TISAX作業流程
*1:在TISAX上的參與方只有兩種角色:評鑑者與被稽核者。一個參與組織(participant)可能受另一個參與組織的要求,進行TISAX符合性評鑑,並對其公佈自己的評鑑結果。透過TISAX資訊分享平台, 其它的參與組織也可以向被稽核者提出申請或授權查看評鑑結果。
*2:矯正行動計畫評鑑(corrective action plan assessment):初始評鑑有不符合之情況才會進行,稽核員透過遠端或現場確認受評者提交之矯正行動計畫之適切性,可能不只安排一次。
*3:追蹤評鑑(follow-up assessment):確認矯正預防措施之執行成效,可多次追蹤評鑑,但最後一次追蹤評鑑與初始評鑑之時間間隔不得超過9個月,否則須重新回到初始評鑑階段。
TISAX評鑑報告的架構
TISAX的評鑑報告可區分為5個部分:
A. 評鑑相關資訊:公司名稱、評鑑範圍、範圍 ID、評鑑ID、評鑑等級、評鑑目標、評鑑日期及稽核提供者。
B. 總結結果:評鑑結果的管理總結(符合、次要不符合、主要不符合)、發現數量、產生風險的抽象分類。
C. 評鑑結果總結:每個章節(例如:「9存取控制」)和每個範疇(例如:「資訊安全」)的評鑑結果摘要。
D. VDA ISA的成熟度等級:每個要求的成熟度等級。
E. 詳細的評鑑結果:詳細描述所有發現、相應風險評鑑結果、所需措施及實施期限。
TISAX標章
TISAX標章(TISAX Label)的有效期一般為3年,有效期從評鑑過程結束時開始,甚至在TISAX評鑑報告發布之前。如果TISAX評鑑範圍發生顯著變更,如公司地址變遷或增加其他位置,有效期可能就會縮短。
須注意,企業接受評鑑通過後所獲得TISAX標章可能不只一個,如前所述,每個評鑑目標都有其對應的TISAX標章,有些評鑑目標之要求包含另一個評鑑目標之要求,因此若通過涵蓋較多要求的評鑑目標就會有2個以上的TISAX標章。
舉例來說,如果A企業選擇的評鑑目標是「極高保護需求資訊之處理」,A企業的評鑑通過後就會收到對應的「極高保護需求資訊之處理」之TISAX標章,由於「極高保護需求資訊之處理」之評鑑目標包含「高保護需求資訊之處理」之評鑑目標的要求,A企業也會自動收到「高保護需求資訊之處理」之TISAX標章,如此A企業就會有2個標章,當B客戶要求A企業取得「極高保護需求資訊之處理」之TISAX標章,A企業可分享「極高保護需求資訊之處理」之TISAX標章給B客戶,當C客戶僅要求「高保護需求資訊之處理」之評鑑標章,A企業可分享「高保護需求資訊之處理」之TISAX標章給C客戶,無須花費時間向客戶解釋「極高保護需求資訊之處理」已涵蓋「高保護需求資訊之處理」之要求。
企業如何推動與落實TISAX
TISAX平台推出後,歐系車廠福斯(Volkswagen)、寶馬(BMW)、保時捷(Porsche)等車廠已開始要求供應鏈必須取得TISAX認證,TISAX評鑑內容主要以資訊安全管理系統為基礎,供應商若想順利取得TISAX標章,最好先建置ISO 27001資訊安全管理系統。
相信絕大部分的汽車供應商都已建置ISO 9001品質管理系統,甚至是IATF 16949汽車業品質管理系統,但不見得會建置ISO 27001資訊安全管理系統,由於初期導入可能需要較多的時間改善軟硬體設備與進行相關培訓,建議最好預留半年以上的導入時間,同時,可先詢問客戶認可的評鑑目標與等級,自行評鑑公司現況落在TISAX成熟度等級的哪一個階段,與ISO 27001導入同時進行,待ISO 27001驗證通過後,再來註冊TISAX,依序進行自評與準備評鑑資料,待資料完備時即可進行初始評鑑。
運用管理系統推動TISAX
如上一期所述,TISAX採用的VDA ISA要求乃參考ISO/IEC 27001、ISO/IEC 27002等標準,為順利一次取得TISAX標章,建議供應商先依據ISO 27001、ISO 27002建置資訊安全管理系統,行有餘力,再參照其他相關標準將系統運作臻於完善。
以下將能協助汽車供應鏈取得TISAX認證之相關ISO標準彙整如下,希望能藉由國際上公認的管理規範與實務做法,協助汽車供應鏈符合VDA ISA要求,定期向客戶證明其資訊安全之健全。
推動TISAX的益處
● 評鑑結果具公信力,提高客戶對供應商在資訊安全方面的信任。
● 避免重複性的評鑑,節省客戶與供應商的時間與成本。
● VDA-ISA的評鑑項目統一,可比較參與者的自評或受評結果。