《TISAX 参与者手册》

助您完成 TISAX 评估流程，并与合作伙伴共享评估结果

出版方

ENX Association
一家根据法国法律（1901 年）成立的协会。
注册地：Sous-préfecture de Boulogne-Billancourt，France；注册编号：w923004198

地址
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, France
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Germany

作者

Florian Gleich

联系方式

tisax@enx.com
+49 69 9866927-77

版本

日期：

2023-12-07

版本：

2.7

类别：

Public

ENX doc ID：

602-CN

版权声明

ENX Association 保留所有权利。
ENX、TISAX 及其徽标是 ENX Association 的注册商标。
所提及的第三方商标是其各自所有者的财产。

1. 总述

1.1. 用途

欢迎了解 TISAX（Trusted Information Security Assessment Exchange，即“可信信息安全评估交换”）认证体系。

您的某个合作伙伴可能要求您证明，您的信息安全管理体系符合“信息安全评估标准（ISA）”特定等级的要求，并且您亦希望了解如何达到这一要求。

本手册的目的，便是要帮助您满足合作伙伴的要求，甚至是在合作伙伴提出此类要求之前，即可做好万全的应对准备。

本手册介绍了您需要采取的相关步骤，来确保顺利完成 TISAX 评估流程，并与合作伙伴共享评估结果。

建立并维持一套“信息安全管理体系（ISMS）”本身已是一项繁杂的工作，而向您的合作伙伴证明，自己的信息安全管理体系能够胜任工作要求，更是繁上加繁。本手册并不会帮助您管理自己的信息安全体系，而是旨在尽可能减少相关的工作量，从而方便您向合作伙伴证明自己的工作成效。

1.2. 范围

本手册适用于您参与的所有 TISAX 流程。

它包含您需要了解的所有相关知识，来确保顺利完成 TISAX 评估流程。

本手册从评估的核心环节出发，针对如何满足信息安全要求，提出了相关建议。但是总的来说，它并不会具体告诉您应该如何去做，才能通过信息安全评估。

1.3. 受众

本手册的主要受众是，需要或希望证明自身的信息安全管理体系符合“信息安全评估标准（ISA）”特定等级要求的所有公司。

一旦您积极参与 TISAX 评估流程，您将从本手册提供的信息中受益。

而同时，要求供应商证明其信息安全管理体系符合特定等级要求的公司亦将从中受益。本手册有助于公司了解其供应商为了满足特定要求，需要具体做哪些工作。

1.4. 结构

首先，我们将简要介绍 TISAX；之后，立即展开详述具体步骤。您将了解到完成评估流程所需要的一切信息 — 按照合理的先后顺序。

阅读本文档预计需要 75-90 分钟。

1.5. 如何使用本文档

对于本文档中所述的大部分信息，您或许早晚有用上的一天。为了妥善准备有关工作，我们建议您通篇阅读本手册。

我们以 TISAX 评估流程三大主要步骤为线索，来编排本手册的章节结构，从而方便您查阅自己需要的章节内容，以及之后浏览其余内容。

本手册使用插图来帮助您理解，插图中的颜色通常具有特殊含义。因此，我们建议您通过电脑屏幕或彩印副本来阅读本文档。

我们重视您的反馈。如果您认为本手册中有内容缺失或难于理解之处，请立即联系我们。我们与本手册未来的广大读者一道，将感谢您所给出的反馈意见。

如果您使用过较早版本的《TISAX 参与者手册》，本手册末尾章节 8, “文档历史” 中的备注可能会对您有所帮助。

1.6. 联系我们

我们的宗旨是指导您顺利完成 TISAX 评估流程，并为您解答可能遇到的任何问题。我们的联系方式如下：

电邮：

tisax@enx.com

电话：

+49 69 9866927-77

您可在德国正常营业时间（UTC+01:00）内联系我们。

我们所有人均提供英语和德语服务。一位同事可提供意大利语母语服务。

请注意章节 7.13, “附录：投诉管理”。

1.7. 《TISAX 参与者手册》其他语言版本和格式

《TISAX 参与者手册》已推出下列语言版本和格式：

语言	版本	格式	链接
英语	2.7	联机	https://www.enx.com/handbook/tisax-participant-handbook.html
脱机	https://www.enx.com/handbook/tisax-participant-handbook-offline.html
PDF	https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf
德语	2.7	联机	https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html
脱机	https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html
PDF	https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf
法语	2.7	联机	https://www.enx.com/handbook/tph-fr.html
脱机	https://www.enx.com/handbook/tph-fr-offline.html
PDF	https://www.enx.com/handbook/tph-fr.pdf
中文	2.7	联机	https://www.enx.com/handbook/tph-cn.html
脱机	https://www.enx.com/handbook/tph-cn-offline.html
PDF	https://www.enx.com/handbook/tph-cn.pdf
西班牙语	2.7	联机	https://www.enx.com/handbook/tph-es.html
脱机	https://www.enx.com/handbook/tph-es-offline.html
PDF	https://www.enx.com/handbook/tph-es.pdf
日语	2.7	联机	https://www.enx.com/handbook/tph-jp.html
脱机	https://www.enx.com/handbook/tph-jp-offline.html
PDF	https://www.enx.com/handbook/tph-jp.pdf
巴西葡萄牙语	2.7	联机	https://www.enx.com/handbook/tph-pt.html
脱机	https://www.enx.com/handbook/tph-pt-offline.html
PDF	https://www.enx.com/handbook/tph-pt.pdf
意大利语	2.7	联机	https://www.enx.com/handbook/tph-it.html
脱机	https://www.enx.com/handbook/tph-it-offline.html
PDF	https://www.enx.com/handbook/tph-it.pdf
韩国语	2.7	联机	https://www.enx.com/handbook/tph-kr.html
脱机	https://www.enx.com/handbook/tph-kr-offline.html
PDF	https://www.enx.com/handbook/tph-kr.pdf

语言

版本

格式

链接

英语

2.7

联机

https://www.enx.com/handbook/tisax-participant-handbook.html

脱机

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

德语

2.7

联机

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

脱机

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

法语

2.7

联机

https://www.enx.com/handbook/tph-fr.html

脱机

https://www.enx.com/handbook/tph-fr-offline.html

PDF

https://www.enx.com/handbook/tph-fr.pdf

中文

2.7

联机

https://www.enx.com/handbook/tph-cn.html

脱机

https://www.enx.com/handbook/tph-cn-offline.html

PDF

https://www.enx.com/handbook/tph-cn.pdf

西班牙语

2.7

联机

https://www.enx.com/handbook/tph-es.html

脱机

https://www.enx.com/handbook/tph-es-offline.html

PDF

https://www.enx.com/handbook/tph-es.pdf

日语

2.7

联机

https://www.enx.com/handbook/tph-jp.html

脱机

https://www.enx.com/handbook/tph-jp-offline.html

PDF

https://www.enx.com/handbook/tph-jp.pdf

巴西葡萄牙语

2.7

联机

https://www.enx.com/handbook/tph-pt.html

脱机

https://www.enx.com/handbook/tph-pt-offline.html

PDF

https://www.enx.com/handbook/tph-pt.pdf

意大利语

2.7

联机

https://www.enx.com/handbook/tph-it.html

脱机

https://www.enx.com/handbook/tph-it-offline.html

PDF

https://www.enx.com/handbook/tph-it.pdf

韩国语

2.7

联机

https://www.enx.com/handbook/tph-kr.html

脱机

https://www.enx.com/handbook/tph-kr-offline.html

PDF

https://www.enx.com/handbook/tph-kr.pdf

Important

重要提示：

英语版本为第一版本，
其他所有语言版本均为英语版本的译文。
若有疑问，请以英语版本为主。

1.7.1. 关于中文翻译

本《TISAX 参与者手册》是英文版本的译文。

所有 TISAX 相关文档（例如，所有合约以及针对 TISAX 认证机构的要求）均以英文起草，因此，您的合作伙伴或认证机构可能会使用某些英文 TISAX 术语。

为了便于您参照，我们在翻译版《TISAX 参与者手册》里采取了保留英文 TISAX 术语，或在翻译版后加括号标注等做法。

1.7.2. 关于联机格式

每一章节都有唯一的 ID 编号（格式为：ID1234）。
一个 ID 总是指代一个特定的章节，与语言版本无关。

如希望链接至某个章节，您可以：

右键单击章节标题并复制链接，或者
单击章节标题，并从浏览器地址栏中复制链接。

大多数插图的尺寸要大于此处的默认显示尺寸，单击插图后可使其放大显示。

1.7.3. 关于脱机格式

脱机格式保留了联机格式的大多数特性，其中一个最显著的特点是，插图嵌入在 HTML 文件中。您只需要一个文件，便可使用脱机格式。

与联机格式相比，脱机格式中：

图片无法放大显示
联机格式的原始字体不可用
您浏览器的默认设置将定义显示字体。

1.7.4. 关于 PDF 格式

如果在电脑上使用 PDF 格式，那么您仍然可以单击所有的引用链接。但是如果将 PDF 版本打印出来，由于没有页码等参照物，您需要自行查找链接内容的位置。

2. 简介

以下章节将介绍 TISAX 这一概念。

如果您时间紧迫，可跳过这部分内容，直接开始阅读，网址为章节 4.3, “注册准备”。

2.1. 为什么选择 TISAX？

换句话说，您阅读本手册的目的是什么？

为了回答这个问题，我们首先大致思考一下商业交易的规则，尤其是涉及到信息保护这方面。

想象您有一个合作伙伴，他手握机密信息，并希望与供应商，也就是您进行共享。您与这名合作伙伴之间的合作可以创造价值，而该合作伙伴与您共享信息，则是价值创造中的一个重要环节。所以，他想要采取适当的保护措施，并希望您本人也以同样谨慎的态度来处理保密信息。

然而，他如何能保证可以放心地将自己的信息交于他人？他总不可能盲目地去“相信”您。作为合作伙伴，需要眼见为实，方可证明对方有这个能力。

那么问题来了，由谁来定义信息处理的“安全”标准？以及如何证明自己符合标准要求？

2.2. 谁来定义"安全"标准？

第一次面对此类问题的，并非只有您与您的合作伙伴，几乎所有人都得努力寻求答案，而大多数答案都具有相似性。

针对一个常见的问题，与其每次都从头开始研究解决方案，不如制定出一套应对标准，从而化繁为简。确定一套标准虽然工作量巨大，但确是一劳永逸、造福后来者之举。

诚然，就保护信息而言，何为正确手段，人们众说纷纭；然而，从上述造福后来者的角度出发，大多数公司都倾向于制定标准，因为标准本身便是由那些已被前人证明、历经时间考验，且针对特定挑战的最佳实践所凝聚而成的精华。

就您的情况而言，遵循并实施 ISO/IEC 27001（关于信息安全管理体系，简称“ISMS”）等标准，将有助于建立最先进的防护体系，从而确保以安全的方式来处理保密信息。此类标准可为您省去许多不必要的重复性工作，更重要的是，有了标准后，当两家公司需要彼此交换保密信息时，便可在同等基础上开展这一工作。

2.3. 汽车业内标准的由来

从性质上来看，非行业标准更像是“一刀切”式的解决方案，无法满足汽车公司的特殊需求。

很久以前，汽车行业内部便成立了很多协会，它们的主要目标是，针对自身特殊需求，精准制定并优化相关标准。“德国汽车工业协会（VDA）”便是其中之一。当时，汽车行业的数位成员建立了信息安全工作小组，并最终一致认为，由于彼此间需求相似，因而有必要对现有的信息安全管理标准进行量身调整。

在各方的共同努力下，一份调查问卷应运而生，其中涵盖了汽车行业内普遍接受的信息安全要求，而该问卷便是“信息安全评估标准（ISA）”。

随着 ISA 面世，“谁来定义‘安全’标准？”这个问题也随之有了答案：由 VDA 来定，也就是说，由汽车行业自己来向其成员提供这一问题的答案。

2.4. 如何以高效的方式证明符合安全标准？

有些公司仅在内部使用 ISA，而有些公司则利用 ISA 来对其供应商的信息安全管理体系成熟度进行评估。一般情况下，为建立业务关系，进行自我评估便足矣；然而，在某些情况下，公司会对其供应商的信息安全管理体系进行全面评估（包括现场审计）。

随着人们对信息安全管理需求意识的普遍提高，以及 ISA 作为信息安全评估工具得到广泛应用，越来越多的供应商正面临着来自不同合作伙伴的类似要求。

但是，这些合作伙伴采用的标准依然各不相同，对于如何解释标准也是说法不一。而供应商需要证明的事情则基本上是一样的，只是途径有别而已。

所以，一方面是合作伙伴不断督促供应商证明自己的信息安全管理体系符合特定等级要求，而另一方面，是供应商面对无休止的重复性劳动而怨声载道。毕竟，不停地给一个又一个审计人员展示相同的信息安全管理措施，绝非是高效的工作方式。

那么，该如何提高这一步骤的效率？如果一名审计人员的报告可以被不同的合作伙伴重复使用，是否会有助于改善情况？

负责 ISA 维护的 ENX 工作小组中的 OEM（原始设备制造商）与供应商在听取了各家供应商的不满和抱怨后，现在，针对“如何证明符合安全标准？”这个问题，为汽车行业的广大供应商及相关企业给出了如下答案。

这个答案便是 TISAX，全称为 “Trusted Information Security Assessment Exchange”（可信信息安全评估交换）。

3. TISAX 流程

3.1. 总述

TISAX 流程启动的标志通常^[1]是，您的某个合作伙伴要求您证明，自己的信息安全管理体系符合“信息安全评估标准（ISA）”特定等级的要求。为了满足该要求，您需要完成 TISAX 流程三大步骤。本章将为您简要介绍这些步骤。

TISAX 流程三大步骤包括：

插图 1. TISAX 流程概述

第 1 步
注册

第 2 步
评估

第 3 步
交换

注册
我们采集您公司以及评估过程所需要的信息。
评估
您参与评估流程，评估工作由我方指定的一家 TISAX 认证机构执行。
交换
您与合作伙伴共享评估结果。

每一步都包含若干子步骤，这些内容将在以下篇幅中分成三节进行讲解，每一节均详细描述其中一个步骤。

注意事项	请注意：虽然我们很想告诉您，多久以后可以拿到 TISAX 评估结果，但我们自己亦无法做出准确预测，因此，恳请您理解。TISAX 流程的总体耗时取决于许许多多的因素：由于公司规模、评估对象，外加信息安全管理体系的建立情况等千差万别，因而无法预测所需时间。

3.2. 注册

注册是参与 TISAX 评估的第一步。

TISAX 注册的主要目的，是采集关于您公司的信息。我们使用在线注册流程，来帮助您向我们提供该信息。

注册是所有后续步骤的先决条件，并需要缴纳费用。

在线注册过程中：

我们会要求您提供联系方式与地址信息。
您须接受我们的条款和条件。
您可以自定义信息安全评估的范围。

若要直接开始该步骤，请参见章节 4, “注册（第一步）”。

在线注册流程详见章节 4.5, “在线注册流程”。若想即刻开始，请前往 enx.com/en-US/TISAX/.

