- 2025年7月 | 275期
- 2025年6月 | 274期
- 2025年5月 | 273期
- 2025年4月 | 272期
- 2025年3月 | 271期
- 2025年2月 | 270期
- 2025年1月 | 269期
- 2024年12月 | 268期
- 2024年11月 | 267期
- 2024年10月 | 266期
- 2024年9月 | 265期
- 2024年8月 | 264期
- 2024年7月 | 263期
- 2024年6月 | 262期
- 2024年5月 | 261期
- 2024年4月 | 260期
- 2024年3月 | 259期
- 2024年2月 | 258期
- 2024年1月 | 257期
- 2023年12月 | 256期
- 2023年11月 | 255期
- 2023年10月 | 254期
- 2023年9月 | 253期
- 2023年8月 | 252期
- 2023年7月 | 251期
- 2023年6月 | 250期
- 2023年5月 | 249期
- 2023年4月 | 248期
- 2023年3月 | 247期
- 2023年2月 | 246期
- 2023年1月 | 245期
- 2022年12月 | 244期
- 2022年11月 | 243期
- 2022年10月 | 242期
- 2022年9月 | 241期
- 2022年8月 | 240期
- 2022年7月 | 239期
- 2022年6月 | 238期
- 2022年5月 | 237期
- 2022年4月 | 236期
- 2022年3月 | 235期
- 2022年2月 | 234期
- 2022年1月 | 233期
- 2021年12月 | 232期
- 2021年11月 | 231期
- 2021年10月 | 230期
- 2021年9月 | 229期
- 2021年8月 | 228期
- 2021年7月 | 227期
- 2021年6月 | 226期
- 2021年5月 | 225期
- 2021年4月 | 224期
- 2021年3月 | 223期
- 2021年2月 | 222期
- 2021年1月 | 221期
- 2020年12月 | 220期
- 2020年11月 | 219期
- 2020年10月 | 218期
- 2020年9月 | 217期
- 2020年8月 | 216期
- 2020年7月 | 215期
- 2020年6月 | 214期
- 2020年5月 | 213期
- 2020年4月 | 212期
- 2020年3月 | 211期
- 2020年2月 | 210期
- 2020年1月 | 209期
- 2019年12月 | 208期
- 2019年11月 | 207期
- 2019年10月 | 206期
- 2019年9月 | 205期
- 2019年8月 | 204期
- 2019年7月 | 203期
- 2019年6月 | 202期
TISAX 評估之個人資料處理與成熟度要求
關於個人資料的處理,在臺灣很少有廠商能夠接觸到特殊類別的個人資料,但廠商可能會處理一般的個人資料,這些資料通常來源於汽車製造商在測試車輛時收集到的駕駛行為資料,這些資料雖然屬於個人資料範疇,但因其特殊性,往往會被傳遞給下游供應商,用於設計相關零部件。然而,在處理這些資料時,企業需嚴格遵守 TISAX 評估系統的要求,確保資料的安全與合規。TISAX 評估系統中的成熟度要求與 ISO 27001 或其他傳統標準不同,TISAX 採用了成熟度水準來評估企業的資訊安全實踐能力,這一要求對企業而言是一大挑戰,因為傳統標準往往只關注記錄的保存時間和完整性,而 TISAX 則更加注重流程的執行效果、記錄的詳細程度以及與其他流程的關聯性。
具體來說,TISAX 將成熟度水準分為多個等級。其中,Level 0 表示流程不完整或未遵守;Level 1 表示有流程但記錄不完整;Level 2 表示有完整的流程和記錄;而 Level 3 則要求企業遵循標準流程,流程貫穿整個系統,並與其他流程有明確的依存關係,同時要求有書面記錄和長期執行的證據。達到 Level 3 的難度在於,企業需要展示其流程在相當長一段時間內(國外論壇為九到十二個月,筆者建議通常為六到十二個月)的高度重視和頻繁使用。這一要求對企業而言非常苛刻,因為即使在 ISO 認證過程中,企業也可能因為某些流程未實際執行而缺乏相關記錄。在 TISAX 評估中,這種「無執行記錄」的說法是不可行的,企業必須提供充分的證據來證明其流程的完整性和有效性。
