毕马威-2020年TISAX德系汽车行业信息安全评估报告.pdf

简介：
本报告由毕马威编制，详述了2020年度针对德系汽车行业的TISAX（信任信息和安全交换）信息安全评估情况与结果。 毕马威与TISAX在德系汽车行业信息安全评估方面的报告详细阐述了TISAX（德国汽车行业信息安全评估标准）的起源、发展及实施流程等内容。 该报告明确了TISAX标准的背景和发展历程，其目的是为了评估汽车供应链中所有参与方的信息安全水平。自2017年起，通过TISAX审计成为德系汽车行业供应商市场准入和合作的重要条件之一。无论规模大小，全球供应商都必须执行并维护信息安全管理体系（ISMS），并通过TISAX审核。 报告还解释了TISAX的适用范围及其对象主要包括传统汽车零部件制造商，并逐渐延伸至新能源汽车、移动互联网及自动驾驶等新兴领域的企业以及提供市场研究、客户服务和ICT服务的公司。这些企业需要向其OEMs客户或客户提供有效的TISAX标签，以证明自身的信息安全能力。 作为ENX认可的TISAX审计服务商之一，毕马威提供了全球范围内的专业审核服务，并遵循统一的网络安全标准及内部流程为中国的客户提供一站式解决方案。这有助于降低沟通成本、缩短审计周期并提高效率。 报告详细介绍了TISAX实施步骤包括注册、评估、整改、确认和分享等六个阶段。企业需在ENX平台完成注册，随后由第三方机构（如毕马威）进行信息安全审核，并根据结果改进措施以获得有效期为三年的TISAX标签作为合作前提条件之一。 此外，在TISAX审计内容方面除了常规的信息安全评估外还包括原型保护、外部连接和数据保密等模块。依据信息敏感度分为高（AL2）及非常高（AL3）两个级别，其中后者需现场审核，并采用访谈、实地考察与证据确认等方式进行评价。最终结果以VDA ISA成熟度等级表示，得分区间为0到5分之间且无偏差项是获得TISAX标签的前提。 报告强调企业需要准备沟通工作并制定自我评估和整改计划，在审计过程中执行报告内容完成初次审核及后续跟进，并持续监控不同业务类型或合作模式下的信息安全管理水平以及企业管理与系统运行状况。 综上所述，毕马威的这份文档涵盖了德系汽车领域TISAX标准应用的所有方面，不仅为行业内企业提供详实的操作指南也为中国市场的企业如何遵循该标准提供了清晰路径和参考。