3.3. 评估

第二步是完成信息安全评估。

其中，包含四个子步骤：

评估准备
您需要针对评估工作进行准备，其程度视您的信息安全管理体系目前的成熟度而定。准备工作应基于 ISA 目录进行。
选择认证机构
您必须从我们的 TISAX 认证机构中选择一家。
信息安全评估
您选定的认证机构将从满足合作伙伴的要求出发，依照评估范围来相应开展评估工作。评估流程将包括预审计这一基本步骤。
如果您的公司未能立即通过评估，则评估流程可能需要增加额外的步骤。
评估结果
一旦您的公司通过评估，您的认证机构将向您提供正式的 TISAX 评估报告。您的评估结果亦将印上“TISAX 标签”。^[2]

有关该步骤的更多信息，请参见章节 5, “评估（第二步）”。

3.4. 交换

第三步，也就是最后一步，是与您的合作伙伴共享自己的评估结果。TISAX 评估报告的内容按照等级进行划分，您可自行决定合作伙伴有权查看哪一级别的内容。

评估结果的有效期为三年，假设届时您仍是合作伙伴的供应商，那么您需要再次完成上述三大步骤。^[3]

有关该步骤的更多信息，请参见章节 6, “交换（第三步）”。

至此，您已基本了解什么是 TISAX 流程；在后续章节中，您将进一步了解如何完成各个步骤。

4. 注册（第一步）

阅读“注册”章节预计需要 30-40 分钟。

4.1. 总述

注册是完成 TISAX 流程的第一步。注册是所有后续步骤的先决条件，

以下章节内容将带您完成注册这一步：

首先，我们为您解释一个重要的新术语。
之后，我们就如何针对在线注册流程进行准备，向您提出建议
接下来，我们引导您完成在线注册流程。

4.2. 您的 TISAX 参与者身份

首先，我们为您介绍一个有必要理解的新术语。到目前为止，您的身份一直是“供应商”，阅读本手册的目的，是为了满足您的“客户”所提出的要求。然而，TISAX 本身并不区分这两种角色。对于 TISAX 而言，每一位注册人员都是“参与者”，也就是说，您与合作伙伴“参与”了信息安全评估结果的交换过程。

插图 2. 注册成为 TISAX 参与者

您的公司

TISAX 注册

TISAX 参与者

为了从一开始便区分这两个角色，我们将您（供应商）称作“主动参与者（active participant）”，将您的合作伙伴称作“被动参与者（passive participant）”。作为“主动参与者”，您接受 TISAX 评估，并与其他参与者共享自己的评估结果。“被动参与者”是要求您接受 TISAX 评估的人，也是您的评估结果的接收人。

插图 3. “被动参与者”与“主动参与者”

1 要求对方接受评估

被动参与者

主动参与者

2 接受 TISAX 评估

3 与对方共享评估结果

每一家公司都可以扮演两种角色：您可能在与合作伙伴共享评估结果的同时，也要求自己的供应商接受 TISAX 评估。

插图 4. TISAX 参与者可以同时为“主动”和“被动”参与者

您的客户
== 被动方

您与客户共享结果

主动参与者

您

被动参与者

与您共享结果

您的供应商
== 主动方

如果您自己的供应商亦会接触您合作伙伴有保护需求的信息，那么强烈建议其也接受 TISAX 评估。

4.3. 注册准备

在本节中，我们将就如何针对注册流程进行准备，来为您提供相关建议。更多关于注册流程本身的信息，请参见章节 4.5, “在线注册流程”。

在开始在线注册之前，我们强烈建议您：

提前收集信息
针对某些事宜作出决定。

4.3.1. 法律基础

一般来说，您需要签订两份合约，第一份合约的签订人是您与 ENX 协会：即“ TISAX 参与一般条款和条件”（TISAX 参与者 GTC）；第二份合约的签订人是您与一家由我方指定的 TISAX 认证机构。注册流程仅会用到第一份合约。

“TISAX 参与者 GTC”确立了我们相互间的关系，以及您与其他 TISAX 参与者之间的关系，并规定了所有各方的权利和义务。除了大多数合同中常见的条款外，该合约还详细规定了在 TISAX 流程期间，交换和获得的信息如何进行处理。这些规定的一个关键目的，是确保 TISAX 评估结果保密。由于所有 TISAX 参与者都受相同规则的制约，因而您可以期待，您的合作伙伴（以“被动参与者”的身份）亦会为您的 TISAX 评估结果提供适当的保护。

我们将于在线注册流程开始时，便要求您接受“TISAX 参与者 GTC”。由于这是一份真正意义上的合同，我们因此建议您在开始在线注册流程之前，首先认真阅读“TISAX 参与者 GTC”。其中一个原因是，您可能需要从公司内部或外部律师那里获得许可函，这取决于您在公司里的角色。

您可登录我们的网站，下载“TISAX 参与一般条款和条件”：^[4]
enx.com/en-US/TISAX/downloads/

下载 PDF：
enx.com/tisaxgtcen.pdf

在线注册过程中，我们将要求您选中两个复选框（必选）：

❏ We accept the TISAX Participation General Terms and Conditions （我方接受“TISAX 参与一般条款和条件”）
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; （我方确认已知晓，根据“TISAX 参与一般条款和条件”IX.5 和 X.3 部分有关规定，申请者将解除针对认证机构的职业保密义务；）

我们设置第二个复选框的原因是，我方的 TISAX 认证机构中，有些是由注册会计师组成，他们对职业保密有特殊的要求。通常，关于职业保密的特殊要求禁止我方认证机构的注册会计师与我方共享信息。特别是，这将取消我们担当治理角色所需的控制选项。因此，我们需要这一豁免。在选中此框之前，您可能需要仔细了解相关条款。

如果您通常要求与处理保密信息的一方之间签订保密协议（NDA），则请查看我们 GTC 的有关章节，其中的内容应该能够解答您的疑惑。此外，您通常无需向我们提供任何保密信息。

最后，我们希望您理解，整个体系本身的基础是“人人接受相同规则的约束”，因此，我们不会接受其他任何一般性条款和条件。^[5]

4.3.2. TISAX 评估范围

在 TISAX 流程的第二步中，我方的一家 TISAX 认证机构将执行信息安全评估工作，他需要知道从哪里开始以及在哪里结束。这就是为什么您需要指定一个“评估范围”。

“评估范围”描述的是信息安全评估工作的范围，简单来说，在您的公司里，只要涉及到处理合作伙伴保密信息的环节，则均属于评估范围。您可以将其视为认证机构的主要任务描述，它规定了认证机构需要评估的内容。

评估范围之所以重要，有两个原因：

对于您公司里负责处理合作伙伴信息的各个环节，只有当相应的评估范围涵盖所有此类环节时，评估结果才能够满足合作伙伴的要求。
对于我方的 TISAX 认证机构，精确定义评估范围是合理计算成本的必要前提条件。

Important

重要提示：

ISO/IEC 27001 与 TISAX 的比较

首先，我们必须区分两种类型的范围：
1) 信息安全管理系统（ISMS）的范围，以及
2) 评估范围。
这两者不一定完全相同。

对于 ISO/IEC 27001 认证，您需要（在“范围声明”中）定义 ISMS 的范围。您可以完全自由地定义 ISMS 的范围。但评估的范围（也称为“认证范围”）必须与您 ISMS 的范围一致。

对于 TISAX，您还必须定义 ISMS。但评估的范围可以有所不同。

对于 ISO/IEC 27001 认证，您可以通过定义 ISMS 范围的方式自由确定评估范围。

相比之下，TISAX 的评估范围是预先确定的。评估范围可以比 ISMS 的范围小，但必须在 ISMS 的范围之内。

4.3.2.1. 范围描述

范围描述规定了评估工作的范围。您需要从以下两种范围类型中选择一种：

Standard scope （标准范围）
Custom scope （自定义范围）
1. Custom extended scope （自定义扩展范围）
2. Full custom scope （完全自定义的范围）

我们将在下一节讨论标准范围。对于 99% 以上的参与者，标准范围就是正确之选。因此，我们只在章节 7.8, “附录：自定义范围” 中讨论自定义范围。

4.3.2.2. 标准范围

标准范围是开展 TISAX 评估的基础，其他 TISAX 参与者也仅接受基于标准范围描述的评估结果。

标准范围是预先定义好的，无法更改。

使用标准范围的好处是，您无需自己定义范围。

这是标准范围说明（2.0 版）：

The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations.
The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment.

TISAX 评估范围定义了评估的适用范围。评估包括被评估组织责任范围内所有符合此条件的流程、程序和资源：与所列地点的保护对象及其保护目标（定义见所列评估对象）的安全性相关。
至少要对所列评估对象中的最高评估级别执行评估。所列评估对象中列出的所有评估标准均适用于评估。

我们强烈建议选择标准范围，因为所有 TISAX 参与者都接受基于标准范围作出的信息安全评估结果。

4.3.2.3. 范围界定

在确定了范围类型后，下一个任务便是决定哪些公司地点属于评估范围。

如果您的公司规模不大（仅一处地点），那便好办，您只需将公司地点添加到评估范围即可。

如果您的公司规模较大，可以考虑注册一个以上的评估范围。

您可以注册一个囊括所有公司地点的单一范围，这样做的好处是：

评估报告、评估结果及其有效期的数量都只有一个（份）。
评估费用更低，因为 TISAX 认证机构只会一次性评估您的核心流程、程序和相关资源。

然而，单一范围也有缺点，比如：

所有地点的评估对象必须相同。
只有在 TISAX 认证机构对所有地点完成评估后，才会出具评估结果。如果您急需评估结果，那么这一点就比较麻烦。
最终评估结果的好坏，取决于是否所有地点均通过了评估。即便只有一个地点未能通过评估，也会影响到整体评估结果。解决方法是：a) 从范围中移除该地点；b) 解决问题；c) 之后利用“范围扩展评估”来添加该地点.

4.3.2.4. 范围调整

是选择一个范围还是选择多个范围，这个问题只能留给您自己。然而，通过回答下图中的问题，可有助于您做出决定。

插图 5. 范围调整决策树

开始
针对今后需要评估的所有地点

第一步：您是否需要对一个以上的地点进行评估？

第二步：您是否有足够的时间去准备所有地点的评估工作？

第三步：是否所有地点都有统一的 ISMS 体系（例如在职责、基础设施、政策和流程方面）？

第四步：所有场地是否有相同的评估对象 - 例如，“原型车辆或信息（保护需求极高）的保护”？

结束：注册评估范围
您注册的评估范围应囊括其余的地点。

将各个地点拆分开。
重新分组并从头开始上述步骤。

否

是

注意事项	请注意：面对这一决策过程，您无需胆怯。只要认证机构还未最终完成评估，您便可随时更改评估范围。例如，在评估准备过程中，您可能会发现评估范围并不合适，因而相应做出调整。或者，您的认证机构可能会建议您，在评估早期阶段就变更范围。补充说明：从技术角度来讲，您不能更改在 ENX 门户内的在线注册流程中定义的评估范围。但认证机构在将您的评估结果上传到 ENX 门户时，可以更新您的评估范围。添加范围内容会导致费用增加，而从范围中移除地点，则不会退款。认证机构使用原始范围作为其成本计算的基础，因此您应该预期到相应的变化。

4.3.2.5. 范围地点信息

现在，您已经确定哪些地点属于评估范围，接下来，您可以着手收集与地点相关的信息。

对于每一处地点，我们都要求提供相应的信息，如公司名称和地址。另外，我们还需要您提供一些附加信息，以便我方的 TISAX 认证机构能够更好地了解您公司的结构。您提供的信息将是其开展评估工作的基础。

针对您公司的各个地点，请准备好提供以下信息（红色星号 *表示在线流程中的必填信息）：

表格 1. 地点相关信息
字段	选择项
地点名称 *	不适用
D&B D-U-N-S 编号	不适用
地点类型 *	公司自有建筑（仅由公司使用）公司租用建筑公司租用楼层/办公室（在共用建筑中）与其他公司共用办公室自有数据中心共享数据中心
被动场地保护 *	是否
行业（可多选）	信息技术 ❏ IT 服务 ❏ 电信服务 ❏ 软件开发
	管理 ❏ 咨询
	媒体 ❏ 营销 ❏ 代理 ❏ 打印服务 ❏ 摄影 ❏ 翻译服务
	研发 ❏ 车辆测试 ❏ 车辆模拟 ❏ 原型构造 ❏ 微型汽车模型 ❏ 开发服务 ❏ CAx 开发服务
	生产 ❏ 生产服务 ❏ 签约制造 ❏ 车间 ❏ 物流
	销售及售后 ❏ 进口，NSC ❏ 经销 ❏ 金融服务 ❏ 保险 ❏ 理赔
	其他行业（请输入）
地点雇用员工数：总计 *	0 1-10 11-100 101-1.000 1.001-5000 5000 以上
地点雇用员工数：IT *	0 1-10 11-25 26-50 50 以上
地点雇用员工数：IT 安全 *	0 兼职 1-5 6-25 25 以上
地点雇用员工数：地点安全 *	0 兼职 1-3 4-10 10 以上
该地点所获认证	ISO 27001 其他（请输入） ISAE 3402 SOC2

