可信资讯安全评估交换

可信资讯安全评估交换(英语:Trusted Information Security Assessment Exchange,简称TISAX),是汽车产业定义的资讯安全标准。自从2017年起,许多德国汽车产业的成员会要求供应商通过TISAX的认证。

德国汽车工业协会(VDA)的成员已由国际标准ISO/IEC 27001中选取了符合车辆产业的需求,制作对应的文件 [1]

核可的认证服务公司会依VDA ISA,针对服务供应商或组件供应商进行认证。ENX协会德语ENX是此一系统的监理组织。会审核认证服务公司的认证结果,并且监控各公司实施以及评估的结果。确保最终产品有期望的质量以及设计目标,参与者的权利及义务都可以受到保护。

TISAX的验证分为以下三个类型:

  • 资讯安全控制措施
  • 原型保护
  • 隐私保护

TISAX有三种不同的审核级别,分别是AL1,AL2和AL3审核级别。其中以AL3的保护级别最高,AL1审核级别可以自行进行,但不能获取TISAX认证标签[2]。通过TISAX后,一般只要每三年重新评估一次即可。

测试

依照TISAX的测试(特别是针对服务提供者或是供应商的测试)会由TISAX测试服务提供者来进行。ENX协会是此一系统的治理组织,核可测试服务提供者,并且监控执行的质量以及评估的结果。其目的是确认其结果有符合期望的质量以及客观性,而且参与者的权利及义务都可以确保。这可以让公司决定此供应商(服务提供者或是供应商)结果的成熟度是否符合买家的要求。

测试要求已经有数次的改版。2020年10月发布了5.0版,在手册中有简述背景、应用地区、执行流程以及测试需求[3]

参考资料

  1. ^ 存档副本. [2020-12-07]. (原始内容存档于2020-09-20). 
  2. ^ TISAX汽车行业的交换认证
  3. ^ Pravitz, Sven. Das Wichtigste zum Tisax-Update. Automobil Industrie. [29 November 2022]. (原始内容存档于2023-01-28). 

外部链接