TISAX审核标准解析

2019年初，德国大众率先要求其所有产品制造商、外围服务商均必须满足TISAX®评估要求，德国宝马和戴姆勒等欧洲汽车厂商均随后跟进。作为全球一体化的重要组成部分，越来越多的中国企业面临着TISAX®体系导入迫切需求。今天，擎标将围绕TISAX的基础知识，包括TISAX审核内容、审核标准、评估方式等方面进行介绍。希望帮助大家进一步了解TISAX认证，给予一定帮助。

一、TISAX 审核内容

1、信息安全与网络安全：内容涉及密码学，操作安全，系统采购、需求管理和开发。

2、人力资源安全：内容涉及内外部员工遵循信息安全规定的程度，内外部员工遵守信息安全策略的程度。

3、供应商关系：内容涉及供应商获得公司信息资产时的风险控制，供应商服务的定期检测、审查和审计。

4、信息安全制度与组织：内容涉及信息安全策略的创建、发布或分发及定期审查，资产管理，信息安全风险管理。

5、物理环境安全：内容涉及对敏感信息处理设施的安全区域的定义、保护和监测，对自然灾害、故意袭击或事故产生影响的应对，信息安全要求和危机事件下的ISMS的连续性的界定、实施、核实和评估。

6、访问控制：内容涉及访问IT系统政策和程序的适用性，特权用户和技术账户的分配和使用的监督审查，用户遵守创建和处理机密信息约束性政策的情况，授权人员的信息和应用程序的获取，与其他组织共享的环境中的数据分离。

7、数据保护：内容涉及数据保护的实施程度，个人身份数据处理的合法性保障措施，内部或工作流程在数据保护法规下进行，有关处理流程在何种程度上记录了其可受理性。

8、合规：内容涉及相关法律（特定国家）法规和合同要求的符合情况，个人身份信息的保护，独立第三方定期或发生重大变化时对ISMS的审核。

9、样件保护：除物理及环境要求、组织架构要求外，内容还涉及整车及零配件处理（车辆或部件在运输过程中根据客户要求的保护情况，停放/存放需要保护车辆或部件的实施情况），测试车要求（预先定义的伪装法规的实施情况，测试场地的保护措施，公开批准试驾的保护措施），活动拍摄及拍照要求（涉及车辆、部件或配件的演示和活动的安全要求，涉及车辆、部件或配件的胶片和照片拍摄的保护措施）。

二、TISAX 审核要求

在5.0的官方目录中，各类要求以表格的形式体现：

“must"(必须满足)类别的要求是强制性要求，没有任何例外。

“should"(相应满足)类别的要求通常由组织总体实施。但是，在某些情况下，对于不遵守“相应满足”类别的要求，可能有正当理由， 如有任何偏差，组织应了解其影响，并有合理理由或补偿措施与控制。

如果评估级别是“高保护要求”，则必须另外满足“高保护要求”类别的要求。

如果评估级别是“极高保护要求”，则必须额外满足“高保护要求”与“极高保护要求”类别中的要求。

在5.0版本中，原则上不允许有“不适用”项。

VDA ISA评估标准目前仅支持英文版、德文版，评估内容仅限此两种语言填写，尚不支持中文。

三、TISAX 评分方式

TISAX采用“成熟度等级”的概念用于评估控制项的完成质量，在实际审核过程中，分为6个成熟度等级：

不完整的成熟度为0，表示没有流程或流程未运行（没做），属于重大不符合；

已执行的成熟度为1，表示有运行的流程，但是流程没有被记录（做了没记录），属于重大不符合/轻微不符合；

已管理的成熟度为2，表示运行且有记录的流程，但是同一目标有多个不同的流程（流程不统一），属于轻微不符合/观察项；

已建立的成熟度为3，表示有运行的流程，也有实时更新的运行记录，且流程是在一个统一的信息安全框架下管理的（有流程有记录，但是没测量），属于观察项/无偏差；

可预测的成熟度为4，表示在成熟度3的基础上有运行的流程并可以测量，属于无偏差；

在优化的成熟度为5，表示在成熟度4的基础上有专人负责持续提升优化，属于无偏差。

在评分0-5分的基础上，TISAX还使用了cut back机制，每个大控制点的目标成熟度都是3分，为了确保低分项不会被高分项拉高最终评分，实际得分超过目标成熟度的分数均会被折算为目标成熟度。具体操作如下图所示，当实际成熟度评分为4分或5分时，将调整为3分；实际成熟度评分为1-3分的将维持原分数不变。

四、TISAX评估范围-评估级别（AL）

保护需求越高，您的合作伙伴就越希望确保能够放心地让您处理他们的信息。因此，TISAX定义了三大“评估级别（Assessment Level, 简称AL）”。

评估级别 1（AL 1）：评估级别 1 主要针对公司内部用途，是真正意义上的自我评估(self-assessment)。

评估级别 2（AL 2）：为确认是否符合该级别（级别 2），审计服务提供商会对您的自我评估结果（针对评估范围内的所有地点）执行合理性检查。此外，审计服务提供商还会检查相关的证据[13]，并约您以及其他同事谈话。审计服务提供商通常以电话会议的形式完成谈话过程，您亦可要求其与您进行面对面谈话。该评估级别（级别  2）一般不包含现场检查。但如果您选择了其中一个“原型”评估对象，则评估过程将总是包含一次现场检查。

评估级别 3（AL 3）：为确认是否符合该级别（级别 3），审计服务提供商会执行评估级别 2 所要求的所有检查，只不过，相关检查的范围会更广，并且审计服务提供商将通过深入开展现场检查以及面对面谈话等形式，来全面核查您的自我评估结果。评估级别规定了我们的评估级别规定了我们的TISAX审计服务提供商所执行的审核深度以及使用的审计方法。简单来说，评估级别越高，相应的评估强度就越高，使用评级方法也就越高级。大部分情况下，建议企业选择级别AL3。

下表中简要列出了与各评估级别相对应的审计方法：