捡证网:欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)在2018年5月25日生效,政府和企业越来越意识到信息安全至关重要,未来是信息化时代,信息安全至关重要,在这样的背景下,德国汽车工业联合会(VDA)信息安全要求(ISA— Information Security Assessment)的升级版,TISAX已于2017年底“重磅”推出。
VDA联合ENX推出了得到大部分成员组织认可的信息安全评估流程,并将据此得到的审核结果放在一个可供信息交换的可信平台(TISAX)上,以替代之前各主机厂的频繁审核,供各需求方进行经授权的查询。
TISAX推出已经有差不多1年的时间,德国大众,宝马,保时捷总公司都在不遗余力的要求供应商获得TISAX认证,拿到Participant-ID,以便于信息数据的交换。
捡证网就在这里谈谈怎样通过TISAX审核,获得TISAX label。
第一步就是明确TISAX审核范围,审核等级。
审核范围有两重意思,一个是地理上的范围,另外一个就是审核目标上的范围。
地理上的很容易区分,分公司,分部门,哪些公司,哪些部门需要牵涉信息安全这块,审核目标一般需要和客户沟通,看看他们需要达到等级的要求,需要审核哪些内容。审核等级分为AL1,AL2和AL3,AL1一般是自评,AL2,和AL3需要第三方审核员对工厂进行现场审核,一般获得AL2和AL3才能够获得TISAX的认可。审核目标主要分为以下几块:
Note:此项要求一般需要和客户沟通好,需要获得什么等级,审核哪些目标,不同客户提出不同需求怎样最大化的满足他们的要求。
第二步,风险评估阶段Risk envlution
确定好以上的各种SCOPE范围之后,就需要对TISAX的要求和自身工厂的情况做一个诊断分析。主要从Information Security Assessment( ISA)的要求进行打分,看看自身公司的差距在哪里,主要内容如下:
A5 安全方针 Information Security Policies
A6 信息安全的组织 Organisation of Information Security
A7 .2人力资源安全Human Resources Security
A9.2 访问控制 Access Control
A10加密 Cryptography
A11 物理与环境安全Physical & Environmental Security
A12 操作安全Operations Security
A13 通信安全 Communications Security
A14 信息系统获取、开发和维护 System acquisition, development and maintenance
A15供应关系 Supplier Relationships
A16信息安全事件管理 Information security incident management
A17信息安全方面的业务持续管理Information security aspects of business continuity management
第三步就是ISMS体系文件建立阶段realization
此阶段是在第二步评估完之后,编写文件,完善第二步中出现的问题,满足评估的要求,不符合项都需要整改,硬件软件方便的实力都需要跟上,需要培训的还需要安排培训老师对公司其他同事进行信息安全方面的培训。
第四步运行和完善阶段operation
完善第三步后,就需要运行一段时间的信息安全体系,做内部体系审核,管理评审方面的工作,运行中发现的问题需要整改。
第五步,TISAX审核认证
经过前面几个步骤的完善,就可以应对德国审核的审核了,需要说明的一点是,因为德国审核员需要提前一段时间安排,加上德国到中国距离较远,需要尽早和审核机构确定下来审核的日期,以免耽搁进度。
http://www.jz-cert.com/index.php?do=article&id=1259
