通翔顧問根據(jù)多年的管理體系認證經(jīng)驗為您總結了TISAX可信信息安全評估交換的有關內(nèi)容，如下：

  眾所周知，供應鏈是目前企業(yè)數(shù)據(jù)隱私中最薄弱的部分，雖然許多公司非常重視并花費巨資，但每年仍有可能因處理其數(shù)據(jù)的供應商而泄露數(shù)據(jù)。對于現(xiàn)代汽車廠商而言，數(shù)據(jù)就是核心競爭力，特別是機密數(shù)據(jù)和產(chǎn)品數(shù)據(jù)，供應商數(shù)據(jù)泄露會讓公司核心知識產(chǎn)權暴露在大眾面前，對于公司造成巨大的負面影響。

  2018年7月，包含百余家著名汽車廠商的機密文件被曝光，共47,000 多個文件，157G字節(jié)的數(shù)據(jù)泄露，這些文件涉及車廠發(fā)展藍圖規(guī)劃、工廠原理、制造細節(jié)、客戶合同材料、工作計劃、各種保密協(xié)議等文件，甚至包括員工的駕駛證和護照的掃描件等隱私信息。這起事件的起因是這些著名廠商有共同的服務供應商，在使用遠程數(shù)據(jù)同步工具 rsync 同步數(shù)據(jù)時，備份服務器沒有進行安全的IP地址和身份認證設置，使非指定客戶端和個人連接了服務器，竊取了服務器存儲的數(shù)據(jù)。

  針對汽車行業(yè)供應鏈中存在的信息安全問題，德國汽車工業(yè)聯(lián)合會(VDA)信息安全工作組與ENX協(xié)會推出了--TISAX(TRUSTED INFORMATION SECURITY ASSESSMENT EXCHANGE，可信信息安全評估交換)，基于VDA-ISA的第三方獨立評估，以實現(xiàn)汽車行業(yè)信息安全評估的相互認可, 從而減少不同整車制造商的頻繁審核。

  TISAX由四方面組成，包括基礎：信息安全要求，以及三個附加模塊：原型保護、第三方的聯(lián)系和數(shù)據(jù)保護。四個方面都有不同的安全控制點，如下圖：

  TISAX的控制項融合了ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等標準的要求，并根據(jù)汽車行業(yè)的特殊需求，進行了刪減。對于所有控制項，TISAX評估對公司信息安全的實施狀態(tài)進行成熟度的評估，從而展現(xiàn)公司信息安全的改進空間。

  TISAX評估的收益體現(xiàn)在以下幾個方面：

  1、TISAX已獲得全球認可，并且德國主要汽車生產(chǎn)商已經(jīng)開始強制推行，通過TISAX評估便于介入德系汽車產(chǎn)業(yè)鏈開展業(yè)務。

  2、通過TISAX評估，可以幫助所有處理敏感信息的汽車供應商和服務提供商滿足消費者和法規(guī)的信息安全要求。

  3、通過TISAX評估，可以減輕安全漏洞和網(wǎng)絡攻擊的風險，從而使公司能夠采取措施來減輕信息安全風險。

  4、通過TISAX評估，可以向客戶證明公司在信息安全管理方面的準備情況，可以促進現(xiàn)有供應商合同的續(xù)簽。

  5、TISAX認證是一次審核后，在三年有效期內(nèi)，所有授權廠商都可以查到審核信息，不必重復審核，有效節(jié)省時間和管理成本。