注意事项	请注意：关于“行业”：请尽量根据您的了解来选择。以上选项无对错之分，如果找不到与您的业务类型相匹配的选项，您只需在“其他”中输入相应的选项。

对于每个地点，您必须指定一个“location name”（“地点名称”）。地点名称的作用是，在将地点分配给评估范围时，更容易对其进行引用。

我们建议，根据以下格式来指定地点名称：

格式：

[地理位置引用]

示例：

针对虚构公司“ACME”

法兰克福
（以德国城市法兰克福来作为地点名称）

4.3.2.6. 范围名称

对于每个范围，您必须指定一个“scope name”（“范围名称”）。范围名称的主要目的是，方便您在 ENX 门户的范围概览列表中辨别范围。您应指定一个对读者和同事都有帮助的名称。在对外通信时，应使用范围 ID。

您可以指定任意范围名称，但不要为一个以上的范围分配相同的范围名称。

如果以后想要更新 TISAX 评估，您到时要创建一个新范围（可能与当前范围完全相同）。因此，我们建议将评估年份添加到范围名称中。

我们建议，根据以下格式来分配范围名称：

格式：

[地理位置或功能信息引用] [评估年份]

示例：

针对虚构公司“ACME”

2024
（如果您公司只有一处地点，则无需地理位置）
法兰克福 2024
（针对若干处地点位于德国城市法兰克福的范围）
下萨克森州 2024
（针对所有地点位于德国联邦州下萨克森的范围）
德国 2024
（针对所有地点位于德国境内的范围）
EMEA 2024
（针对所有地点位于 EMEA 地区（“欧洲、中东、非洲”）的范围）
原型开发 2024
（功能信息引用，针对所有地点均涉及原型开发的范围）

4.3.2.7. 联系人

为了与您保持沟通，我们会收集您公司的联系人信息。

我们通常要求您公司至少要指定一名联系人来作为 TISAX 参与者，并为每一个评估范围相应指定一名联系人。另外，您还可以添加其他联系人。

在注册准备期间，您应当决定自己公司的联系人人选。

我们需要以下联系人信息：

表格 2. 联系人信息
	联系人信息	是否必须填写？	示例
1.	称呼	是	女士、先生
2.	学位		Dr.、Ph.D. 或其他
3.	名	是	John
4.	姓	是	Doe
5.	职位	是	IT 主管
6.	部门	是	信息技术
7.	常用联系电话	是	+49 69 986692777
8.	备用联系电话
9.	电子邮件	是	john.doe@acme.com
10.	首选交流语言	是	英语（默认）
11.	其他交流语言		德语、法语
12.	个人地址标识符		HPC 1234
13.	街道地址	是	Bockenheimer Landstraße 97-99
14.	邮编	是	60325
15.	城市	是	法兰克福
16.	州/省份
17.	国家	是	德国

Important

重要提示：

我们建议，为每个联系人指定至少一名代理人。一旦联系人暂时联络不上或不在公司，则可由他人代为管理您公司的参与者信息。+ 否则，如果要新指定一名联系人（非其他现有的有效联系人）的话，相关流程会比较复杂，因为我们的流程旨在确保，只有能够证明自己有权合法代表公司的人才能批准指定一名新的主要联系人。

4.3.2.8. 发布与共享

TISAX 的主要目的，是向其他 TISAX 参与者发布您的评估结果，并与您的合作伙伴共享评估结果。

您可在注册过程中或以后的任何时候决定是否发布和共享您的评估结果。

如果您想从“占据先手”这一角度出发来参与 TISAX 流程，那么您已经可以决定将评估结果向其他 TISAX 参与者发布。否则，您无需针对该阶段进行准备。

如果您的合作伙伴要求您完成 TISAX 评估流程，那么，您迟早要共享评估结果。在注册期间，您已经可以与合作伙伴共享状态信息。一旦您拿到了评估结果，合作伙伴将自动拥有访问权限。^[6]

若要共享状态信息，您需要两项信息：

合作伙伴的 TISAX 参与者 ID

TISAX 参与者 ID 是合作伙伴作为 TISAX 参与者的一个标识。

通常，您的合作伙伴应向您提供其 TISAX 参与者 ID。

为了便于您查找，我们的注册表单为一些经常接收共享评估结果的公司提供一份“参与者 ID”下拉列表。^[7]
所需共享级别

共享级别规定了您的合作伙伴可以访问哪个层次的评估结果信息。

您的合作伙伴可以请求获取某个共享级别，您自己亦可以决定为合作伙伴授予何种级别的访问权限。

有关共享级别的详细信息，请参阅章节 6.5, “共享级别”。

因此，您可能希望确保自己已掌握上述信息。

注意事项	请注意：您可以决定以后再发布您的评估结果。您可以在以后的某个时间为合作伙伴创建共享权限。

Important

重要提示：

如果您不发布或不共享评估结果，则他人将无法看到。

Important

重要提示：

发布或共享操作无法撤销。

更多信息，请参阅章节 6.4, “交换结果操作的不可逆性”。

注意事项	请注意：虽然听起来有几分奇怪，但实际上，即使您尚未开始评估程序，您也可以分享“评估结果”。在这个早期阶段，您分享的只是“评估状态”。与您共享“评估结果”的学员将看到您在评估过程中的状态。如您必须展示 TISAX 标签，但尚未完成评估程序，则对于部分 TISAX 参与者来说，必须签发特别豁免单。在这种情况下，您的合作伙伴可能需要在其 ENX 门户帐户中查看您的“评估状态”。若要进一步了解“评估状态”，请参见章节 7.6, “附录：Assessment status（评估状态）”。

有关发布和共享评估结果的详细信息，请参阅章节 6, “交换（第三步）”。

4.3.3. 评估对象

注册过程期间，您需要定义评估对象。评估对象 ( assessment objective) 决定了信息安全管理系统 (ISMS) 必须满足的适用要求。评估对象的确定，完全是基于您代表合作伙伴参与处理的数据类型。

在以下章节中，我们将描述评估对象，并就如何选择正确的评估对象提供建议。

由于评估对象代表了已定义好的 TISAX 评估流程输入，因此，在与合作伙伴以及我们的 TISAX 认证机构进行有关 TISAX 的沟通时，使用评估对象会有利于开展相关工作。

注意事项	请注意：某些合作伙伴可能会要求您接受 TISAX 特定“评估级别（Assessment Level，简称 AL）”的评估，而不会指定评估对象。有关评估级别的更多信息，请参阅章节 4.3.3.5, “保护需求与评估级别”（子章节“其他信息”）。

4.3.3.1. 评估对象列表

目前有十二项 TISAX 评估对象。您需要选择至少一个评估对象，也可以选择多个。

请将评估对象视为对您的信息安全管理体系进行评估的基准，因为评估对象是 TISAX 流程的关键输入。所有 TISAX 认证机构的评估策略都主要基于评估对象。

目前，TISAX 评估对象如下所示：

表格 3. 目前的 TISAX 评估对象
序号	名称	描述
1.	Info high	Handling of information with high protection needs 处理保护需求较高的信息
2.	Info very high	Handling of information with very high protection needs 处理保护需求极高的信息
3.	Confidential	Handling of information with high protection needs in the context of confidentiality (access to confidential information) 在涉及保密性时处理保护需求较高的信息（访问保密信息）
4.	Strictly confidential	Handling of information with very high protection needs in the context of confidentiality (access to strictly confidential information) 在涉及保密性时处理保护需求极高的信息（访问严格保密的信息）
5.	High availability	Handling of information with high protection needs in the context of availability (high availability of information) 在涉及可用性时处理保护需求较高的信息（信息高可用性）
6.	Very high availability	Handling of information with very high protection needs in the context of availability (very high availability of information) 在涉及可用性时处理保护需求极高的信息（信息的极高可用性）
7.	Proto parts	Protection of Prototype Parts and Components 原型零部件保护
8.	Proto vehicles	Protection of Prototype Vehicles 原型车保护
9.	Test vehicles	Handling of Test Vehicles 试验车处理
10.	Proto events	Protection of Prototypes during Events and Film or Photo Shoots 原型保护——活动及录制、拍摄期间
11.	Data	Data protection according to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR) 依据《欧洲通用数据保护条例》（GDPR）第 28 条（“处理人”）进行数据保护
12.	Special data	Data protection according to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR) with special categories of personal data as specified in Article 9 of the GDPR 依据《欧洲通用数据保护条例》（GDPR）第 28 条（“处理人”），以及 GDPR 第 9 条中关于特殊类个人数据的规定进行数据保护

示例：如果您正在公路上进行试驾，那么“Test vehicles”便是您的评估对象之一。

注意事项	请注意：您只能在 2024 年 3 月 31 日之前选择评估目标“Info high”和“Info very high”。您可以从 2024 年 4 月 1 日开始选择评估目标“Confidential”和“Strictly confidential”。有关此次转换的更多信息，请参阅我们网站上的以下新闻文章： CHANGES TO TISAX LABELS ACCOMPANYING ISA 6 RELEASE enx.com/en-US/news/Changes-to-TISAX-Labels-ISA-six-Release/

Important

重要提示：

在 TISAX 中，“评估对象”通常是过程的输入项。但是，某些合作伙伴可能会要求您接受 TISAX 特定“评估级别”（AL）的评估。

有关保护需求与评估级别之间关系的更多信息，请参阅章节 4.3.3.5, “保护需求与评估级别”。

4.3.3.2. 评估对象和 ISA

ISA 包含三个标准目录（信息安全、原型保护、数据保护）。每个标准目录都由“控制问题”和相关要求组成。

每个评估对象都定义了：

适用的 ISA 标准目录
您必须回答的控制问题
您必须满足的要求

某些评估对象只有部分控制问题和要求适用。

有关 TISAX 评估对象及适用控制问题和要求的更多背景信息，请参阅章节 5.2.2, “看懂 ISA 文件”。

4.3.3.3. 评估对象和 TISAX 标签

您的合作伙伴可能会提起“TISAX 标签”，而“评估对象”和“TISAX 标签”基本上是一回事。不同点在于，评估过程刚开始时会有“评估对象”，如果通过了评估，则您会收到相应的“TISAX 标签”。

示例：您的合作伙伴要求您获得 TISAX标签“Info high（保护需求较高的信息）”。然后，您选择“Info high（保护需求较高的信息）”作为评估对象。

下图为您展示了 TISAX 流程的输入和输出：

插图 6. 评估对象和 TISAX 标签

请求

合作伙伴

接收

输入

对象

TISAX 流程

输出

标签

有关 TISAX 标签的更多信息，请参阅章节 5.4.14, “TISAX 标签”。

4.3.3.4. 评估对象选择

理想情况下，您的合作伙伴会准确地告诉您哪些评估对象必须达标。

在下列情况下，您应根据自己的判断来选择评估对象：

您希望在合作伙伴要求之前主动接受 TISAX 评估，或者
您的合作伙伴并未告诉您哪些评估对象应当达标。

Important

重要提示：

如遇到上述情况，我们强烈建议您亦考虑其他合作伙伴的要求，也就是说，在您现有的合作伙伴中，是否有些伙伴有相同或更高的要求？您估计，未来的合作伙伴会否提出更高的要求？

这样一来，您可能希望考虑选择保护需求更高的评估对象。因为该做法可以防止出现问题，比如一旦遇到其他合作伙伴提出更高要求的情况。

如果您需要根据自己的判断来选择评估对象，以下建议可能会对您有所帮助：

表格 4. 评估对象选择建议
序号	评估对象	建议信息
1.	Info high	您可以通过合作伙伴的文档分类标准，来相应推断出保护需求（高、极高）。
2.	Info very high	您可以通过合作伙伴的文档分类标准，来相应推断出保护需求（高、极高）。
3.	Confidential	适用于接收和处理以下信息的所有公司：在机密性方面具有高保护需求，或根据公司自己的分类方案（例如 VDA 白皮书“分类级别的协调化”）通常被分类为机密。如果未经授权披露信息可能会造成巨大损失（如名誉损失、刑事后果或金钱损失），则应特别选择此 TISAX 标签。
4.	Strictly confidential	适用于接收和处理以下信息的所有公司：在机密性方面具有极高保护需求，或根据公司自己的分类方案（例如 VDA 白皮书“分类级别的协调化”）被严格分类为机密或秘密。如果未经授权披露信息可能造成威胁生存或灾难性的损失（如严重的名誉损失、严重的刑事后果或极大的金钱损失），则应特别选择此 TISAX 标签。
5.	High availability	适用于其客户的生产或交付能力有赖于公司提供产品或服务，且失败将在短时间内给客户造成巨大损失的公司。示例：生产材料的准时制供应商
6.	Very high availability	适用于其客户的生产和交付能力有赖于公司在较短时间内提供产品和服务，且失败将在极短时间内给客户造成巨大损失的公司。例如：准时制供应商，一旦失败，生产就会在短时间内全面停顿，而且需要很长的时间才能重启。
7.	Proto parts	针对制造、储存或使用客户提供的组件或零件的所有公司，这些组件或零件被归类为需要在其所处地点受到保护。物理安全、周边区域安全要求、组织要求以及原型处理相关要求等，均是这项评估的一部分。
8.	Proto vehicles	针对制造、储存或使用客户提供的车辆的所有公司，这些车辆被归类为需要在其所处地点受到保护。物理安全、周边区域安全要求（包括是否存在受保护车库及车间区域）、组织要求以及原型处理相关要求等，均是这项评估的一部分。成功通过评估后，您将自动获得 TISAX 标签“原型零部件保护”。
9.	Test vehicles	针对利用客户提供的车辆进行测试和试驾（例如，在公路或试车跑道上进行试驾）的所有公司，此类车辆被归类为需要保护。组织要求、原型处理相关要求（包括在公路和试车跑道上进行试驾期间，对车辆采用的伪装遮蔽层和处理措施）是这项评估的一部分。而物理安全、周边区域安全要求却未必是评估的一部分。如果您的评估地点配备了相应的设施，我们建议您也选择评估对象“原型车保护”。
10.	Proto events	针对利用客户提供的车辆、部件或零件进行展示或开展活动（例如，市场调查、活动、营销活动），以及进行录制和拍摄的所有公司，此类车辆、部件或零件被归类为需要保护。组织要求、原型处理相关要求（包括与在受保护的房间和公共场合进行展示、开展活动，以及进行录制和拍摄相关的要求）是这项评估的一部分。而物理安全、周边区域安全要求却未必是评估的一部分。如果您的评估地点配备了相应的设施，我们建议您也选择评估对象“原型车保护”。
11.	Data	根据《通用数据保护条例》（GDPR）第 28 条，如果您以“处理人”的身份来处理个人数据，则可能需要选择“（Data）”这一对象。
12.	Special data	根据《通用数据保护条例》（GDPR）第 28 条，如果您以“处理人”的身份来处理特殊类个人信息（如健康或宗教），则可能需要选择“（Special data）”这一对象。

补充说明：

如果您的合作伙伴明确给出了相关要求，则您通常无需再与其商讨评估对象一事；但是，如果合作伙伴未明确给出相关要求，则我们强烈建议您在启动评估流程之前，向您的合作伙伴咨询有关事宜。
ISA 标准通过“高（high）”和“极高（very high）”这两大保护需求（如有），来相应描述各项要求在执行上的差异。
更多相关信息，请见插图 11, “截图：ISA 标准目录“信息安全”中问题的主要元素”。

4.3.3.5. 保护需求与评估级别

您的合作伙伴拥有不同类型的信息，有些信息的保护级别可能需要高于其他信息。为了应对这种情况，ISA 标准定义了三大“保护需求”（ “protection needs”）：正常（normal）、高（high）和极高（very high），来对信息进行区分。您的合作伙伴可通过对自己的信息进行分类，从而相应确定保护需求。

保护需求越高，您的合作伙伴就越希望确保能够放心地让您处理他们的信息。因此，TISAX 定义了三大“评估级别（Assessment Level，简称 AL）”。评估级别规定了认证机构必须采用的评估方法。评估级别越高，评估工作量就越大，因此评估也就越细致和准确。

下表显示了适用于 TISAX 评估对象的评估级别：

表格 5. TISAX 评估对象与评估级别对照
序号	TISAX 评估对象	评估级别（AL）
1.	Info high	AL 2
2.	Info very high	AL 3
3.	Confidential	AL 2
4.	Strictly confidential	AL 3
5.	High availability	AL 2
6.	Very high availability	AL 3
7.	Proto parts	AL 3
8.	Proto vehicles	AL 3
9.	Test vehicles	AL 3
10.	Proto events	AL 3
11.	Data	AL 2
12.	Special data	AL 3

评估级别 1（AL 1）：

评估级别 1 主要针对公司内部用途，是真正意义上的自我评估（ self-assessment）。

为确认是否符合该级别（级别 1），审计人员只会检查是否存在完整的自我评估结果，但不会对自我评估的内容进行评估，甚至也不会要求提供进一步的证据。

该级别（级别 1）的评估结果可信度低，因而不被 TISAX 采纳。但是，您的合作伙伴仍然完全有可能会要求您在 TISAX 评估的框架之外，额外完成这样一份自我评估。

评估级别 2（AL 2）：

为确认是否符合该级别（级别 2），认证机构会对您的自我评估结果（针对评估范围内的所有地点）执行合理性检查。此外，认证机构还会检查相关的证据^[8]，并需要接受信息安全负责人谈话。

认证机构通常以网络会议的形式完成谈话过程，您亦可要求其与您进行面对面谈话。

如果某些证据材料不方便寄给认证机构，则可要求其进行现场检查。这样一来，认证机构依然可对这类“仅供内部使用”的证据执行检查。

注意事项

请注意：

评估级别 2 有一种替代性评估方法。认证机构不执行合理性检查，而是开展全面的远程评估。这种方法有时称为“评估级别 2.5”。

相较于评估级别 2 中的评估，审计人员将核实您的 ISMS 是否满足适用要求。然而，不同于评估级别 3 中的评估，审计人员不会开展下文有关评估级别 3 一节中概述的现场活动。

从形式上，此评估将作为 AL 2 中的评估之一。

AL 2.5 的优势在于，所用方法兼容 AL 3。因此，在稍后的时间点，您可以在工作量可控的情况下将 AL 3 升级为全面评估。针对升级，审计人员仅需开展下文 AL 3 部分所述的现场活动。

在这种情况下，我们建议按评估级别 2.5 进行评估：

您目前只需要表明 AL 2 中评估的 TISAX 标签，但不能排除这种可能性：其他合作伙伴可能需要表明 AL 3 中评估的 TISAX 标签。AL 2.5 中的评估为后续升级到 AL 3 创造了可能性。
编写一份足够可信的自我评估非常困难。为进行合理性检查，自我评估必须确凿、易懂并且有依据。即使是大体上处于有利地位的公司，编制这样一份自我评估报告也要内部人员开展大量工作。

若要进一步了解评估级别，请参见章节 7.10, “附录：范围扩展评估”。

该备选方案为可选，并非满足 AL 2 要求的必要条件。您与之共享评估结果的合作伙伴看不到 AL 2 与 AL 2.5 之间的差别。

评估级别 3（AL 3）：

为确认是否符合该级别（评估级别 3），认证机构会根据适用要求对您公司的合规性进行全面核查。审计人员使用您的自我评估和所提交的文档来准备评估。但不同于评估级别 2，审计人员将开展全方位核查。审计人员将：

检查文档和证据
有计划地与流程负责人谈话。
观察本地状况
观察流程的执行情况
与流程参与者进行未事先计划的谈话

注意事项	请注意：本文档稍后部分将解释下文提及的几个概念。对于 AL 3，认证机构必须前往您的地点。如果出于某种原因暂时无法前往，或者需要付出超出合理范畴的努力才能前往，认证机构可使用由视频支持的远程评估方法进行现场评估活动。认证机构必须在 TISAX 评估报告中将此记录为轻微不符合项。在认证机构可以前往您的地点之后，其必须立即执行后续工作评估，其中包括先前无法执行的所有现场活动。此外，即便尚未完成其他纠正行动，您也必须安排后续工作评估。相较于等待认证机构开展现场活动，这种方法让您可与合作伙伴共享 TISAX 临时标签。

评估级别和评估方法

下表中简要列出了与各评估级别相对应的审计方法：

表格 6. 评估方法的适用性——针对不同的评估级别
评估方法	评估级别 1 （AL 1）	评估级别 2 （AL 2）	评估级别 3 （AL 3）
自我评估	是	是	是
证据	否	合理性检查	全面核查
谈话	否	通过网络会议^[9]	面对面、现场
现场检查	否	根据您的要求	是

补充信息：

AL 2 与 AL 3 之间的区别
两者的方法有很大不同。对于评估级别 2 中的评估，审计人员不会核查所有事项，只会核实其合理性。因此，认证机构不能使用评估级别 2 下评估的结果作为升级到评估级别 3 的依据。升级到评估级别 3 的工作量与新的初始评估大致相同。
合理性检查与核查的区别
用最简单的话来说，合理性检查就是检查某些事物是否存在，并且看起来正确无误。而核查则代表切实检查某些事物是否与其声称相符。
信息分类与保护需求
对于不同的合作伙伴来说，信息分类（如“保密级”、“绝密级”）与保护需求之间的对应关系可能亦有差别。因此，即使我们愿意，我们也无法做到以简洁明了的表格形式，为您一一列出合作伙伴的信息分级体系与保护需求之间严格的对应关系。
仅仅知道评估级别是不够的
某些合作伙伴可能会要求您接受 TISAX 特定“评估级别”的评估。您需要明白，仅仅知道评估级别，是不足以启动 TISAX 流程的。因为，只有在与某个 ISA 标准目录及其相应的保护需求结合使用时，评估级别才有意义。通常，合作伙伴会要求您获得 TISAX 标签（即“标准目录 + 保护需求”）。然而，由于保护需求同评估级别之间是 1:1 的对应关系，因此，您只需知道“标准目录 + 评估级别”即可。
评估级别的上下级关系
高评估等级总是包含低评估等级。例如，如果您的评估是基于评估等级 3，那么它将自动满足评估等级 2 的所有要求。
我们关于评估级别选择的建议
如果您需要根据自己的判断来选择评估对象（并指明相应的评估级别），我们建议为评估对象指定“评估级别 3”。在 TISAX 体系中，评估级别 3 所对应的评估工作力度并不总是高于评估级别 2。
但是，有多个合作伙伴的供应商通常都会为评估对象选择“评估级别 3”。这样一来，便可充分准备好应对未来的一切要求，而无需费时费力去指定不同的评估级别。
其他经济考量
关于评估级别，一次 TISAX 评估的总成本包括您公司内部相关工作的成本，外加上评估本身的成本。虽然评估级别 2 对应的评估成本更低，但由此带来的您公司内部相关工作的成本可能会更高。原因是，评估级别 2 通常要求进行更全面的自我评估，以及提供更完整的内部相关文件。对于评估级别 3，通常只需要向审计人员介绍处理方式，并提供一份基本文件即可。但是，若无现场检查这一环节的话，审计人员会要求提供更多相关文件。所以说，选择评估级别 3 而非评估级别 2 这一做法并不罕见，只不过，做出这一选择的通常是规模较小，而非规模较大的企业。

4.3.3.6. 评估对象与您供应商之间的关系

选择 TISAX 并不一定意味着，您所有的供应商都要满足同样的要求。如果您的评估对象为“信息安全——保护需求极高”，那么这并不是说，您的供应商都要在相同的评估对象方面达标，更不是说他们都需要获得 TISAX 标签。

只不过，您仍需自行审核并判断，使用供应商所提供的服务是否会增加风险，或带来新风险。

两个非常简化的示例：

您公司有一项规定，普通的电子邮件不能用于发送保护需求极高的信息。那么，您的电子邮件服务商便无需获得 TISAX 标签（极高保护需求）。+
同样，如果您只发送加密邮件的话，邮件服务商甚至都看不到“保护需求极高”的信息，上述结论也一样成立。
您将已打印出的“保护需求极高”的信息放入碎纸机中进行处理。这种情况下，废物处理服务提供商自然也无需满足与您一样的要求。

然而，经过风险评估后，有可能出现您的供应商亦需满足针对“极高保护需求”的要求这一情况。此时，TISAX 标签便是一种可为您提供相应证明的可选方案。

4.3.4. 费用

我们收取评估费用。您可浏览我们的价目表，了解相关费用、折扣以及付款条件等信息。

价目表可登录我们的网站下载：
enx.com/en-US/TISAX/downloads/
下载 PDF：
enx.com/pricelist.pdf

在注册准备期间，有一些与账单相关的问题需要您考虑清楚：

账单地址选择
默认情况下，我们会将账单发送至您作为参与者所提供的地址，但您也可以提供其他地址来用于接收账单。

Important

重要提示：

请确保账单地址正确无误。根据会计法要求，账单上的地址需要与您公司的（账单）地址保持一致。出于合规性原因，账单一旦开具，账单地址便不能更改。

订单参考编号
如果您需要在账单上显示某个特定的采购订单号或类似内容，那么您可以向我们提供一个订单参考编号。
增值税编号
我们的一切收费均包含德国增值税（如适用）。
我们需要该编号来处理欧盟内部的付款。如果您的账单地址属于以下国家之一，那么必须提供增值税编号：
奥地利、比利时、保加利亚、克罗地亚、塞浦路斯（希腊部分）、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、斯洛伐克、斯洛文尼亚、西班牙、瑞典、英国
供应商管理

Important

重要提示：

请您理解，鉴于所有 TISAX 参与者之间的对等关系，我们不接受其他任何类型的条款（如一般采购条款、行为准则）。

关于我们账单流程的其他信息：

我们不接受个人采购条款
我们接受：
- 转账汇款至账单上指定的银行账户
- 信用卡付款（注册期间，通过我们的付款服务提供商 “Stripe” 进行）
我们的账单将包含以下有关您的注册信息：
- 您的主要参与者联系人的姓名和电子邮件地址
- 评估范围名称
账单样式请见章节 7.1, “附录：账单示例” 中的附录.
我们提供的大多数账单信息都是您在处理账单时通常所需要的，更多相关信息可参见我们的文档“成员与业务伙伴信息（Information for Members and Business Partners）”。如需要最新版本，请邮件联系我们。

注意事项	请注意：我们知道，有时公司的内部付款审核流程相当繁琐。因此，您在 TISAX 流程中完成下一步骤本身并不受我们是否收到付款的影响。但请注意，如果我们未收到付款的话，您将无法共享评估结果。鉴于此，我们建议您确保，我们能够将账单发送给合适的接收人，并且账单中包含订单参考编号（如适用）。毕竟，您可能也希望在公司内部跟踪账单的付款状态。

