訂閱電子報

月刊專欄

期別選擇
期別:262
發布日期:2024-07-12
閱覽人數:64
淺析 TISAX 汽車業可信賴資訊安全評鑑(下)

TISAX評鑑目標及級別

◆ 評鑑目標:

目前有 8 項評鑑目標(Assessment Objective),受評者須選擇至少 1 項評鑑目標,亦可選擇多項評鑑目標,稽核服務提供者(Audit Provider)會根據評鑑目標擬定評鑑策略,通過評鑑後將獲得與評鑑目標一致的 TISAX 標章。不同程度的評鑑目標,適用不同的評鑑等級,如下表所示:

▲ 資料來源:AFNOR 法國標準協會集團貝爾國際檢驗認證簡報,作者整理繪製。


◆ 評鑑等級:

評鑑等級(Assessment Level)分為三級,稽核服務提供者(Audit Provider)會依據等級進行不同程度的查核強度,強度由低到高依序為:AL1、AL2、AL3,說明如下:


● AL1(一般等級):選擇 AL1 的受評者只需完成 ISA 查檢表自評,稽核員也只要檢查受評者是否已完成適用的評鑑項目,不須評鑑其評鑑結果的適切性或是取得進一步的證據。此評鑑結果的信任級別較低,因此不適用於公布在 TISAX;


● AL2(高等級):選擇 AL2 的受評者完成 ISA 查檢表自評後,須接受稽核員透過遠端(電話或視訊)進行真實性檢查(Plausibility Check),若有機密文件保護之考量,可要求稽核員針對該機密文件進行現場稽核;


● AL3(極高等級):可能接觸到高度敏感資料之受評者,通常會被要求 AL3 等級,除了完成 ISA 查檢表自評外,也須接受稽核員之現場人員訪談及現場稽核(on-site),以進行徹底查證(Thorough Verification)。

▲ 資料來源:AFNOR 法國標準協會集團貝爾國際檢驗認證簡報,作者整理繪製。


◆ TISAX 評鑑報告的架構

TISAX 的評鑑報告可區分為 5 個部分:


● 評鑑相關資訊:公司名稱、評鑑範圍、範圍 ID、評鑑 ID、評鑑等級、評鑑目標、評鑑日期及稽核提供者。


● 總結結果:評鑑結果的管理總結(符合、次要不符合、主要不符合)、發現數量、產生風險的抽象分類。


● 評鑑結果總結:每個章節 (例如:「9 存取控制」)和每個範疇(例如:「資訊安全」)的評鑑結果摘要。


● VDA ISA 的成熟度等級:每個要求的成熟度等級。


● 詳細的評鑑結果:詳細描述所有發現、相應風險評鑑結果、所需措施及實施期限。


◆ TISAX 評鑑報告的架構

● TISAX 標章(TISAX Label)的有效期一般為 3 年,有效期從評鑑過程結束時開始,甚至在 TISAX 評鑑報告發布之前。如果 TISAX 評鑑範圍發生顯著變更,例如公司地址變遷或增加其他位置,有效期可能就會縮短。


● 須注意,企業接受評鑑通過後所獲得 TISAX 標章可能不只一個,如前所述,每個評鑑目標都有其對應的 TISAX 標章,有些評鑑目標之要求包含另一個評鑑目標之要求,因此若通過涵蓋較多要求的評鑑目標就會有 2 個以上的 TISAX 標章。


● 例如,若 A 企業選擇的評鑑目標是「極高保護需求資訊之處理」,A 企業的評鑑通過後就會收到對應的「極高保護需求資訊之處理」的 TISAX 標章,由於「極高保護需求資訊之處理」的評鑑目標包含「高保護需求資訊之處理」的評鑑目標的要求,A企業也會自動收到「高保護需求資訊之處理」的TISAX 標章, 如此 A 企業就有 2 個標章,當B客戶要求 A 企業取得「極高保護需求資訊之處理」的 TISAX 標章,A 企業可分享「極高保護需求資訊之處理」的 TISAX 標章給 B 客戶,當 C 客戶僅要求「高保護需求資訊之處理」的評鑑標章,A 企業可分享「高保護需求資訊之處理」的 TISAX 標章給 C 客戶,無須花時間向客戶解釋「極高保護需求資訊之處理」已涵蓋「高保護需求資訊之處理」的要求。


獲得 TISAX 認證的優勢

◆ 可確保汽車生產設計、製造和分銷階段保持資料(訊)安全,以便在數位資訊管理的品質和安全性方面被評為「最可靠」供應商。擴大到其他 OEM,TISAX ® 正成為汽車工業和資訊安全管理的驗證參考標準。不僅如此,能夠證明其 TISAX ® 合規性的組織比其他不合規的組織具有競爭優勢,使其在潛在客戶眼中值得信賴。


◆ TISAX 認證源自主機廠的強制要求,獲得認證能滿足客户方的最直接的要求。


◆ 透過導入及運行 TISAX,可以提升員工安全意識和能力。員工行為對公司內部的安全有重大影響,安全意識和能力的提升,可以更好地增加企業競爭力。


◆ 行業內相互認可,可以最大程度的節省時間和管理成本:TISAX 認證為汽車行業內的資訊安全評鑑提供了統一且有約束力的標準,評鑑結果得到其他 TISAX 參與者共同認可從而實現汽車行業企業之間的安全互信。


◆ 鞏固現有業務關係,並促進新的業務關係,從而以客戶需求為導向,降低風險,建立風險管理。


企業要如何推動與落實 TISAX

TISAX 採用的 VDA ISA 要求乃參考 ISO/IEC 27001、ISO/IEC 27002 等標準,為順利一次取得 TISAX 標章,建議供應商先依據 ISO 27001、ISO 27002 建置資訊安全管理系統,行有餘力,再參照其他相關標準將系統運作臻於完善。


以下將能協助汽車供應鏈取得 TISAX 認證之相關 ISO 標準彙整如下,希望能藉由國際上公認的管理規範與實務做法,協助汽車供應鏈符合 VDA ISA 要求,定期向客戶證明其資訊安全之健全。

▲ 資料來源:貝爾國際檢驗認證集團月刊 240 期


參考來源:

● 領導力企管/汽車安全評估資訊交換平台(TISAX)-VDA ISA https://www.isoleader.com.tw/home/iso-coaching-detail/TISAX-VDA-ISA2

● 國立雲林科技大學會計系/陳重光副教授:供應鏈資安共責與 TISAX https://uma.yuntech.edu.tw/news14-3912.html


延伸閱讀:

>> 淺析 TISAX 汽車業可信賴資訊安全評鑑(上)

上一篇:BellCERT 教育訓練開課訊息
下一篇:AS/IATF/IRIS 新近發布消息通知(下)
月刊專欄

貝爾國際檢驗認證集團總部

貝爾國際檢驗認證集團總部(台北聯絡處)

貝爾國際檢驗認證集團總部(台中聯絡處)

貝爾國際檢驗認證集團總部(高雄聯絡處)

Copyright © 2022 BellCERT Group TAIWAN.