訂閱電子報

月刊專欄

期別選擇
期別:240
發布日期:2022-10-05
閱覽人數:111
打造汽車供應鏈韌性的資訊安全平台-TISAX(下)

TISAX 作業流程

*1:在 TISAX 上的參與方只有兩種角色:評鑑者與被稽核者。一個參與組織(participant)可能受另一個參與組織的要求,進行 TISAX 符合性評鑑,並對其公佈自己的評鑑結果。 透過 TISAX 資訊分享平台, 其它的參與組織也可以向被稽核者提出申請或授權查看評鑑結果。 


*2:矯正行動計畫評鑑(corrective action plan assessment):初始評鑑有不符合之情況才會進行,稽核員透過遠端或現場確認受評者提交之矯正行動計畫之適切性,可能不只安排一次。


*3:追蹤評鑑(follow-up assessment):確認矯正預防措施之執行成效,可多次追蹤評鑑,但最後一次追蹤評鑑與初始評鑑之時間間隔不得超過 9 個月,否則須重新回到初始評鑑階段。


TISAX 評鑑報告的架構

TISAX 的評鑑報告可區分為 5 個部分:


A. 評鑑相關資訊:公司名稱、評鑑範圍、範圍 ID、評鑑 ID、評鑑等級、評鑑目標、評鑑日期及稽核提供者。


B. 總結結果:評鑑結果的管理總結(符合、次要不符合、主要不符合)、發現數量、產生風險的抽象分類。


C. 評鑑結果總結:每個章節 (例如:「9 存取控制」)和每個範疇(例如:「資訊安全」)的評鑑結果摘要。


D. VDA ISA 的成熟度等級:每個要求的成熟度等級。


E. 詳細的評鑑結果:詳細描述所有發現、相應風險評鑑結果、所需措施及實施期限。


TISAX 標章

TISAX 標章(TISAX Label)的有效期一般為 3 年,有效期從評鑑過程結束時開始,甚至在 TISAX 評鑑報告發布之前。如果 TISAX 評鑑範圍發生顯著變更,如公司地址變遷或增加其他位置,有效期可能就會縮短。


須注意,企業接受評鑑通過後所獲得 TISAX 標章可能不只一個,如前所述,每個評鑑目標都有其對應的 TISAX 標章,有些評鑑目標之要求包含另一個評鑑目標之要求,因此若通過涵蓋較多要求的評鑑目標就會有 2 個以上的 TISAX 標章。


舉例來說,如果 A 企業選擇的評鑑目標是「極高保護需求資訊之處理」,A 企業的評鑑通過後就會收到對應的「極高保護需求資訊之處理」之 TISAX 標章,由於「極高保護需求資訊之處理」之評鑑目標包含「高保護需求資訊之處理」之評鑑目標的要求,A 企業也會自動收到「高保護需求資訊之處理」之 TISAX 標章,如此 A 企業就會有 2 個標章,當 B 客戶要求 A 企業取得「極高保護需求資訊之處理」之 TISAX 標章,A 企業可分享「極高保護需求資訊之處理」之 TISAX 標章給 B 客戶,當 C 客戶僅要求「高保護需求資訊之處理」之評鑑標章,A 企業可分享「高保護需求資訊之處理」之 TISAX 標章給 C 客戶,無須花費時間向客戶解釋「極高保護需求資訊之處理」已涵蓋「高保護需求資訊之處理」之要求。


企業如何推動與落實 TISAX

TISAX 平台推出後,歐系車廠福斯(Volkswagen)、寶馬(BMW)、保時捷(Porsche)等車廠已開始要求供應鏈必須取得 TISAX 認證 ,TISAX 評鑑內容主要以資訊安全管理系統為基礎,供應商若想順利取得 TISAX 標章,最好先建置 ISO 27001 資訊安全管理系統。


相信絕大部分的汽車供應商都已建置 ISO 9001 品質管理系統,甚至是 IATF 16949 汽車業品質管理系統,但不見得會建置 ISO 27001 資訊安全管理系統,由於初期導入可能需要較多的時間改善軟硬體設備與進行相關培訓,建議最好預留半年以上的導入時間,同時,可先詢問客戶認可的評鑑目標與等級,自行評鑑公司現況落在 TISAX 成熟度等級的哪一個階段,與 ISO 27001 導入同時進行,待 ISO 27001 驗證通過後,再來註冊 TISAX,依序進行自評與準備評鑑資料,待資料完備時即可進行初始評鑑。


運用管理系統推動 TISAX

如上一期月刊所述,TISAX 採用的 VDA ISA 要求乃參考 ISO/IEC 27001、ISO/IEC 27002 等標準,為順利一次取得 TISAX 標章,建議供應商先依據 ISO 27001、ISO 27002 建置資訊安全管理系統,行有餘力,再參照其他相關標準將系統運作臻於完善。


以下將能協助汽車供應鏈取得 TISAX 認證之相關 ISO 標準彙整如下,希望能藉由國際上公認的管理規範與實務做法,協助汽車供應鏈符合 VDA ISA 要求,定期向客戶證明其資訊安全之健全。

推動 TISAX 的益處

◆ 評鑑結果具公信力,提高客戶對供應商在資訊安全方面的信任。


◆ 避免重複性的評鑑,節省客戶與供應商的時間與成本。


◆ VDA - ISA 的評鑑項目統一,可比較參與者的自評或受評結果。


參考來源:

https://www.enx.com/handbook/tisax-participant-handbook.html

https://www.iso.org/standard


延伸閱讀:

>> 打造汽車供應鏈韌性的資訊安全平台-TISAX(上)

上一篇:「無錫森駿精密注塑有限公司」獲頒 IATF 16949:2016 汽車業品質管理系統驗證合格證書
下一篇:IATF 汽車近期發佈消息通知(下)
月刊專欄

貝爾國際檢驗認證集團總部

貝爾國際檢驗認證集團總部(台北聯絡處)

貝爾國際檢驗認證集團總部(台中聯絡處)

貝爾國際檢驗認證集團總部(高雄聯絡處)

Copyright © 2022 BellCERT Group TAIWAN.