Important

重要提示：

我们—ENX 协会—将收取一定的费用，该费用只是 TISAX 评估总费用的一部分。您的 TISAX 认证机构将收取评估费用。

更多关于认证机构相关费用的信息，可参见章节 5.3.4, “评估执行人选择依据”。

Important

重要提示：

无论是以下哪种情况，您均需缴纳费用：

继续 TISAX 流程与否。
是否成功通过 TISAX 评估流程。

因此，账单可能在您启动预评估之前便已经到达。

4.4. ENX 门户

以下章节将讲述在线注册流程，在这一流程中，你需要输入前述章节中建议您收集的所有信息。在开始在线注册流程之前，我们来简要介绍一下 ENX 门户的作用与好处。

ENX 门户允许我们维护一个包含所有 TISAX 参与者的数据库，它在整个 TISAX 流程期间扮演着重要的角色。在 TISAX 注册期间，您输入的信息将随后被 TISAX 认证机构使用（如果您同意），来相应计算报价并制定评估程序计划。完成 TISAX 评估流程后，您将使用 ENX 门户上的交换平台，来与您的合作伙伴共享评估结果。

该门户叫做“ENX 门户”而非“TISAX 门户”，是因为我们还利用门户来管理其他业务活动（如 ENX network）。

4.5. 在线注册流程

如果您根据我们的上述建议（章节 4.3, “注册准备”）进行了准备，那么您便可启动在线注册流程了。

4.5.1. 所需时间

注册所需时间很大程度上取决于您注册的范围和地点数量。作为参与者，首次注册一个范围和一处地点时，预计至少需要 20 分钟的时间来完成注册。

我们建议，在单次对话中一次性完成注册，否则跟上后面步骤的节奏会比较吃力。若您确实需要中止注册，那么我们会联系您，并要求您提供缺失的信息。

4.5.2. 此处开始

您可登录我们的网站进行注册：
enx.com/en-us/Account/Login/Register?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F

您只需按照屏幕提示操作即可。以下是关于注册流程的简要介绍。

4.5.3. 门户账号

注册的第一步，是在 ENX 门户中为自己创建一个账号。因为您正是需要利用门户账号，才能够管理您公司的“参与者信息”。

注意事项	请注意：如果 ENX 门户提示您，您的邮件地址已被使用，请联系我们。该提示信息可能表明，由于某些原因，您的信息已录入我们的系统中。

注意事项	请注意：如上所述，创建门户账号并不意味着已成为“参与者联系人”或“范围联系人”（见下文），可以积极参与评估流程。反之亦然，“参与者联系人”或“范围联系人”也不会自动获得门户账号中参与者信息的管理权限。也就是说，被指定为“参与者联系人”或“范围联系人”的同事不会自动获得 ENX 门户中参与者信息的访问权限。如果您希望将管理参与者信息的权限授予一名您已在 ENX 门户中创建的联系人（不管您是否为其分配了角色），都需要邀请该联系人。更多相关信息，请参阅章节 4.5.5, “参与者联系人”。

4.5.4. 参与者注册末尾处的说明

第二步，是将您的公司注册为“TISAX 参与者”。“TISAX 参与者”是指与其他参与者交换评估结果的公司。

4.5.5. 参与者联系人

主要联系人通常负责与您公司的信息安全评估有关的一切事宜。其可以是您，也可以是您公司里的其他人。

通常，我们只需要您指定主要联系人。若您希望，其他人亦可以看到由我们和我方的 TISAX 认证机构所发送的所有注册流程交流信息，则请添加“备选参与者联系人”。

Important

注意事项	请注意：您可在后续流程中（甚至是在完成在线注册流程，或完成评估之后），随时添加或删除联系人。

注意事项	请注意：参与者联系人不可使用公共邮箱（例如“info@acme.com” 或 “IT@acme.com”）作为电子邮件地址。这一规定也符合 ISA 关于用户登录的规定。

注意事项

请注意：

对于每一位联系人，您可以选择是否为其授予访问您公司参与者信息的权限。原因：

您只是添加联系人，该联系人的信息录入我们系统，但其没有登录或管理信息的权限。
或者，您邀请联系人。ENX 门户将向该联系人发送邀请邮件，联系人须按照其中邀请链接的内容提示进行操作。在创建了自己的 ENX 门户账号后，该联系人便可管理您公司的参与者信息。

创建新联系人：登录（Sign in）> 我的 TISAX（MY TISAX）> 管理员（ADMINISTRATORS）> 创建新的 TISAX 管理员（Create new TISAX Administrator）

邀请联系人：登录（Sign in）> 我的 TISAX（MY TISAX）> 管理员（ADMINISTRATORS）> 转到该联系人所在表格行的末尾，并点击带有向下箭头的按钮 > 编辑 TISAX 管理员（Edit TISAX Administrator）> 转到“ENX 门户访问（ENX PORTAL ACCESS）”部分 > 将“邀请此联系人（INVITE THIS CONTACT）"设置为“是（Yes）” > 点击“保存联系人（Save Contact）”

4.5.6. 一般条款和条件

第三步，是接受“TISAX 参与一般条款和条件”。

相关注解，可参见章节 4.3.1, “法律基础”。

4.5.7. 评估范围注册

第四步，是为您的信息安全评估注册评估范围。

您需要做的是：

指定评估范围名称。
范围名称的主要目的是，方便您在 ENX 门户的范围概览列表中辨别范围。
相关注解，可参见章节 4.3.2.6, “范围名称”
选择评估范围类型。
（标准、自定义）
相关注解，可参见章节 4.3.2, “TISAX 评估范围”。
指定主要范围联系人。
该联系人通常负责特定范围的评估事宜，其可以是您，也可以是您公司里的其他人。
通常，我们只需要您指定主要范围联系人。若您希望，其他人亦可以看到由我们所发送的、与该特定范围相关的所有交流信息，您可添加“备选参与者联系人”。
选择评估对象。
相关注解，可参见章节 4.3.3, “评估对象”。

添加评估范围地点
我们会要求您指定从属于评估范围的所有相关地点。
相关注解，可参见章节 4.3.2, “TISAX 评估范围”。

注意事项	请注意：一旦您创建了一个新地点，您将无法自行编辑。若要做微小的改动（如更改公司名称，以及街道名称、邮编、城市等信息中的输入错误），请联系我们。由我们来为您更正。

Important

重要提示：

本备注仅适用于更新 TISAX 标签的情况。

请重复使用您在注册前一个范围时创建和使用的现有地点记录。不要创建具有相同地址的新地点记录。

这是因为：某些 TISAX 参与者会自动处理其合作伙伴的评估结果，方法是将其系统与 ENX 门户关联同步。即使是细微差异也可能导致同步无法成功。此外，不要因为不必要的重复导致参与者数据杂乱无章。

选择发布与共享级别（可选）
在此阶段，您便已经可以决定，是否向其他 TISAX 参与者发布您的评估结果，并与您的合作伙伴共享评估结果。通常，该操作步骤会授权我们至少显示以下信息：您的公司是一名参与者，且已成功通过 TISAX 评估流程。
在最初注册时，您可选择跳过此步骤，并于之后的某个时间再设定您评估结果的访问权限。
相关注解，可参见章节 4.3.2.8, “发布与共享”。

Important

重要提示：

发布或共享权限一旦设定，将无法撤销。
更多信息，请参阅章节 6.4, “交换结果操作的不可逆性”。
指定账单接收人。
我们会要求您指定账单的接收人。
相关注解，可参见章节 4.3.4, “费用”。

注意事项	请注意：此处非常容易出错。如果您后续发现，您应该登记的范围略有出入（您忘记了某个地点，您还有另外一个评估目标等），认证机构仍可执行评估。示例：审计人员确定，范围中必须额外包含一个地点，您最初并未将其添加到范围中。之后，审计人员将在 ENX 门户中更新您的评估范围，同时上传您的评估结果。

注意事项	请注意：每一项评估范围都会经历一个工作周期。在目前阶段，您的评估范围的状态可能为“未完成（Incomplete）”、“等待您的指令（Awaiting your order）”或者“等待 ENX 批准（Awaiting ENX approval）”。关于评估范围状态的更多信息，请参见章节 7.5.1, “概述：Assessment scope status（评估范围状态）”。

注意事项

请注意：

对于有许多地点的大型企业，TISAX 提供“快捷群体评估”服务。如果您满足下列条件，则可以考虑选择该服务：

您的评估范围中至少有三处地点^[10]，并且
您的信息安全管理体系运作良好，且集中管理。^[11]

对于“快捷群体评估”而言，初期工作量会比较大。但是，您的评估地点越多，您越能从这一服务中受益。

有关“快捷群体评估”的更多信息，请参见文档“TISAX 快捷群体评估（TISAX Simplified Group Assessment）”。

您可登录我们的网站，下载文档“TISAX 快捷群体评估（TISAX Simplified Group Assessment）”：
enx.com/en-US/TISAX/downloads/

下载 PDF：
enx.com/sga.pdf

注意事项	请注意：一旦我们注册了您的评估范围，您将无法自行更改。如果您能以可靠的方式向我们保证，还未将您的“TISAX 范围摘要（TISAX scope excerpt）”发给我方的认证机构，则请联系我们。由我们为您更改。如果您已经将“TISAX 范围摘要（TISAX scope excerpt）”发给了我方（其中一个）认证机构，则您只需在 ENX 门户中创建新地点（如适用），并与您的认证机构讨论相关变更事宜即可，您的认证机构将根据变更执行评估，并在 ENX 门户中更新范围信息。

注意事项	请注意：在 ENX 门户中，您无法删除评估范围。若因不小心错误创建了评估范围，请联系我们。由我们来为您删除。

4.5.8. 确认邮件

在您完成上述所有强制性步骤后，我们将对您的申请进行审核，并向您发送确认邮件。

该邮件包含两项重要信息：

所有 TISAX 认证机构的联系人列表
为针对您的评估范围来相应执行评估工作，您必须选择我方其中一家 TISAX 认证机构。您可以通过联系人来咨询评估事宜。
有关认证机构选择的更多信息，请参见章节 5.3, “选择认证机构”。
以 PDF 附件形式提供的“TISAX 范围摘要（TISAX Scope Excerpt）”
该文件包含：
- 我们数据库中储存的信息
- 您的参与者 ID
  请参见下文章节 4.5.8.1, “Participant ID （参与者 ID）”
- 您的范围 ID
  请参见下文章节 4.5.8.2, “Scope ID （范围 ID）”

关于确认邮件的样式，请参见章节 7.2, “附录：确认邮件示例”。

关于“TISAX 范围摘要（TISAX Scope Excerpt）”的示例，请参见章节 7.3, “附录：TISAX 范围摘要示例”。

通常，您将在三个工作日内收到我们的确认邮件。

如果您在七个工作日内仍未收到我们的邮件，请确认：a) 您已提供所有信息，并且 b)评估范围状态为“等待 ENX 批准”。只有在信息完整的情况下，我们才会启动注册处理流程。如果您认为所提供的信息是完整的，但我们却没有联系您，那么请您联系我们。

我们会将确认电子邮件发送给主要参与者联系人。

注意事项	请注意：每一项评估范围都会经历一个工作周期。在目前阶段，您的评估范围的状态为“等待 ENX 批准（Awaiting ENX approval）”。关于评估范围状态的更多信息，请参见章节 7.5.5, “Assessment scope status “Awaiting your payment” （评估范围状态“等待您的付款”）”。

以下两个子章节将详细介绍“参与者 ID”与“范围 ID”的作用。

4.5.8.1. Participant ID （参与者 ID）

参与者 ID 的特点：

标识某个 TISAX 参与者。
对每个参与者来说是唯一的。
在完成注册后，由我们进行分配。
是我方所有 TISAX 认证机构执行信息安全评估工作的前提条件。
参与者 ID 示例：

插图 7. 参与者 ID 的格式^[12]

参与者 ID 的前缀是“P”

为唯一、任意字符串，只包含字母和数字：
CFHKLMNPRTVWXYZ
0123456789

注意事项	请注意：查找您的参与者 ID 有两种方法：查看您的“TISAX 范围摘要（TISAX Scope Excerpt）”。请参见上文章节 4.5.8, “确认邮件” 登录 ENX 门户，前往主导航栏并选择 “DASHBOARD”（“仪表板”）。您在此处便可看到您的参与者 ID。

4.5.8.2. Scope ID （范围 ID）

范围 ID 的特点：

标识某个评估范围。
对每个评估范围来说是唯一的。
在完成注册后，由我们进行分配。
是允许我方所有 TISAX 认证机构执行信息安全评估工作的前提条件。
参与者 ID 示例：

插图 8. 范围 ID 的格式

范围 ID 的前缀是“S”

为唯一、任意字符串，只包含字母和数字：
CFHKLMNPRTVWXYZ
0123456789

注意事项	请注意：查找您的范围 ID 有两种方法：查看您的“TISAX 范围摘要（TISAX Scope Excerpt）”。请参见上文章节 4.5.8, “确认邮件” 登录 ENX 门户，前往主导航栏，选择“我的 TISAX（MY TISAX）”，然后选择“范围和评估（SCOPES AND ASSESSMENTS）”。您在此处便可看到您的范围 ID。

注意事项	请注意：每一项评估范围（由范围 ID 标识）都会经历一个工作周期。关于评估范围状态的更多信息，请参见章节 7.5, “附录：Assessment scope status（评估范围状态）”。

