- 2025年2月 | 270期
- 2025年1月 | 269期
- 2024年12月 | 268期
- 2024年11月 | 267期
- 2024年10月 | 266期
- 2024年9月 | 265期
- 2024年8月 | 264期
- 2024年7月 | 263期
- 2024年6月 | 262期
- 2024年5月 | 261期
- 2024年4月 | 260期
- 2024年3月 | 259期
- 2024年2月 | 258期
- 2024年1月 | 257期
- 2023年12月 | 256期
- 2023年11月 | 255期
- 2023年10月 | 254期
- 2023年9月 | 253期
- 2023年8月 | 252期
- 2023年7月 | 251期
- 2023年6月 | 250期
- 2023年5月 | 249期
- 2023年4月 | 248期
- 2023年3月 | 247期
- 2023年2月 | 246期
- 2023年1月 | 245期
- 2022年12月 | 244期
- 2022年11月 | 243期
- 2022年10月 | 242期
- 2022年9月 | 241期
- 2022年8月 | 240期
- 2022年7月 | 239期
- 2022年6月 | 238期
- 2022年5月 | 237期
- 2022年4月 | 236期
- 2022年3月 | 235期
- 2022年2月 | 234期
- 2022年1月 | 233期
- 2021年12月 | 232期
- 2021年11月 | 231期
- 2021年10月 | 230期
- 2021年9月 | 229期
- 2021年8月 | 228期
- 2021年7月 | 227期
- 2021年6月 | 226期
- 2021年5月 | 225期
- 2021年4月 | 224期
- 2021年3月 | 223期
- 2021年2月 | 222期
- 2021年1月 | 221期
- 2020年12月 | 220期
- 2020年11月 | 219期
- 2020年10月 | 218期
- 2020年9月 | 217期
- 2020年8月 | 216期
- 2020年7月 | 215期
- 2020年6月 | 214期
- 2020年5月 | 213期
- 2020年4月 | 212期
- 2020年3月 | 211期
- 2020年2月 | 210期
- 2020年1月 | 209期
- 2019年12月 | 208期
- 2019年11月 | 207期
- 2019年10月 | 206期
- 2019年9月 | 205期
- 2019年8月 | 204期
- 2019年7月 | 203期
- 2019年6月 | 202期
TISAX評鑑目標及級別
◆ 評鑑目標:
目前有 8 項評鑑目標(Assessment Objective),受評者須選擇至少 1 項評鑑目標,亦可選擇多項評鑑目標,稽核服務提供者(Audit Provider)會根據評鑑目標擬定評鑑策略,通過評鑑後將獲得與評鑑目標一致的 TISAX 標章。不同程度的評鑑目標,適用不同的評鑑等級,如下表所示:
▲ 資料來源:AFNOR 法國標準協會集團貝爾國際檢驗認證簡報,作者整理繪製。
◆ 評鑑等級:
評鑑等級(Assessment Level)分為三級,稽核服務提供者(Audit Provider)會依據等級進行不同程度的查核強度,強度由低到高依序為:AL1、AL2、AL3,說明如下:
● AL1(一般等級):選擇 AL1 的受評者只需完成 ISA 查檢表自評,稽核員也只要檢查受評者是否已完成適用的評鑑項目,不須評鑑其評鑑結果的適切性或是取得進一步的證據。此評鑑結果的信任級別較低,因此不適用於公布在 TISAX;
● AL2(高等級):選擇 AL2 的受評者完成 ISA 查檢表自評後,須接受稽核員透過遠端(電話或視訊)進行真實性檢查(Plausibility Check),若有機密文件保護之考量,可要求稽核員針對該機密文件進行現場稽核;
● AL3(極高等級):可能接觸到高度敏感資料之受評者,通常會被要求 AL3 等級,除了完成 ISA 查檢表自評外,也須接受稽核員之現場人員訪談及現場稽核(on-site),以進行徹底查證(Thorough Verification)。
▲ 資料來源:AFNOR 法國標準協會集團貝爾國際檢驗認證簡報,作者整理繪製。
◆ TISAX 評鑑報告的架構
TISAX 的評鑑報告可區分為 5 個部分:
