TISAX——可信信息安全評(píng)估交換
來(lái)源: 發(fā)布日期:2019.03.18 點(diǎn)擊量:
為什么選擇TISAX�����?
或者更確切地說(shuō)����,你為什么在看這篇文章���?
為了回答這個(gè)問(wèn)題�����,我們從通常來(lái)看是關(guān)注商業(yè)經(jīng)營(yíng)�����,尤其是信息的保護(hù)����。
想象一下你的搭檔���。他有機(jī)密信息��。他想和他的供應(yīng)商——你分享���。你和你的合作伙伴之間的合作創(chuàng)造了價(jià)值。合作伙伴與您共享的信息是創(chuàng)造價(jià)值的重要組成部分�。因此,他想適當(dāng)?shù)乇Wo(hù)它��。他想確保你同樣謹(jǐn)慎地處理他的信息���。
但他怎么能確定他的信息可以被你妥當(dāng)?shù)谋9苣?��?他不能僅僅是“相信”你����。你的搭檔需要看一些證據(jù)��。
現(xiàn)在有兩個(gè)問(wèn)題����。誰(shuí)定義了信息“安全”處理的意義?接下來(lái)��,你如何證明這一點(diǎn)�?
你的搭檔和你都不是第一次面對(duì)這些問(wèn)題的唯一一人。幾乎每個(gè)人都必須找到答案��,而且大多數(shù)答案都有相似之處�。
每次您必須獨(dú)立地為一個(gè)常見(jiàn)問(wèn)題創(chuàng)建一個(gè)解決方案時(shí),如果有一種標(biāo)準(zhǔn)的方法��,就可以減輕從頭開(kāi)始創(chuàng)建所有東西的負(fù)擔(dān)�����。雖然定義一個(gè)標(biāo)準(zhǔn)是一項(xiàng)巨大的工作,但它只做了一次���,而且它的追隨者每次都從中受益。
對(duì)于保護(hù)信息的正確做法����,肯定有不同的看法。但是����,由于上述好處,大多數(shù)公司都樂(lè)于采用標(biāo)準(zhǔn)�。標(biāo)準(zhǔn)是針對(duì)給定挑戰(zhàn)的所有經(jīng)過(guò)驗(yàn)證和時(shí)間測(cè)試的最佳實(shí)踐的濃縮形式。
在您的案例中�����,像ISO27001(關(guān)于信息管理系統(tǒng)��,isms)這樣的標(biāo)準(zhǔn)和它們的實(shí)現(xiàn)方式建立了一種最先進(jìn)的方法來(lái)安全地處理機(jī)密信息��。這樣的標(biāo)準(zhǔn)可以避免你重蹈覆轍���。更重要的是��,當(dāng)兩家公司需要交換機(jī)密數(shù)據(jù)時(shí)����,標(biāo)準(zhǔn)提供了一個(gè)共同的基礎(chǔ)。
自動(dòng)方式/汽車之路
從本質(zhì)上講����,行業(yè)獨(dú)立的標(biāo)準(zhǔn)設(shè)計(jì)成一個(gè)適合所有解決方案的尺寸,而不是為汽車公司的特定需求而定制的�。
早在很久以前,汽車行業(yè)就已經(jīng)成立了一些協(xié)會(huì)�,其目標(biāo)之一是完善和定義關(guān)心他們更具體需求的標(biāo)準(zhǔn)?�!癡erband Der Automobilindustrie”(VDA�����,德國(guó)汽車工業(yè)協(xié)會(huì))就是其中之一���。在處理信息安全的工作組中�,汽車行業(yè)的一些成員得出結(jié)論�����,他們有類似的需求來(lái)定制現(xiàn)有的信息安全管理標(biāo)準(zhǔn)。
他們共同努力的結(jié)果是一份調(diào)查問(wèn)卷�����,涵蓋了汽車行業(yè)廣泛接受的信息安全要求�����。它被稱為“VDA信息安全評(píng)估”(VDA ISA)���。
有了VDA ISA,我們現(xiàn)在可以回答“誰(shuí)定義了安全意味著什么����?”通過(guò)VDA,汽車行業(yè)自己向其成員提供了這個(gè)答案���。
如何有效地證明安全性
雖然有些公司僅將VDA ISA用于內(nèi)部目的�,而另一些公司則使用它來(lái)評(píng)估其供應(yīng)商的信息安全管理的成熟度����。在某些情況下,“自我評(píng)估”是建立業(yè)務(wù)關(guān)系的充分基礎(chǔ)��。然而,在某些情況下���,公司對(duì)其供應(yīng)商的信息安全管理(包括現(xiàn)場(chǎng)審計(jì))進(jìn)行了全面評(píng)估���。
隨著人們普遍認(rèn)識(shí)到信息安全管理的必要性,以及越來(lái)越多地采用VDA ISA作為信息安全評(píng)估工具��,越來(lái)越多的供應(yīng)商面臨著來(lái)自不同合作伙伴的類似要求�。
這些合作伙伴仍然采用不同的標(biāo)準(zhǔn),并對(duì)如何解釋這些標(biāo)準(zhǔn)有不同的意見(jiàn)��。但供應(yīng)商必須證明同樣的事情��,只是通過(guò)不同的風(fēng)格����。
被合作伙伴要求證明其信息安全管理水平的供應(yīng)商數(shù)量越多,抱怨重復(fù)努力的聲音就越大��。一個(gè)接一個(gè)地向?qū)徲?jì)人員展示相同的信息安全管理措施效率是非常低的�����。
我們可以做些什么來(lái)提高效率?如果任何審計(jì)人員的報(bào)告可以被不同的合作伙伴重復(fù)利用���,這會(huì)有幫助嗎����?
