TISAX6.0培训

一、什么是TISAX ？

Trusted Information Security Assessment Exchange（汽车行业的通用信息安全评估），最早起源于德国大众内部对其合作伙伴的信息安全审计，目的是对敏感信息的共享和保护，目前已通过德国汽车工业协会（VDA）逐渐扩展到所有的德国汽车主机厂（包括戴姆勒、宝马等），成为一种通用的对供应商信息安全能力水平的评估和交换机制，目的是为了实现德国汽车行业信息安全评估的相互接受，全球所有供应商（包括零部件厂商、外围服务商等）均应建立和维持其信息安全管理体系，并通过与之对应级别的TISAX审计，作为准入条件。

二、TISAX 审计级别、范围和具体要求

TISAX按照信息安全保护程度，一共分为三个级别：AL1,AL2 (High), AL3 (Very High)。除AL1只需要供应商进行自评估外，其余等级均需要通过第三方审计。AL3需要（对每个涉及的工作场所）进行现场评估，包括人员访谈、实地查看、取证确认等。从具体的评估内容来看，至少包括信息安全评估（ISA）控制点，这些控制点主要参照ISO/IEC27001和27002标准体系，并根据德系汽车行业特点进行相应的调整。不同的供应商根据与主机厂的业务合作，还可能包括对原型保护、数据保护的额外控制点的审计。每一项控制点按照信息安全保护能力成熟度，得分范围在0-5之间，最终得分由各项汇总后，按照偏差百分比决定是否通过TISAX审计（供应商可以根据偏差发现进行及时整改，并在规定时间内寻求审核确认）。

三TISAX服务和建议

3.1.TISAX实施建议

模式一：ISMS建设 + TISAX审计(1个月+)

·       零基础：未建立信息安全管理体系或缺乏安全管理手段；

·       除TISAX外，希望能同时通过ISO27001认证；

·       希望在TISAX审计同时，获取其他增值的咨询服务，以建立信息安全管理能力。

模式二：TISAX培训 + TISAX审计 (1个月)

·       目标明确：尽快通过TISAX审计；

·       由于不了解TISAX审计要求或信息安全管理体系不健全等原因，尚不具备直接通过TISAX审计的条件；

·       希望在TISAX审计同时，能更完整开展信息安全差距分析和获取整改建议。

模式三：直接TISAX审计(1-2个月)

·       信息安全管理体系较成熟，对自评估结果有信心；

·       MNC在中国的实体，海外实体已通过TISAX审计；

·       某些特殊原因造成之前TISAX审计未能通过或延误的。

02.可提供的TISAX服务

培训支持：TISAX体系介绍和应审培训，协助客户进行自评估和差距分析，协助客户制定整改计划并跟进，TISAX应审准备（材料、人员等）。

现场审核：按需提供现场审核（预审、正审），包括适用性分析、差异分析、初步改进建议等。

报告确认：与客户现场沟通确认审计报告（包括整改后的再次确认），完成TISAX正式审计报告，客户最终确认后上传ENX平台。

四 为什么选择中翔证检

团队经验：拥有充足的本地化团队，对汽车行业客户长期提供专业服务。目前，已开展国内的TISAX多家培训业务，并积累了不少成功案例。

TISAX关键成功要素

·       明确信息安全风险整体把控的原则，理解TISAX审计条款的具体要求

·       建立完整的信息安全制度文件（文档）

·       提供明确的执行记录以体现控制的有效性（证据）

·       进行有针对性的应审准备，包括明确应审人员、应审材料的准备、各阶段时间的合理安排

·       根据审计发现制定合理有效的整改计划，并积极对整改措施的执行情况进行追踪