此外,TISAX 還提出了 Level 4 和 Level 5 的更高要求。其中,Level 4 要求企業定義關鍵技術指標,而 Level 5 則是對企業資訊安全實踐能力的更高層次要求。雖然 TISAX 要求企業儘量達到 Level 3,但並非所有項目都必須達到這一水準,如果某些項目因特殊原因無法達到 Level 3,但評估機構認為其不會對整體運作造成風險,那麼企業仍然有可能通過評估並獲得 TISAX 標籤。然而,為了提升企業的資訊安全實踐能力和市場競爭力,我們仍然建議企業盡力達到更高的成熟度水準。
▲ TISAX 評估流程圖。
TISAX 評估流程與標籤獲取
在 TISAX 評估系統中,企業需要完成自我評估,確保自身的資訊安全實踐接近或達到 TISAX 所要求的成熟度水準,特別是針對 Level 3 的要求,企業需要展示其流程在長時間內的穩定性和有效性,自我評估後,企業若認為自身接近或達到 Level 3,便可著手準備驗證,以獲取 TISAX 標籤。值得注意的是,TISAX 標籤的有效期為三年,其計算始於初始評估的結束會議。這意味著,從結束會議那一刻起,企業便需確保其資訊安全實踐持續符合 TISAX 的要求,直至標籤到期。在評估過程中,TISAX 評估機構會嚴格審查企業的資訊安全實踐,包括流程、記錄、執行效果等,若評估機構發現企業需要改進的地方,會將其列為不符合事項,這些不符合事項分為次要不符合和重大不符合。
對於次要不符合,企業需要在規定的時間內提供矯正行動計畫,並展示其改進措施的效果,評估機構在確認改進措施有效後,可能會發放臨時標籤給企業,以待後續的驗證,若後續驗證顯示企業已完全滿足要求,正式標籤便會發放給企業。然而,對於重大不符合,評估機構通常不會發放臨時標籤。此時,企業需要先提供矯正啟動計畫給評估機構,展示其解決重大不符合的決心和方案,若評估機構認為企業的矯正計畫可行,可能會將重大不符合降為次要不符合,進而可能發放臨時標籤。但無論如何,企業必須徹底解決重大不符合問題,才能最終獲得正式標籤。此外,TISAX 評估流程中的時間管理也至關重要,從初始評估開始到結束會議,再到後續的驗證和標籤發放,整個過程最長可持續九個月,若企業在九個月內未能完成矯正行動並滿足評估機構的要求,其整個評估流程可能需要重新來過。因此,企業在準備 TISAX 評估時,必須充分理解評估流程和要求,確保自身資訊安全實踐達到或超過 TISAX 所規定的水準。同時,企業還需密切關注評估機構提出的任何不符合事項,並迅速採取有效措施進行改進,以確保能夠順利獲得並維持 TISAX 標籤。
TISAX 評估流程與標籤獲取及交換的專業報告
若企業在 TISAX 評估中被開具不符合事項,那麼就需要進行相應的矯正行動,這些矯正行動需要在規定的時限內完成,所有行動不得超過九個月;若超過三個月,企業需要給出合理的解釋;若超過六個月,則需提供額外的證明。在首次被稽核員開具缺失後,企業應立即著手撰寫矯正行動計畫,由於 TISAX 制度在設計時就包含了矯正措施這一部分,因此矯正措施顯得尤為重要,如果矯正行動計畫寫得不好,或者原因分析不可行,稽核員可能會將其退回,並要求企業重新進行自我評估。在矯正流程中,企業需要與稽核員進行反復的溝通和說明,如果矯正措施得到認可,企業可以獲得臨時性標籤,並繼續執行矯正行動。矯正完成後,企業需要邀請稽核員進行後續的評估,如果評估未通過,企業需要重新擬定矯正行動計畫。
值得注意的是,TISAX 的矯正流程與一般驗證體系的矯正流程有所不同,在 TISAX 中,矯正行動計畫的審核和執行過程更為嚴格和複雜。此外,TISAX 的評估報告非常詳細,報告詳細記錄稽核員看到的證據、企業所做的努力以及滿足的各項要求等,也顯示企業的成熟度等級,該制度設計初衷是希望將評估報告分享給被動參與者(即供應鏈中的其他企業),以便他們瞭解主動參與者(即接受評估的企業)在資訊安全方面所做的努力。然而,由於供應鏈保密性的原因,很少有企業會主動展示其 TISAX 標籤,在獲取標籤後,企業可以選擇進行標籤交換。TISAX 建議使用 ENX 網站作為交換平台,作為註冊者,企業可以授權其他註冊者查看其報告和標籤。但需要注意的是,一旦選擇了進行交換,該操作是不可逆的。建議分享的報告內容應包括 A、B 和 L(標籤級別)等部分,但詳細內容的分享內容企業可自行決定,或是取決於企業的選擇和被動參與者的要求。另外,需要注意的是,在 TISAX 框架外共用評估結果是被禁止的,特別是通過 PDF 形式,雖然企業可以在網站上下載 PDF 報告,但原則上禁止將其直接傳給客戶,因為這樣做可能會使報告的真實性受到質疑。
TISAX 與 ISO 27001 整合方式及其實施必要性探討
在早期,臺灣地區對 TISAX 的要求並沒有太多的關注,只有少數幾家企業開始考慮是否要通過這個認證。然而,從去年初開始,越來越多的企業開始重視 TISAX 認證,這主要是受到客戶要求的影響。目前,就筆者瞭解僅一家企業是出於自主意願導入 TISAX,想要證明其資訊安全水準。但遺憾的是,該企業最終並未實施,而其他企業則大多是因為客戶的要求而不得不進行 TISAX 認證。因此,我們可以看出 TISAX 認證的必要性主要取決於客戶的要求,在決定是否進行 TISAX 認證時,企業需要綜合考慮多個因素。其中,最重要的一個因素就是訂單的價值和企業的未來發展,如果企業認為某個訂單對其未來發展有利,並且能夠通過 TISAX 認證來滿足客戶的要求,那麼企業就有必要進行 TISAX 認證。
然而,TISAX 認證的成本也是企業需要考慮的一個重要因素,導入 TISAX 不僅需要支付相關的諮詢和導入費用,還需要考慮改善企業資訊環境的成本。例如,如果企業的資訊系統或設備比較老舊,可能需要更新或升級以滿足 TISAX 的要求。這些額外的成本可能會讓企業望而卻步。在實際操作中,有些企業在進行了一半的 TISAX 認證過程後,由於成本過高而選擇了放棄。
因此,企業在決定是否進行 TISAX 認證時,需要充分考慮其成本效益比,確保所投入的成本能夠得到相應的回報。此外,TISAX 認證在未來的發展趨勢,雖然目前主要是德國原廠和第一層供應鏈的企業在要求 TISAX 認證,但未來這一趨勢可能會繼續向外拓展。包括福特在內的其他國際企業也可能會加入這一行列。因此,即使某些企業目前不選擇 TISAX 認證,未來也可能需要面對類似的資訊安全要求。
綜上所述,TISAX 認證對於想要在國際供應鏈中佔據一席之地的企業來說是非常重要的,企業需要綜合考慮客戶要求、成本效益比以及未來發展趨勢等多個因素來決定是否進行 TISAX 認證。同時,企業也需要關注 TISAX 與 ISO 27001 等標準的整合方式,以更好地提升其資訊安全水準。
TISAX 導入流程及關鍵步驟解析
明確導入的範圍和等級是整個導入流程的基礎,也是最為關鍵的一步。企業需要與客戶進行深入溝通,瞭解客戶進行評估的具體對象和所需的標籤,這個步驟可能會比較困難,因為業務部門可能不太瞭解資訊安全,而客戶給出的要求也可能不夠明確。因此,務必確保企業清楚知道評估的對象是什麼,這將直接影響到後續流程的開展。
在明確了範圍和等級後,接下來要進行差異性評估,就是瞭解當前的做法與 TISAX 標準之間的差距,需要對照 TISAX 的查核表,逐一檢查流程、場地、資源等是否滿足要求,對於已經做得比較好的部分,可以保持不變;對於與標準有差距的部分,則需要制定改進措施。差異性評估完成後,就要進行風險評鑑,TISAX 的風險評鑑不僅關注資產本身的風險,還更側重於流程中的風險。因此,企業需要識別出流程中可能存在的風險點,並制定相應的風險控制措施。這一步也是與 ISO 27001 等標準有所不同之處。
之後是設計文件階段,需要根據前面的評估結果和風險評鑒,設計出一套符合 TISAX 要求的文件系統,包括各種程式、規範和記錄表單等。這些文件將作為後續執行和管理的依據。設計完文件後,就要開始執行和管理,此時需要按照文件中的規定,逐一落實各項措施,並保存好相關的執行記錄,這些記錄將作為企業後續自我評估和驗證公司稽核的依據。需要注意的是,TISAX 的執行記錄需要覆蓋一個相對較長的時間段,而不是短時間內的單一記錄。在執行和管理的過程中,還需要定期進行自我評估。這一步是檢查當前的做法是否滿足 TISAX 要求的重要環節。有關自我評估的困難度較高,因為需要提供詳盡的佐證材料,並對成熟度等級進行評定。因此,建議由經驗豐富的人員來負責這一步驟。
最後,當滿足了 TISAX 的所有要求時,就可以向驗證公司申請進行正式驗證了。在驗證過程中,驗證公司將根據企業的自我評估報告和佐證材料來進行稽核,並給出最終的驗證結果。總的來說,TISAX 導入流程是一個複雜而細緻的過程,需要企業充分瞭解標準要求,明確導入範圍和等級,進行差異性評估和風險評鑒,設計符合要求的文件系統,並嚴格執行和管理。同時,還需要定期進行自我評估,確保企業的做法始終滿足 TISAX 的要求。
延伸閱讀:
HOT 熱門文章
-
化粧品新法上路!引領產業接軌國際(上)
【專欄文章】2025-07-14
-
大章小章是什麼?為什麼要分開管理?(上)
【財稅專欄】2022-10-26
-
從奧運賽事認識 ISO 20121:2024 永續活動管理系統(上)
【國際標準新知】2025-07-11
-
法院來函『強制扣薪』,到底應該扣多少?(下)
【法律專欄】2024-12-05
-
精實專案管理與敏捷專案管理簡介
【專欄文章】2025-04-23