負(fù)責(zé)維護(hù)VDA ISA的VDA工作組中的原始設(shè)備制造商和供應(yīng)商聽(tīng)取了其供應(yīng)商的投訴?��,F(xiàn)在����,他們?yōu)樗麄兊墓?yīng)商以及汽車行業(yè)的所有其他公司提供了一個(gè)關(guān)于“如何證明安全性”的問(wèn)題的答案���。
答案是TISAX,是“可信信息安全評(píng)估交換”的縮寫(xiě)��。
一�、TISAX過(guò)程概述
TISAX流程(您可能會(huì)考慮將TISAX過(guò)程作為同行競(jìng)爭(zhēng)中先發(fā)制人的手段。有些公司這樣做是為將來(lái)的業(yè)務(wù)做好充分準(zhǔn)備����。已經(jīng)接受TISAX評(píng)估可能意味著比尚未接受評(píng)估的機(jī)構(gòu)投入合作的時(shí)間要短得多,因此可能會(huì)使您比尚未接受TISAX評(píng)估的競(jìng)爭(zhēng)對(duì)手更具優(yōu)勢(shì)��。)通常始于要求您根據(jù)“VDA信息安全評(píng)估”(VDA ISA)的要求證明定義的信息安全管理級(jí)別的合作伙伴之一。為了滿足這一要求�����,您必須完成三步TISAX流程���。本節(jié)概述了需要采取的步驟�。
三步TISAX流程包括以下步驟:
圖1:TISAX流程概述
1.注冊(cè)
我們收集有關(guān)貴公司的信息以及評(píng)估中需要包含的內(nèi)容��。
2.評(píng)估
您將通過(guò)我們TISAX認(rèn)可的審計(jì)提供商進(jìn)行的評(píng)估�����。
3.交換
你和你的搭檔分享你的評(píng)估結(jié)果���。
每個(gè)步驟由子步驟組成�����。這些在下面的三個(gè)部分中進(jìn)行了概述�,并在下面的相應(yīng)部分中進(jìn)行了詳細(xì)描述��。
請(qǐng)注意����!
雖然我們想對(duì)于你需要多長(zhǎng)時(shí)間才能得到你的TISAX評(píng)估結(jié)果給你一個(gè)提示�,但我們懇請(qǐng)你理解����,我們是無(wú)法得到可靠預(yù)測(cè)結(jié)果的。
TISAX過(guò)程的總持續(xù)時(shí)間取決于太多的因素����。公司規(guī)模、評(píng)估目標(biāo)和信息安全管理系統(tǒng)的準(zhǔn)備程度的巨大差異使得這成為不可能�。
但是,TISAX規(guī)定整個(gè)TISAX評(píng)估過(guò)程的最長(zhǎng)持續(xù)時(shí)間為9個(gè)月�����。
二���、TISAX注冊(cè)
你的第一步是TISAX注冊(cè)。
TISAX注冊(cè)的主要目的是收集有關(guān)貴公司的信息����。我們使用在線注冊(cè)流程幫助您向我們提供此信息。
這是所有后續(xù)步驟的先決條件����。這是收費(fèi)的�。
在線注冊(cè)過(guò)程中:
我們?cè)儐?wèn)聯(lián)系方式和賬單信息���。
你必須接受我們的條款和條件�。
您可以定義信息安全評(píng)估的范圍����。
三、評(píng)估
第二步是進(jìn)行信息安全評(píng)估�����。
有四個(gè)子步驟:
a)評(píng)估準(zhǔn)備
你必須準(zhǔn)備評(píng)估�����,準(zhǔn)備到何種程度�����,取決于當(dāng)前信息安全管理系統(tǒng)的成熟度�����。但你的準(zhǔn)備工作必須以VDA ISA目錄為基礎(chǔ)。
b)審核提供程序選擇
一旦你準(zhǔn)備好評(píng)估�,你就必須選擇我們TISAX認(rèn)可的審計(jì)提供商之一。
c)信息安全評(píng)估
你的審核提供商將會(huì)基于匹配你合作伙伴要求的評(píng)估范圍來(lái)進(jìn)行評(píng)估����。整個(gè)評(píng)估過(guò)程將至少包括初始審計(jì)。
d)評(píng)估結(jié)果
一旦你的公司通過(guò)了評(píng)估�����,你的審核供應(yīng)商將提供TISAX官方報(bào)告給你�����。你的評(píng)估結(jié)果也將收到TISAX標(biāo)簽3��。
四�����、交換
第三步���,也是最后一步是去和你的合作伙伴分享你的評(píng)估結(jié)果。TISAX報(bào)告的內(nèi)容是由等級(jí)結(jié)構(gòu)組成的��。您可以決定您的合作伙伴可以訪問(wèn)的級(jí)別。
你的評(píng)估結(jié)果具有三年的有效期�����。
既然你已經(jīng)對(duì)TISAX的過(guò)程有了基礎(chǔ)的認(rèn)識(shí)��,在接下來(lái)的部分中你將會(huì)知道如何去完成每一步�����。
聯(lián)系我們
更多關(guān)于TISAX的內(nèi)容或業(yè)務(wù)需求請(qǐng)持續(xù)關(guān)注我們���。
詳情請(qǐng)咨詢:
電話:021-62101209-811
郵件:mkt@aryasec.com
- 上一篇:
暫無(wú)上一篇
- 下一篇:
暫無(wú)下一篇
相關(guān)客戶案例:
