项目概述
TISAX认证,由德国汽车工业协会(VDA)与欧洲网络交换协会(ENX)于2017年联合推出,是一个基于ISO/IEC27001、ISO/IEC27002等国际标准制定的汽车行业信息安全评估平台。该平台汇集了多数组织成员认可的信息安全评估流程VDA ISA的审核结果,供参与者在获得被审核者授权后查询。TISAX认证不仅满足了汽车行业对强大、主动的信息安全管理的需求,而且有助于减少企业数据泄露风险,确保供应链中的数据交换安全,并展示企业对数据安全保护的承诺。在本项目中,我们的团队律师从法律服务角度全程参与了从前期自我评估、内部审核、正式审核、审核后的改进到二次审核的整个认证过程。在客户公司各部门的协同努力下,客户公司成功获得了TISAX正式标签。
基本信息
项目名称:国内某智能驾驶科技公司申请Tisax认证项目
项目时间:2024年3月—2024年9月
承办律师:王江涛、乌日汗
项目亮点:
1.TISAX认证的重要性。TISAX全称为可信信息安全评估交换,由于汽车行业的供应商和服务提供商经常需要处理高度敏感的客户信息,这就要求汽车主机厂在产品开发的整个阶段内所有的利益相关方确保高度的信息安全和网络安全。TISAX认证旨在确保汽车行业的供应商和服务商能够处理敏感信息,并保护数据不受未授权访问的影响。许多为主机厂商提供软硬件及相关服务的供应商,会被主机厂商要求建立和维持其TISAX管理体系并通过与之对应级别的TISAX认证作为其准入条件。
2.进行TISAX认证的意义。本项目实现了公司内部对信息安全的全方位审查和提升,并通过内外部评审及各重要节点的培训,实现了公司在制度层面及执行层面的信息安全落实和全公司信息安全意识的培养。
3.提高公司整体信息安全合规性。虽然TISAX认证是为满足国际认证及汽车行业的行业标准,但其评审过程会要求公司满足所有相关法律法规的要求,并验证执行情况。这推动了公司在信息安全和网络安全方面的主动合规,提高了公司的信息安全与网络安全意识,符合当前国际与国内社会及市场对汽车行业信息安全合规的期待。
项目详解
项目概要:
鉴于业务需求,客户希望建立健全信息安全合规管理体系,并助力公司成立后的各项业务顺利推进,争取在较短时间内成功取得TISAX认证标签。为此,项目组律师在充分理解TISAX认证体系的要求及公司需求的基础上,根据客户公司的实际情况,结合认证项目工作进度安排,代表公司法务部制定和起草认证评审所需制度文件,帮助公司制定适用法律法规识别流程和提供识别清单,协助参与评审应对审核员检查和询问,助其较短时间内先获得临时标签并最终获得正式认证标签AL3。
处理思路:
1.充分了解公司现状与认证需求。公司作为一家新成立的公司,其制度体系尚处于起始阶段,相关制度的建立与满足认证所需要求可同步进行,因此可借助TISAX认证项目更好地服务公司各项体系的建立与完善。由于TISAX认证涵盖了数据保护、信息安全、业务连续性等多个方面,是汽车行业供应链中不可或缺的一环,公司作为智能驾驶和辅助智能驾驶软硬件及相关服务的供应商,为符合各大主机厂商以及相关市场主体对公司的要求,也是公司自身合规体系和制度建设的一项要求。
2.理解评审逻辑与评审重点。TISAX认证的程序及评审逻辑有其特点,即其能够基于预定的评估标准对公司信息安全符合性的量化标准,进而基于自评及授权的审核服务机构审核评估,确定公司能否通过认证及相应的通过级别。就评审重点而言,TISAX认证不仅要求公司具备相应的制度和流程,还要求公司具备执行的能力和可操作性,即其认证不仅仅是纸面的。因此,只有对评审逻辑和重点充分了解了才能够更有针对性的进行工作。本项目中,TISAX要求记录在官方信息安全评估目录(VDA ISA)中,公司需要识别相关要求,并确保自己的控制措施达到最低成熟度水平,为了通过TISAX审计,公司需要在每个所需的控制中达到第3级或更高的成熟度水平。
3.法务部与各部门的沟通与协同。法务部在项目过程中主要负责信息安全相关法律法规及其适用条款的识别以及对公司合规符合性程度的评价。其中,尤其是合规性评价的内容需要在了解公司各业务部门执行情况的基础上进行,包括各业务部门细化规定的制定情况及实际履行情况。因此需要与其他各部门充分沟通并了解实际业务执行情况的前提下才能给出准确的评估与评价。
文章内容仅为作者独立观点,不代表本所立场
如需转载请联系作者获取授权
