什么是TISAX：概念

(資料圖片)

Trusted Information Security Assessment Exchange

（德國汽車行業(yè)的通用信息安全評估）

最早起源于大眾內(nèi)部對其合作伙伴的信息安全審計(jì)，目的是對敏感信息的共享和保護(hù)，目前已逐漸擴(kuò)展到所有的德國汽車主機(jī)廠（戴姆勒、寶馬等），成為一種通用的評估和交換機(jī)制，目的是為了實(shí)現(xiàn)德國汽車行業(yè)（VDA）信息安全評估的相互接受，該項(xiàng)評估的流程和標(biāo)準(zhǔn)在2017年開始成為強(qiáng)制性要求，全球所有供應(yīng)商（包括零部件廠商、外圍服務(wù)商等）均應(yīng)建立和維持信息安全管理體系，并通過與之相應(yīng)級別的TISAX審計(jì)，作為準(zhǔn)入條件。

TISAX的審計(jì)內(nèi)容：與ISO27001的區(qū)別

TISAX的審計(jì)主體框架來源于ISO27001，除了在信息安全主體審計(jì)部分增加了一些關(guān)于云安全等

審計(jì)內(nèi)容以外，還包括了第三方連接、原型保護(hù)、數(shù)據(jù)安全這3個部分。其中信息安全主體部分為

審計(jì)必須包含項(xiàng)，第三方連接、原型保護(hù)、數(shù)據(jù)安全則需要根據(jù)主機(jī)廠的要求和實(shí)際業(yè)務(wù)情況作為可選部分。

TISAX的審計(jì)標(biāo)準(zhǔn)：ISA

TISAX的審計(jì)標(biāo)準(zhǔn)ISA經(jīng)歷了多個版本的變更，目前最新版本4.1。與最初版本項(xiàng)目，從審計(jì)標(biāo)準(zhǔn)和審計(jì)要求方面都進(jìn)行了很多人性化的改變，有助于客戶更好的通過審計(jì)。

TISAX的審計(jì)條款格式

13.4 To what extent is information protected during exchange or transfer?

在傳輸交換過程中信息受到何種程度的保護(hù)？

Objective: During exchange and transfer of information, the information security requirements must be

considered. For this purpose, it must be defined which services within the organization may be used

for which type of data and which protective measures are to be taken when using those services.

在傳輸交換信息期間，必須考慮信息安全要求。為此，必須確定組織內(nèi)的服務(wù)使用哪種類型的數(shù)據(jù)以及

在使用這些服務(wù)時應(yīng)采取哪些保護(hù)措施。

This must include:

+ The services (e.g. email, EDI, voice over IP) used for transfer are identified. 識別服務(wù)（例如，電子

郵件，EDI，IP語音）

+ Rules and procedures in accordance with the classification for the use of services are defined and

implemented. 定義和實(shí)施根據(jù)服務(wù)使用分類的規(guī)則和程序

+ Measures for the protection of transferred contents against unauthorized access are implemented.

實(shí)施保護(hù)傳輸內(nèi)容免受未授權(quán)訪問的措施

This should include:

+ Measures for ensuring correct addresses and correct transport of the message are implemented. 實(shí)

施確保正確地址和正確傳輸消息的措施

+ A process for approving the use of external services (e.g. instant messaging, web meeting, webmail)

is established. 建立批準(zhǔn)使用外部服務(wù)（例如即時消息，網(wǎng)絡(luò)會議，網(wǎng)絡(luò)郵件）的流程。

+ Electronic data exchange is carried out according to the classification by means of content

encryption and/or via encrypted transmission paths (e.g. VPN, encrypted connections (HTTPS, SFTP,

TLS)). 通過內(nèi)容加密和/或通過加密傳輸路徑（例如VPN，加密連接（HTTPS，SFTP，TLS））根據(jù)分

類進(jìn)行電子數(shù)據(jù)交換。

This may include:

+ Digital signatures are used in accordance with legal provisions. 使用符合法律規(guī)定的數(shù)字簽名技術(shù)

Additionally in case of high protection needs:

+ Emails are transmitted by means of transport encryption (e.g. TLS). 通過傳輸加密（例如TLS）傳輸

電子郵件。

+ A suitable encryption is in use during data transfers to externally hosted IT systems (see Controls

10.1, 15.1). 在向外部托管的IT系統(tǒng)傳輸數(shù)據(jù)期間使用了合適的加密（參見控制10.1,15.1）。

Additionally in case of very high protection needs:

+ Emails are transmitted by means of end-to-end encryption (e.g. PGP, S/MIME, ZIP encryption).

通過端到端加密（例如PGP，S / MIME，ZIP加密）傳輸電子郵件。

TISAX的評分標(biāo)準(zhǔn)：CMM

不適用N/A：由于客戶的實(shí)際業(yè)務(wù)情況中不存在此項(xiàng)安全控制，導(dǎo)致該審計(jì)條款不適用。

0分：需求的實(shí)現(xiàn)是不完整的。流程不存在，或者現(xiàn)有流程沒有實(shí)現(xiàn)所需的結(jié)果。

1分：已經(jīng)執(zhí)行信息保護(hù)需求所需的要求。已經(jīng)有流程并且正常運(yùn)轉(zhuǎn)。然而，它并沒有完全形成文檔。

因此不能保證其始終工作。

2分：管理實(shí)現(xiàn)目標(biāo)的過程。它被記錄下來，并且可以得到證明（例如，文檔）。

3分：建立了明確的流程，流程之間相互交接并顯示其已經(jīng)充分融合。同時，相關(guān)的制度、策略或流程

被定期的維護(hù)以保證適用性。

4分：除了3分的要求外，明確考核指標(biāo)使得流程的質(zhì)量可控。

5分：第4級的要求以及額外資源（如人員和財(cái)務(wù)）正在以優(yōu)化的方式實(shí)施。這個過程仍在不斷改進(jìn)。

TISAX的CMM成熟度模型分為0~5這6個級別，同時也考慮了不適用的情況。最終分?jǐn)?shù)會根據(jù)各審

計(jì)項(xiàng)的分?jǐn)?shù)進(jìn)行綜合計(jì)算，滿分為3分，通過分?jǐn)?shù)（獲得認(rèn)證）為2.7分。值得注意的是不同的審計(jì)

項(xiàng)最高分值會有所區(qū)別，大部分以3分為滿分，部分會以2分或4分為滿分，超出部分的將不會被記

入總分的計(jì)算中。另外，審計(jì)的最終結(jié)果中不能出現(xiàn)輕微/重大不符合項(xiàng)。

通過TISAX審計(jì)的幾個關(guān)鍵成功要素

1. 建立完整的信息安全制度文件（文檔）

2. 提供明確的執(zhí)行記錄以體現(xiàn)控制的有效性（證據(jù)）

3. 明確TISAX審計(jì)條款的具體要求，理解風(fēng)險把控的原則

4. 進(jìn)行有針對性的應(yīng)審準(zhǔn)備，包括明確應(yīng)審人員、應(yīng)審材料的準(zhǔn)備、時間的合理安排

5. 有效的整改計(jì)劃，并積極對整改措施的執(zhí)行情況進(jìn)行追蹤

關(guān)鍵詞： 信息安全 審計(jì)標(biāo)準(zhǔn) 電子郵件