同評估,為了減少不必要的工作和費用,在2017年初,德國汽車工業聯合會確立了新的評估與交換機制「可信資訊安全評估交換(TISAX)」,藉由設置TISAX網路平台提供汽車產業跨企業資訊安全評估認可之資訊,透過TISAX線上分享其資訊安全評估結果,這些企業能促使原始設備製造商幫助其核實某個服務提供者或供應商是否已順利完成評估,其評估結果有效期為三年。
評估TISAX範圍描述的是資訊安全評估工作的範圍,簡單來說在公司裡只要涉及到處理合作夥伴保密資訊的環節,則均屬於評估範圍,將其視為驗證服務提供者的主要評估對象,確認驗證服務提供者需要評估的內容,評估範圍之重要性如下:
(一) 公司負責處理合作夥伴資訊的各個環節,只有合適的評估範圍涵蓋所有此類環節時,評估結果才能夠滿足合作夥伴的要求。
(二) 對於TISAX 驗證服務提供者,精確定義評估範圍是合理計算成本的必要前提條件。
定義評估對象及級別,評估對象(assessment objective)規定資訊安全管理制度運作應當滿足的有關要求,目前TISAX 評估對象及級別如下所示:
TISAX建置培訓作業
(一) 差異分析:
藉由訪談、問卷調查、教育訓練、輔導實作、探討文件、整合現有制度、協助貴司完成TISAX之建立,從差異分析開始,確實了解現行資訊安全之運作與評估表的差異;經由訪談了解管理階層對於資訊安全的要求,並加深資訊安全的概念,討論所需的資源,獲取管理階層的支持與認同,進而開始加強資訊安全管理系統;在整體分析後訂定客製化專案管理時程及機制,管控重要里程碑,掌握專案資源,確保專案如期如質達成。
(二) 風險評鑑、隱私權衝擊分析:
經由確認範圍及差異分析,建立高階風險分析之基礎,以高階之概念進行資產盤點、風險分析,建立風險處理計畫,藉以規劃後續各項管控措施及執行方式,並確認是否可有效降低風險,以達資訊安全管控之目標。
相關個人資料保護須遵循法規要求,以隱私權衝擊分析評估組織及當事人的衝擊,執行相關保護措施,以健全個人資料保護作業。
(三) 文件化:
前階段風險分析及隱私權衝擊分析之結論,確認各項執行的管控措施,並據以訂定各項文件及執行方法,依據資訊安全管理系統之要求,且符合PDCA管理模式,協助建立各項管理程序及辦法,符合資訊安全管理系統文件架構體系,建立各階層(政策、程序書、標準書、表單)之管理文件,並針對相關人員施以適當之教育訓練及認知課程,對後續執行作法預先準備。
(四) 執行紀錄:
根據建置階段所訂定之程序規範,執行相關資訊安全管控措施,並以相關目標進行監控與量測;以分析階段之結果據以執行營運持續、資訊事故處理等相關規劃演練,以使各相關人員熟悉及了解並確保營運持續之資訊安全,確保資訊安全受到管控。
(五) 自我評估:
為了準備接受 TISAX 評估,將資訊安全管理制度依要求調整到最佳狀態,並確認是否達到預期的成熟度等級。應依據 ISA 標準執行一次自我評估,完整填寫 Excel 表“結果”(Results,ISA5)中的“結果(Result)”列(H),可填寫數字(0-5), 或“n.a.”(即表示“不適用”);通過分析,將了解己是否已為 TISAX 評估做好準 備。“資訊安全評估”(Information Security Assessment,簡稱 ISA)是一套標準目錄,由“德國汽車工業協會”(Verband der Automobilindustrie e.V.——簡稱 VDA)發佈,是汽車行業執行資訊安全評估的通用標準。