● 評鑑相關資訊:公司名稱、評鑑範圍、範圍 ID、評鑑 ID、評鑑等級、評鑑目標、評鑑日期及稽核提供者。
● 總結結果:評鑑結果的管理總結(符合、次要不符合、主要不符合)、發現數量、產生風險的抽象分類。
● 評鑑結果總結:每個章節 (例如:「9 存取控制」)和每個範疇(例如:「資訊安全」)的評鑑結果摘要。
● VDA ISA 的成熟度等級:每個要求的成熟度等級。
● 詳細的評鑑結果:詳細描述所有發現、相應風險評鑑結果、所需措施及實施期限。
◆ TISAX 評鑑報告的架構
● TISAX 標章(TISAX Label)的有效期一般為 3 年,有效期從評鑑過程結束時開始,甚至在 TISAX 評鑑報告發布之前。如果 TISAX 評鑑範圍發生顯著變更,例如公司地址變遷或增加其他位置,有效期可能就會縮短。
● 須注意,企業接受評鑑通過後所獲得 TISAX 標章可能不只一個,如前所述,每個評鑑目標都有其對應的 TISAX 標章,有些評鑑目標之要求包含另一個評鑑目標之要求,因此若通過涵蓋較多要求的評鑑目標就會有 2 個以上的 TISAX 標章。
● 例如,若 A 企業選擇的評鑑目標是「極高保護需求資訊之處理」,A 企業的評鑑通過後就會收到對應的「極高保護需求資訊之處理」的 TISAX 標章,由於「極高保護需求資訊之處理」的評鑑目標包含「高保護需求資訊之處理」的評鑑目標的要求,A企業也會自動收到「高保護需求資訊之處理」的TISAX 標章, 如此 A 企業就有 2 個標章,當B客戶要求 A 企業取得「極高保護需求資訊之處理」的 TISAX 標章,A 企業可分享「極高保護需求資訊之處理」的 TISAX 標章給 B 客戶,當 C 客戶僅要求「高保護需求資訊之處理」的評鑑標章,A 企業可分享「高保護需求資訊之處理」的 TISAX 標章給 C 客戶,無須花時間向客戶解釋「極高保護需求資訊之處理」已涵蓋「高保護需求資訊之處理」的要求。
獲得 TISAX 認證的優勢
◆ 可確保汽車生產設計、製造和分銷階段保持資料(訊)安全,以便在數位資訊管理的品質和安全性方面被評為「最可靠」供應商。擴大到其他 OEM,TISAX ® 正成為汽車工業和資訊安全管理的驗證參考標準。不僅如此,能夠證明其 TISAX ® 合規性的組織比其他不合規的組織具有競爭優勢,使其在潛在客戶眼中值得信賴。
◆ TISAX 認證源自主機廠的強制要求,獲得認證能滿足客户方的最直接的要求。
◆ 透過導入及運行 TISAX,可以提升員工安全意識和能力。員工行為對公司內部的安全有重大影響,安全意識和能力的提升,可以更好地增加企業競爭力。
◆ 行業內相互認可,可以最大程度的節省時間和管理成本:TISAX 認證為汽車行業內的資訊安全評鑑提供了統一且有約束力的標準,評鑑結果得到其他 TISAX 參與者共同認可從而實現汽車行業企業之間的安全互信。
◆ 鞏固現有業務關係,並促進新的業務關係,從而以客戶需求為導向,降低風險,建立風險管理。
企業要如何推動與落實 TISAX
TISAX 採用的 VDA ISA 要求乃參考 ISO/IEC 27001、ISO/IEC 27002 等標準,為順利一次取得 TISAX 標章,建議供應商先依據 ISO 27001、ISO 27002 建置資訊安全管理系統,行有餘力,再參照其他相關標準將系統運作臻於完善。
以下將能協助汽車供應鏈取得 TISAX 認證之相關 ISO 標準彙整如下,希望能藉由國際上公認的管理規範與實務做法,協助汽車供應鏈符合 VDA ISA 要求,定期向客戶證明其資訊安全之健全。
▲ 資料來源:貝爾國際檢驗認證集團月刊 240 期。
參考來源:
● 領導力企管/汽車安全評估資訊交換平台(TISAX)-VDA ISA https://www.isoleader.com.tw/home/iso-coaching-detail/TISAX-VDA-ISA2
● 國立雲林科技大學會計系/陳重光副教授:供應鏈資安共責與 TISAX https://uma.yuntech.edu.tw/news14-3912.html
延伸閱讀:
HOT 熱門文章
-
大章小章是什麼?為什麼要分開管理?(上)
【財稅專欄】2022-10-26
-
食品營養標示眉角多,不可不知關鍵技巧!(上)
【專欄文章】2022-10-11
-
法院來函『強制扣薪』,到底應該扣多少?(下)
【法律專欄】2024-12-05
-
FMEA 的基礎概念與稽核應用
【專欄文章】2024-08-30
-
最新 GRI 準則導入 AA1000 第三方保證實務初探(上)
【專欄文章】2024-12-25