4.5.9. 状态信息

在当前阶段，我们使用以下两种状态，来描述您在 TISAX 流程中所处的位置：

1.参与者状态
2.评估范围状态

下图中说明了，为达到某个状态所必需满足的条件：

插图 9. “参与者状态”和“评估范围状态”的满足条件

您的行动

我们的行动

参与者：
[ ] 公司
[ ] 地点
[ ] 联系人
[ ] 一般条款和条件（GTC）

评估范围：
[ ] 联系人
[ ] 评估对象
[ ] 评估地点
[ ] 发布 + 共享

否

是

完成？

否

是

审核 + 批准（确认邮件）

账单

[ ] 付款

已付款？

参与者 ID

范围 ID

参与者状态：

评估范围状态：

1.未完成

2.等待批准

3.初步完成

已完成注册

已失效

1.未完成

2.等待您的指示

3.等待 ENX 批准

4.等待您的付款

5.已完成注册

6.已通过评估

7.已失效

关于状态的含义，以及您如何顺利过渡到下一个状态，请参见附录。

要进一步了解：

参与者状态，请见章节 7.4, “附录：Participant status（参与者状态）”。
评估范围状态，请见章节 7.5, “附录：Assessment scope status（评估范围状态）”。

4.5.10. 更改注册信息

注意事项	请注意：有关信息工作周期的所有解答，请参见章节 7.9, “附录：参与者信息工作周期管理”。该章节为您讲述如何更改或更新相关数据，如您的公司名称或联系人信息。

恭喜！现在，您已是一名 TISAX 注册参与者，可以前往 TISAX 流程的下一步骤。

5. 评估（第二步）

阅读“评估”章节预计需要 30-35 分钟。

5.1. 总述

评估是 TISAX 流程的第二步，也是完成 TISAX 评估最主要的一个环节。

以下章节内容将带您完成评估这一步：

首先，我们将介绍如何利用ISA 自我评估来确定，您是否已准备好接受 TISAX 评估。
之后，我们将就如何选择 TISAX 认证机构，来相应给出建议.
接下来，我们为您具体讲述评估流程。
最后，我们将阐述“流程结果”：即您的评估结果以及相关的TISAX 标签。

5.2. 基于 ISA 的自我评估

为了准备接受 TISAX 评估，首先，您需要将自己的信息安全管理体系（ISMS）调整到最佳状态。为了确认您的 ISMS 是否达到预期的成熟度等级，您应依据 ISA 标准来做一次自我评估。

“信息安全评估”（Information Security Assessment，简称 ISA）是一套标准目录，由“德国汽车工业协会”（Verband der Automobilindustrie e.V.——简称 VDA）发布，是汽车行业执行信息安全评估的通用标准。

以下章节主要以实例形式，来讲解如何完成基于 ISA 的自我评估。

本手册中的阐释、示例和截图依据的是 ISA 版本 5。

注意事项	请注意：欲了解与以往的 ISA 版本相比出现了哪些变化，可参见其 Excel 表“变更历史（Change history）”，来获得相关信息。

注意事项	请注意：当 VDA 发布 ISA 新版本时，有关哪一套 ISA 版本适合作您评估之用的信息，请参见章节 7.11, “附录：ISA 工作周期管理”。

5.2.1. 下载 ISA 文件

开始自我评估之前，请先下载 ISA 文件。

您可从我们的网站下载：
enx.com/en-US/TISAX/downloads/

直接下载 Excel 文件：
portal.enx.com/isa5-en.xlsx

ISA 文件的德语版请见：
enx.com/de-de/TISAX/downloads/

5.2.2. 看懂 ISA 文件

在开始自我评估之前，建议您阅读以下说明信息，这可能会有助于您完成相关工作。除了提供 ISA 文件中的官方阐释和定义外，我们还提供这些说明信息是为了重点讲述在 TISAX 评估中的应用。

5.2.2.1. 标准目录

当前，ISA 有三大“标准目录”^[13]：

信息安全

Information Security

原型保护

Prototype Protection

数据保护

Data Protection

每一个标准目录都有对应的 Excel 表：

插图 10. 截图：ISA 标准目录（Excel 表）

哪些标准目录与您相关？这取决于您的评估对象。

每个评估对象都定义了哪些要求适用哪些标准目录。某些评估对象只适用一个标准目录中的要求，而其他评估对象则适用多个标准目录中的要求。

前述提到的评估对象与这些标准目录呈对应关系：

表格 7. TISAX 评估对象与 ISA 标准目录之间的对应关系
序号	评估对象（ Assessment objective）	ISA 标准目录
1.	Info high	Information Security ( 信息安全)
2.	Info very high	Information Security ( 信息安全)
3.	Confidential	Information Security ( 信息安全)
4.	Strictly confidential	Information Security ( 信息安全)
5.	High availability	Information Security ( 信息安全)
6.	Very high availability	Information Security ( 信息安全)
7.	Proto parts	Prototype Protection ( 原型保护)
8.	Proto vehicles	Prototype Protection ( 原型保护)
9.	Test vehicles	Prototype Protection ( 原型保护)
10.	Proto events	Prototype Protection ( 原型保护)
11.	Data	Information Security ( 信息安全) Data Protection ( 数据保护)
12.	Special data	Information Security ( 信息安全) Data Protection ( 数据保护)

示例：如果您选择了评估对象“数据保护”，则必须回答“信息安全”和“数据保护”这两个标准目录中的问题。

您可能注意到了，每个标准目录所对应的评估对象不止一个。那么，如何知道哪些要求适用于哪个评估对象？

下表将为您展示所适用的要求：

表格 8. 要求是否适用于评估对象
序号	评估对象（ Assessment objective）	适用要求
1.	Info high	标准目录“Information Security”（“信息安全”） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列 “Additional requirements for high protection needs”（“针对‘高’保护需求的附加要求”）列
2.	Info very high	标准目录“Information Security”（“信息安全”） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列 “Additional requirements for high protection needs”（“针对‘高’保护需求的附加要求”）列（）“针对‘ 极高’保护需求的附加要求”列
3.	Confidential	标准目录“Information Security”（“信息安全”） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列 “Additional requirements for high protection needs”（“针对‘高’保护需求的附加要求”）列（但仅限标有“C”的内容，意为 Confidentiality（保密性））
4.	Strictly confidential	标准目录“Information Security”（“信息安全”） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列 “Additional requirements for high protection needs”（“针对‘高’保护需求的附加要求”）列（但仅限标有“C”的内容，意为 Confidentiality（保密性））（）“针对‘ 极高’保护需求的附加要求”列（但仅限标有“C”的内容，意为 Confidentiality（保密性））
5.	High availability	标准目录“Information Security”（“信息安全”） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列 “Additional requirements for high protection needs”（“针对‘高’保护需求的附加要求”）列（但仅限标有“A”的内容，意为 Availability（可用性））
6.	Very high availability	标准目录“Information Security”（“信息安全”） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列 “Additional requirements for high protection needs”（“针对‘高’保护需求的附加要求”）列（但仅限标有“A”的内容，意为 Availability（可用性））（）“针对‘ 极高’保护需求的附加要求”列（但仅限标有“A”的内容，意为 Availability（可用性））
7.	Proto parts	标准目录“Prototype Protection”（“原型保护”）但仅限这几章： 8.1 Physical and Environmental Security （ 8.1 物理和环境安全） 8.2 Organizational Requirements （ 8.2 组织要求） 8.3 Handling of vehicles, components and parts （ 8.3 车辆、零部件的处理） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列
8.	Proto vehicles	标准目录“Prototype Protection”（“原型保护”）但仅限这几章： 8.1 Physical and Environmental Security （ 8.1 物理和环境安全） 8.2 Organizational Requirements （ 8.2 组织要求） 8.3 Handling of vehicles, components and parts （ 8.3 车辆、零部件的处理） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列 “Additional requirements for vehicles classified as requiring protection”（“被列为需要保护的车辆的其他要求”）列
9.	Test vehicles	标准目录“Prototype Protection”（“原型保护”）但仅限这几章： 8.2 Organizational Requirements （ 8.2 组织要求） 8.3 Handling of vehicles, components and parts （ 8.3 车辆、零部件的处理） 8.4 Requirements for trial vehicles （ 8.4 试验车辆要求） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列
10.	Proto events	标准目录“Prototype Protection”（“原型保护”）但仅限这几章： 8.2 Organizational Requirements （ 8.2 组织要求） 8.3 Handling of vehicles, components and parts （ 8.3 车辆、零部件的处理） 8.5 Requirements for events and shootings （ 8.5 活动和拍摄要求） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列
11.	Data	标准目录“Information Security”（“信息安全”） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列 “Additional requirements for high protection needs”（“针对‘高’保护需求的附加要求”）列（但仅限标有“C”的内容，意为 Confidentiality（保密性））标准目录“Data Protection”（“数据保护”） “Requirements (must)”（“要求（必须）”）列
12.	Special data	标准目录“Information Security”（“信息安全”） “Requirements (must)”（“要求（必须）”）列 “Requirements (should)”（“要求（应当）”）列 “Additional requirements for high protection needs”（“针对‘高’保护需求的附加要求”）列（但仅限标有“C”的内容，意为 Confidentiality（保密性））（）“针对‘ 极高’保护需求的附加要求”列（但仅限标有“C”的内容，意为 Confidentiality（保密性））标准目录“Data Protection”（“数据保护”） “Requirements (must)”（“要求（必须）”）列

注意事项	请注意： “针对‘高’保护需求的附加要求”和“针对‘极高’保护需求的附加要求”两列中的每项要求都标有“C”（意为 Confidentiality（保密性）或“I”（意为 Integrity（完整性）或“A”（意为 Availability（可用性），或这三个字母的任意组合。上表将这两列中的要求缩小到标有一个上述字母时，标有此字母及额外字母的要求也适用。例如标有“（C）”、“（C、I、A）”或“（C、I）”的所有要求均适用于上表中指定“C”的位置（例如，在评估对象“Special data”中）。

以下截图展示了“信息安全”标准目录中控制问题的主要元素。（其他标准目录仅包含这些元素的子集。）我们将在下文中逐一解释这些元素。

插图 11. 截图：ISA 标准目录“信息安全”中问题的主要元素

成熟度等级

章节

“控制”问题

要求

对象

所有保护需求

“高”保护需求

“极高”保护需求

5.2.2.2. 章节

每个标准目录都以章节形式对问题进行分组。

例如“2 人力资源”

该分组的依据是公司内的典型职责。这些部门在“流程实施的常规负责人”（上例中为“人力资源”）列中指定。

5.2.2.3. “控制”问题

针对每一个标准目录，您可在相应的 Excel 表中看到该问题。

例如：“4.1.2 用户在访问网络服务、IT 系统及 IT 应用时，其安全性保障程度如何？”

“控制”问题亦称作“控制点”，是“审计人员行话”。ISA 所依据的 ISO 标准使用“控制”一词。

5.2.2.4. 自我评估表单字段

在“Maturity level”（成熟度等级）列和 “Control question”（控制问题）列之间，是您在进行自我评估时需要填写的表单字段：

表格 9. 自我评估表单字段及其用途
表单字段	用途	是否必须填写？
Implementation description ( 实施描述) (F 列)	您应在此处简要说明，为了在您公司应对提到的“控制”问题，您都做了哪些工作。	是
Reference Documentation ( 参考文件) (G 列)	您应在此处说明，哪个（些）文件可以证明您所做的工作。	是
Findings/Result ( 发现/结果) (H 列)	如果您认为理想情况与实际情况不符，那么您可在此处填写相关发现。	否

只有“实施描述”和“参考文件”为必填项。上述信息将有助于我们的 TISAX 认证机构更好地了解您的公司，从而更有针对性地准备评估工作。

为了支持您开展自我评估，以下几列信息可供您参考：

Measures/recommendations ( 措施/建议) (R 列)
Date of assessment ( 评估日期) (S 列)
Date of completion ( 完成日期) (T 列)
Responsible department ( 负责部门) (U 列)
Contact ( 联系人) (V 列)

Important

重要提示：

如果您打开下载后的 Excel 文件，并选择其中一个标准目录工作表（如“信息安全”），那么您可能不会立即看到自我评估表单字段。为了令其显示，您需要点击“2”级分组按钮。^[14] 该按钮位于 C1 单元格左上方，点击后将扩展视图，从而显示自我评估表单字段。

另一个方法是，按住箭头向下滚动。由于单元格中的信息量庞大，因而在拖动滚动条时，需要精确掌握好滑移位置。如果您利用指针设备的滚动功能来实现这一点，那么您可能会不经意间跳过某些内容较多的单元格。

5.2.2.5. 对象

“控制问题（Control question）”列的右侧是“目标（Objective）”列（J 列）。该栏内容描述了，为了在所提到的方面使您的信息安全管理符合要求，您需要具体做什么。

示例（针对控制问题 4.1.2）：“只有经过安全识别（验证）的用户才能访问 IT 系统。鉴于此，将通过适当的流程来确认用户的身份，从而确保访问安全。”

5.2.2.6. 要求

要求是指为了实现目标而需要满足的条件。

5.2.2.7. 成熟度等级

针对您的信息安全管理体系，ISA 使用“maturity levels”（“成熟度等级”）这个概念来对其各个方面的质量水平进行评级。您的信息安全管理体系越复杂，其成熟度等级就越高。

ISA 区分六种不同的成熟度等级，您可在 Excel 表“Maturity levels”（“成熟度等级”）中查看详细定义。为了以直观的方式了解各个成熟度等级，我们在此引用 ISA 中给出的非正式描述：

表格 10. 成熟度等级的非正式描述
Maturity level ( 成熟度等级)	名称	描述
0	Incomplete （未完成）	流程缺失、未得到遵守，或者不适合用于实现目标。
1	Performed ( 基本可行)	遵循了流程，但流程无书面记录或记录不完整。然而，有证据表明，借助它可以实现目标。
2	Managed ( 组织有序)	遵循了流程，且借助流程可以实现目标；流程文档以及流程执行证据齐全。
3	Established ( 健全完善)	遵循了标准流程，且该流程贯穿整个体系；与其他流程之间的依存关系有书面记录，且已创建合适的衔接标准。有证据表明，在相当长的一段时间内，所述流程的使用频率和受重视程度均较高。
4	Predictable ( 查缺补漏)	遵循了健全完善的流程。通过收集关键数据，对流程的有效性进行持续监控。针对流程被认为不够有效且需要调整的地方，相应定义了极限值。(关键绩效指标“KPI”)
5	Optimizing ( 持续优化)	遵循了经过查缺补漏且以持续改进作为主要目标的流程。通过集中相关资源，来积极推动改进。

您应当按照各个问题，来对您信息安全管理体系的成熟度等级进行评估。在“Maturity level”（“成熟度等级”）（E 列）这一列中输入您的成熟度等级。

插图 12. 截图：ISA 文件中成熟度等级选择示例（Excel 表“信息安全”）

您的成熟度等级

欲进一步了解目标成熟度等级，及其对您评估结果的影响，请参见章节 5.2.4, “解读自我评估结果”。

有了进一步的了解之后，您便可准备开始进行自我评估了。

5.2.3. 执行自我评估

打开 Excel 文件，检查各个标准目录（适用于您的评估对象）中的所有“控制”问题，并确定与您信息安全管理体系的当前状态相匹配的成熟度等级。请依据您自己的最佳判断来完成这一步——在该阶段，并无对与错之说。

在您完成自我评估后，应完整填写 Excel 表“结果”（Results，ISA5）中的“结果（Result）”列（H），可填写数字（0-5），或“n.a.”（即表示“不适用”）。

插图 13. 截图：ISA 文件中“结果”（Results，ISA5）表示例

绿色

如有关于 ISA 的问题，请联系我们。

5.2.4. 解读自我评估结果

在以下五个子章节中，我们将阐述如何分析并解读您的自我评估结果。通过分析，您将明白自己是否已为 TISAX 评估做好准备。

5.2.4.1. 分析

您的结果得分是对自我评估结果的总结。

您可在 Excel 表“结果”（Results，ISA5）（D6 单元格）中查看结果得分（“回归至目标成熟度等级的结果”）。我们将稍后解释什么是“回归”。

插图 14. 截图：您的结果得分和最高结果得分——Excel 表“结果”（Results，ISA5）（D6 和 G6 单元格）

您的结果得分

最高结果得分

为了理解并随后对您的自我评估结果和结果得分进行解读，您需要区分两种类型的分析级别：

问题级
该级别涉及所有的问题，每个问题均对应一个目标成熟度等级和您的成熟度等级。
分数级
在该级别有一个总体结果，它是所有问题结果的总结。相应地，也有一个最高结果得分以及您的结果得分。

下图中展示了这两个分析级别：

插图 15. 自我评估结果分析——问题级和分数级

分析

问题级

目标成熟度等级

您的成熟度等级

分数级

最高结果得分

您的结果得分

下图展示了在何处可以看到分数级和问题级的结果。

插图 16. Excel 表“结果”（Results，ISA5）中的分数级和问题级

分数级

问题级

下图直观展示了分析级别、 ISA 目标定义以及您本人的结果：

插图 17. 目标值以及您的结果值——问题级和分数级

目标成熟度等级

您的成熟度等级

问题级

Q（问题）

TML（目标成熟度等级）

YML（您的成熟度等级）

最高结果得分

您的结果得分

分数级

以下章节对结果及其分析进行了详细的阐述。

5.2.4.2. 目标成熟度等级（问题级）

ISA 为每个问题所规定的“目标成熟度等级”为 3。

欲进一步了解各个成熟度等级的定义，请参见章节 5.2.2, “看懂 ISA 文件”。

ISA 在 Excel 表“结果”（Results，ISA5）中（从 G 列、第 22 行开始，见下图）对目标成熟度等级进行了定义。

插图 18. Excel 表“结果”（Results，ISA5）中的目标成熟度等级定义

目标成熟度等级

5.2.4.3. 您的结果（问题级）

为了获得 TISAX 标签，您通常需要使每个问题的成熟度等级等于或者高于目标成熟度等级。

示例：如果问题 X 的目标成熟度等级为“3”，则您针对该问题的成熟度等级也应当为“3”或者更高。但是，如果您的成熟度等级在“3”以下，那么就有可能无法获得 TISAX 标签。

这一点只适用于单个问题，比如说，如果两个问题的目标成熟度等级都是“3”，而您针对其中一个问题的成熟度等级是“2”，另一个为“4”，那么，您不能采用“取高补低”的做法，让两个成熟度等级都达到“3”。

ISA 文件会自动将您的成熟度等级从 Excel 表“信息安全”（E 列）转移到 Excel 表“结果”（Results，ISA5）（从 H 列、第 23 行开始）中：

插图 19. Excel 表“结果”（Results，ISA5）中您的成熟度等级

您的目标成熟度等级

在 ISA 文件总结您的成熟度等级，并将之体现在得分结果中之前，会对其进行计算。一个基本原则是，您的成熟度等级会“回归”到目标成熟度等级。这样做是为了防止一旦您针对某些问题的成熟度等级高于目标成熟度等级，而针对另一些则低于目标成熟度等级，从而出现两者之间“取高补低”的情况。

以下是 ISA 计算结果（问题级）的方式：

取您的成熟度等级，并将其与问题的目标成熟度等级进行比较。
如果您的成熟度等级高于目标成熟度等级，则其将“回归”到目标成熟度等级。
如果您的成熟度等级低于或等于目标成熟度等级，则针对该问题将不采取行动。

示例（见下图）：目标成熟度等级为“3”，而您的成熟度等级为“4”。因此，针对该问题，您的“回归结果”将为“3”。

插图 20. 结果成熟度等级的“回归”计算

输入

计算

输出

（问题级）

目标成熟度等级（TML）

您的成熟度等级（YML）

YML > TML?

是：回归至 TML

否：不执行回归

结果成熟度等级（RML）

在下图中可以看到，如果您的成熟度等级高于目标成熟度等级，ISA 将执行回归操作（图中的绿色、橙色和红色对应了“结果”列中使用的颜色，请见插图 19, “Excel 表“结果”（Results，ISA5）中您的成熟度等级”）。

插图 21. 回归图解——配 Excel 表“结果”（Results，ISA5）中使用的颜色

示例：

YML

TML

回归

以下是另一种查看成熟度等级（问题级）的方式。圆圈的颜色代表目标成熟度等级，或与它之间的“距离”（例如，如果成熟度等级比目标成熟度等级低“1”级，则用橙色圆圈表示）。对勾则代表您的成熟度等级。

插图 22. 成熟度等级（问题级）

成熟度等级

问题

回归

目标成熟度等级（TML）

比 TML 高一级或一级以上

比 TML 低一级

比 TML 低两级或两级以上

您的成熟度等级（YML）

回归至 TML

注意事项	请注意：即使您在所有问题上都没有达到目标成熟度等级，您依然有可能通过 TISAX 评估。在这种情况下，主要问题在于您是否存在关联风险。如果您的成熟度等级低于目标值，但您自身并无风险，那么依然可能满足通过条件。

5.2.4.4. 目标值（分数级）

ISA 定义了一个“理想”的总体成熟度等级——即“最高结果得分”（或“最高得分”，G6 单元格）。

插图 23. 最高结果得分——Excel 表“结果”（Results，ISA5）

最高结果得分

理论上来说，该总体成熟度等级是所有目标成熟度等级（问题级）的平均值，也就是最高结果得分为“3.0”。

然而，该值为“3.0”的前提条件是，所有问题均适用于您的具体情况。一旦某个问题不适用于您的情况，那么平均值就会发生变化，最高结果得分将低于“3.0”。

根据上图（插图 22, “成熟度等级（问题级）”）所示，再参照下图，您可以看到最高结果得分平均值的变动轨迹：

插图 24. 最高结果得分（分数级）

成熟度等级

问题

回归

最高结果得分

5.2.4.5. 您的结果得分（分数级）

您的总体结果得分（“回归至目标成熟度等级的结果”，D6 单元格）：

对您信息安全管理体系的总体成熟度等级进行了总结。
是您所有成熟度等级（问题级）的平均值。
可能低于或等于最高结果得分。
应当尽可能接近最高结果得分。您的结果得分与最高结果得分之间的差距越大，您获得 TISAX 标签的可能性就越小。

插图 25. 您的结果得分——Excel 表“结果”（Results，ISA5）

您的结果得分

同样，根据上图（插图 22, “成熟度等级（问题级）”）所示，再参照下图，您可以看到结果得分平均值的变动轨迹：

插图 26. 您的结果得分（分数级）

成熟度等级

问题

回归

您的结果得分

通过结果得分，您可以看到：

自己是否已准备好接受 TISAX 评估。
自己是否有望获得 TISAX 标签。

如果您的结果得分（“回归至目标成熟度等级的结果”）在“3.0”以下，则说明至少在一个问题上，您的成熟度等级未达到目标成熟度等级。在这种情况下，为做好接受 TISAX 评估的准备，您或许应首先对自己的信息安全管理体系进行改进。

注意事项	请注意：关于总体得分，您的结果得分与最高结果得分（“回归至目标成熟度等级的结果”）之间可以存在一个合理的“差距”，也就是官方限值。如果您的结果得分低于最高结果得分的幅度：大于 10%，则总体评估结果将为“轻微不符合”。大于 30%，则总体评估结果将为“重大不符合”。

Important

重要提示：

结果得分（“回归至目标成熟度等级的结果”）为“3”并不能保证您一定会顺利通过 TISAX 评估，且无任何不利于您的发现。请记住，审计人员看待某些问题的方式可能与您不同。

5.2.4.6. 您准备好了吗？

上述分析的目的是让您了解自己是否已准备好接受 TISAX 评估。

如果您的结果得分（“回归至目标成熟度等级的结果”）为（接近于）“3.0”，那么毫无疑问，您已具备接受 TISAX 评估的资格。在这种情况下，“结果”列（H）中的所有值均为绿色（无橙色或红色）。

如果不是绿色，那么您需要对自我评估结果进行分析总结（请参见章节 5.2.5, “分析并总结自我评估结果”）。

下图中展示了 Excel 表“结果”（Results，ISA5）中的 ISA 蜘蛛网图。绿线表示每一章对应的目标成熟度等级。如果您的成熟度等级恰好达到或超过该线，则表明您已经可以接受 TISAX 评估了。反之，如果在该线以下，则说明您的条件还不足以获得 TISAX 标签。

插图 27. 截图：ISA 蜘蛛网图中的目标成熟度等级实现——Excel 表“结果”（Results，ISA5）

您已准备好接受 TISAX 评估

目标成熟度等级

满足成熟度等级要求并不意味着一定有资格获得 TISAX 标签！

如果您将 ISA 蜘蛛网图“展开”到问题级，则会获得类似的绿色/红色视图（问题级）：

插图 28. “展开”ISA 蜘蛛网图

成熟度等级

问题

您的结果得分可能不足以获得 TISAX 标签

您已准备好接受 TISAX 评估

5.2.5. 分析并总结自我评估结果

您的自我评估结果可能表明，在具备获得 TISAX 标签的资格之前，您需要对自己的信息安全管理体系进行改进。

对于您的成熟度等级与目标成熟度等级之间的差距，您或许已知道如何进行弥补。对于其他事宜，您可能需要咨询外部人士。在这种情况下，您可以请求我们的 TISAX 认证机构为您提供咨询服务。TISAX 允许其提供咨询，但不作要求。请注意，无论是哪一家认证机构，只要为您提供过咨询服务，便不能再为您进行 TISAX 评估。

Important

重要提示：

对于许多公司而言，在接受正式评估之前，没有对自我评估结果进行适当的分析和总结是阻碍其通过评估的主要绊脚石。请不要低估这项工作——根据要求去调整改进您的信息安全管理体系，在这方面付出的时间和精力都是值得的。许多公司为了准备 TISAX 评估，甚至需要为此专门立项，且工作量巨大。

注意事项	请注意：当您为通过 TISAX 评估流程而寻求外部帮助时，您会发现有不少公司提供这方面的咨询和培训服务。这些公司当中没有任何一家与我们有关联。目前，我们：不提供官方培训，包括直接提供或通过第三方提供。不对第三方的服务质量进行评论，亦不会就此给出相关建议或注意事项。

注意事项	请注意：我们不建议您订购或要求我们提供类似于“预评估”或“差距分析”的服务。虽然我们理解您的用心：您旨在通过此方式来为正式评估进行准备。然而，在几乎所有情况下，马上开始正式评估才是更加明智之举。如需详细了解我们为何建议不要进行预评估，请参阅章节 7.7, “附录：建议不要进行“预评估”和“差距分析”的理由”。

5.3. 选择认证机构

只有我们的签约认证机构才有资格执行 TISAX 评估工作。^[15] TISAX 认证机构有资格为您执行 TISAX 评估，但前提是，他们此前从未向您提供过任何形式的咨询服务。

我们所有的 TISAX 认证机构将仅为那些成为 TISAX 注册参与者的公司提供 TISAX 评估服务。

Important

重要提示：

注意事项	请注意：每一项评估范围都会经历一个工作周期。在目前阶段，您的评估范围的状态应当为“已批准（Approved）”或“已完成注册（Registered）”。关于评估范围状态的更多信息，请参见章节 7.5.5, “Assessment scope status “Awaiting your payment” （评估范围状态“等待您的付款”）”。

5.3.1. 联系人信息

注意事项	请注意：请确保仅在注册完成后，才向 TISAX 认证机构请求报价。认证机构将相应检查是否有注册记录，如无，则会拒绝您的请求。这也是为什么您仅在注册确认邮件中才会收到认证机构的联系人信息，而不是通过我们的公共网站获得。

5.3.2. 地域限制

目前，虽然许多认证机构的联系人都常驻德国办公，但您需要明白的是，我们所有的认证机构原则上都能够在全球各地执行 TISAX 评估任务。其中，大多数甚至已在多个国家雇用本地员工开展业务。

在我们的网站上，我们设立了专门页面来供您选择国家，从而了解哪一家认证机构在本地安排了销售人员和/或审计人员（ enx.com/en-US/TISAX/xap/）。

5.3.3. 请求报价

为了让我们的 TISAX 认证机构能够针对预期评估工作量进行精确计算，您应确保提供“TISAX 范围摘要（TISAX Scope Excerpt）”。

插图 29. “范围摘要”缩略图（第一页）

更多相关信息，请参见章节 4.5.8, “确认邮件”。

注意事项	请注意：公正性是 TISAX 认证机构工作中的一个关键要素，旨在确保不会出现利益冲突。您在联系服务提供商的时候，应当考虑到这一点。如果您的公司与认证机构有某种程度的关系，则其将无法为您提供评估服务。

5.3.4. 评估执行人选择依据

您可以自由选择 TISAX 认证机构，因为他们均受相同合同的约束，且均基于相同的标准和审计方法来执行评估工作。就评估结果而言，无论您选择哪一家认证机构，都不会给结果带来影响——您的评估结果是被所有 TISAX 参与者承认的。

除了价格、声誉和喜好等外在因素，您还应当考虑以下方面：

时效性：
评估流程需要多久才能启动？如果您急需通过 TISAX 评估，则应重点考虑该方面。
与现场审计相关的差旅成本：
认证机构如在您的国家/地区设有办事处，则可相应降低差旅成本。
语言：
您和您公司里的每一位受约谈话人是否能够用自己的母语与审计人员交流？
报价范围：
具体包括哪些评估内容？
更多评估相关信息，请参见章节 5.4.3, “TISAX 评估类型”。
通常，评估内容包括“初始评估”以及“纠正行动计划评估”。由于后续评估工作量难以预测，因而通常等到其他评估工作完结后才相应提供。

最后要考虑的便是信任。由于认证机构会深入了解您公司的情况，因而您需要与其结成一种充满互信的合作关系。

注意事项	请注意：我们不建议您订购或要求我们提供类似于“预评估”或“差距分析”的服务。虽然我们理解您的用心：您旨在通过此方式来为正式评估进行准备。然而，在几乎所有情况下，马上开始正式评估才是更加明智之举。如需详细了解我们为何建议不要进行预评估，请参阅章节 7.7, “附录：建议不要进行“预评估”和“差距分析”的理由”。

注意事项	请注意：虽然我们很想告诉您认证机构收取多少评估费用，但我们无法提供此类信息，敬请谅解。有太多因素会影响到费用。此外，我们的认证机构提供免费的商业计算服务。不过，我们可以粗略估算认证机构将向您收费的人工天数。对于只有一个地点的普通小公司，您应该为评估级别 2 的评估支付 3.5 到 4 个人工天数的费用，为评估级别 3 的评估支付 5 到 6 个人工天数的费用。

注意事项	请注意：每一项评估都会经历一个工作周期。关于评估状态的更多信息，请参见章节 7.6, “附录：Assessment status（评估状态）”。

您在选择了其中一家 TISAX 认证机构后，便可正式启动 TISAX 评估流程。

5.4. TISAX 评估流程

5.4.1. 总述

TISAX 评估流程包含多项不同类型的评估。大多数情况下，评估数量都会在一项以上。

您应将整个评估流程视为一个相互交织的步骤序列，其中：

您针对自己的信息安全管理体系进行准备，确保其运作良好。
认证机构负责检查您的信息安全管理体系，看其是否符合特定的要求，且有可能发现漏洞。
您需要在规定的期限内消除漏洞。
之后，认证机构将再次检查您是否已消除了漏洞。

上述步骤将交替进行，直到消除所有漏洞为止。

您需要明白的是，负责启动评估流程中每一个步骤的，正是您本人。整个评估流程是在您的掌控之下。当然，是否随时终止并退出评估流程，也取决于您自己。^[17]

TISAX 评估流程具有以下宏观结构：

启动会议
您和认证机构在此时规划评估流程的细节
评估阶段 1
认证机构检查您的自我评估
评估阶段 2
认证机构开展评估

5.4.2. 启动会议

TISAX 评估流程的第一步是启动会议。这一环节的目的是规划评估流程的细节。启动会议通常采用电话会议的形式。认证机构将指引您参加会议。

会议议程包含的部分议题如下：

参与者有哪些？
哪家公司接受评估？
TISAX 评估流程是如何运作的？
评估范围是怎样的？是否合理？
是否不存在利益冲突？
优秀的自我评估是怎样的？
谁负责什么工作？
我们如何交流？
评估在何时开展（以及其他时间规划如何）？
谁需要参与评估？
如需投诉，您应该联系谁？

从启动会议结束到提交自我评估报告之间的时间间隔通常为一到三个月，但六个月的时间间隔也很常见。这个期间要取决于您的准备情况。TISAX 并未对此时间间隔的截止日期做出任何规定。您可以根据自己需要的时长，充分准备自我评估并为评估做好准备。

5.4.3. TISAX 评估类型

TISAX 评估流程由三大评估类型组成：

初始评估（ Initial assessment）
纠正行动计划评估（ Corrective action plan assessment）
后续工作评估（ Follow-up assessment）^[18]

始终需要执行初始评估。另外两项 TISAX 评估可能在出现下列情形前反复进行多次：

您消除了所有漏洞
您退出了 TISAX 评估流程
或者在初始评估结项会议结束后，您达到了九个月的最长期限（此时需要重新进行初始评估）。

在以下章节中，我们将为您讲述所有类型的 TISAX 评估。

注意事项	请注意：每一项评估都会经历一个工作周期。关于评估状态的更多信息，请参见章节 7.6, “附录：Assessment status（评估状态）”。

5.4.4. TISAX 评估要素

每一项 TISAX 评估均包含以下要素：

正式立项会议（Formal opening meeting）^[19]^[20]
- 旨在讨论所有组织安排事宜。
- 会议无需以面对面形式进行。
- 相关事宜可一次性、或分多次讨论完毕。
- 是所有评估初期组织安排事宜的“指挥图”。
评估程序
- 您的认证机构负责检查所有要求。
- 依据相应的评估级别来选择评估方法。
正式结项会议（Formal closing meeting）^[21]
- 对 TISAX 评估进行总结。
- 认证机构介绍评估发现。
- 认证机构宣布评估结果。
- 会议无需以面对面形式进行。
- 是所有评估后期组织安排事宜的“指挥图”。

在“结项会议”之后，认证机构会准备好更新后的“TISAX 评估报告”（草稿版）并发送给您。如果您认为，认证机构在某些事项上存在误解，则您可以提出异议。^[22]之后，认证机构将签发最终版的“TISAX 评估报告”。

以上所有要素将在下文章节中进行阐述。

5.4.5. 关于符合性

在继续讲述 TISAX 评估流程之前，我们想为您解释一个重要概念，它对于理解接下来章节的内容至关重要。

TISAX 评估的目的，是确定您的信息安全管理体系是否符合特定的要求。认证机构将检查您的信息安全管理体系，看其是否“符合”（ “conforms”）相关的要求。

第一步：针对每一项适用要求进行检查。

如果您的体系方法“符合”所有要求，那么您便可以通过评估，并获得与您的评估对象相匹配的 TISAX 标签。

以下各项（完全或较好符合要求）被称作“评估发现”（ finding）。TISAX 共有四种类型的评估发现：

表格 11. 四种类型的评估发现
序号	类型	定义	反应	示例
1.	重大不符合项（ Major non-conformity）	重大不符合项：对您的信息安全构成重大直接风险或者给信息安全管理体系的整体有效性造成疑虑	您必须：立即处理重大不符合项，并采取适当的整改措施及时采取纠正行动，不得延误	系统性不符合项给保密信息安全造成重大风险的实施缺陷未采取适当纠正行动的实施缺陷
2.	轻微不符合项（ Minor non-conformity）	轻微不符合项：不会对您的信息安全构成重大直接风险并且不会给您信息安全管理体系的整体有效性造成疑虑	您必须：及时采取纠正行动，不得延误	孤立的、偶尔出现的错误在实施要求或您的政策方面的不合规或缺陷
3.	观察意见（ Observation）	观察意见是指有违您自身的政策要求，不会立即对您的信息安全造成风险，但将来可能会造成风险的不符合项。	您必须：认真调查、监控和评估可能的风险确定如何处理观察意见	不适用
4.	改进建议（ Room for improvement）	这是指不属于上述类型的偏差，虽然不会对信息安全造成风险，但有明显改进空间。	您可以决定是否要处理或如何处理这类评估发现。	不适用

第二步：将前述“对照要求”步骤的所有评估结果纳入整体评估结果。

整体评估结果有以下几种情形：

符合（ Conform）
整体评估结果为“符合”，即满足所有要求。
轻微不符合（ Minor non-conform）
针对某项要求，如果您至少有一处“轻微不符合项”，则整体评估结果为“轻微不符合”。
重大不符合（ Major non-conform）
针对某项要求，如果您至少有一处“重大不符合项”，则整体评估结果为“重大不符合”。
（如果没有相应的纠正行动计划，每一个“轻微不符合项”都会导致整体评估结果成为“重大不符合”。）

如果您的整体评估结果为：

“轻微不符合”，那么您可以获得 TISAX 临时标签，直到所有的轻微不符合问题得到解决为止。
“重大不符合”，那么您只有在解决了有关问题之后，才能获得 TISAX 标签。
如果有合适的、经过认证机构批准的整改措施和纠正行动计划，则您有可能将整体评估结果从“重大不符合”改为“轻微不符合”，因而获得 TISAX 临时标签。

您需要明白的是，在整个 TISAX 评估流程期间，您的整体评估结果是可以改进的。

简单举例说明：在初始评估之后，您获得“重大不符合”这一整体评估结果。之后，您采取措施缓解了有关风险。这一行动会将您的整体评估结果由“重大不符合”提升至“轻微不符合”，在彻底消除风险后，您的整体评估结果将变成“符合”。

相关内容将在下文中作详细阐述。有关 TISAX 标签的更多信息，请参考下文章节 5.4.14, “TISAX 标签”。

5.4.6. TISAX 评估流程准备工作

认证机构将基于您的自我评估结果来相应准备评估工作。因此，建议您提前将自我评估结果提供给认证机构。相应的文件交付截止日期可在启动会议上进行商议。

认证机构在做好充分准备的情况下，可有助于减少评估所需要的时间。除了自我评估文件以外，认证机构在开始评估之前，还会要求您提供其他相关文件，比如您在自我评估中引用的文件，以及认证机构认为相关的其他文件。

基于这些信息，认证机构将相应制定评估程序计划。

5.4.7. 初始评估

这是首项 TISAX 评估，它标志着 TISAX 评估流程正式开始。

Important

重要提示：

“初始评估”标志着两个重要时间段的开始：

TISAX 标签的最长有效期为三年。
您最多有九个月的时间来解决不符合项。如果您未能在此期限内解决所有不符合项，则无法获得 TISAX 标签。如果您错过了这一截止期限，可以直接继续开展新的初始评估。

这两个期间都从初始评估的结项会议当天开始计算。

注意事项	请注意：除上述两个期间之外，没有其他时间限制。例如，无论是完成在线注册流程、联系我们的认证机构，甚至是召开启动会议，都不会触发其他截止期限。截止期限只取决于您开始初始评估的时间。

5.4.7.1. 首次正式立项会议

与所有 TISAX 评估一样，初始评估开始的标志是召开正式立项会议。正式立项会议通常以电话或视频会议的形式进行。对于小公司，尤其是有其他审计经验的公司，此过程通常不会花费太长时间。

会议的目的是：

检查评估前提条件
介绍评估项目负责人以及评估团队
制定评估计划

5.4.7.2. 评估程序

认证机构将依据准备工作计划，来相应执行初始评估。具体评估过程将视您的评估对象而定。评估形式主要包括电话会议、现场约谈以及现场检查，其所涉及的评估深度各不相同。^[23]

在初始评估期间，认证机构将介绍所有的评估发现。

5.4.7.3. 结项会议

在结项会议上，认证机构将再次总结所有的评估发现。

5.4.7.4. TISAX 评估报告

在结项会议之后，认证机构会准备并向您发送“TISAX 评估报告”（草稿版）。如果您认为，认证机构在某些事项上存在误解，则您可以提出异议。^[24]之后，认证机构将签发“TISAX 评估报告”。

在此阶段，整体评估结果的状态有可能是：

符合，或者
重大不符合
如果“（轻微）不符合项”未得到处理，则会导致整体评估结果成为“重大不符合”。然而，若您相应制定了行动计划，并采取措施来纠正不符合项，那么您的整体评估结果可确保转为“轻微不符合”。
关于如何实现这一点，更多信息请见章节 5.4.9.4, “TISAX 临时标签”。

如果在初始评估阶段，您的整体评估结果就已经为“符合”，那么您可跳过其余评估环节，直接前往评估结果“交换”这一步。

如果您的整体评估结果为“重大不符合”，那么您接下来的任务便是相应制定计划，对照评估发现进行纠错整改，并消除认证机构所发现的漏洞。这项计划被正式称为“纠正行动计划”（ “corrective action plan”）。

注意事项	请注意：如若在评估开始之前，您注意到会造成不符合的情况，而且无法在评估之前解决问题，那么您可以体现规划纠正行动（包括实施日期），并在评估期间将其呈递给认证机构。从理论上来讲，这可能导致“轻微不符合”的整体评估结果。但这种情况非常罕见。

5.4.8. 纠正行动计划准备

您的“纠正行动计划”（ “corrective action plan”）将确定您如何相应制定计划，来针对初始评估发现中的问题进行整改。认证机构将对“纠正行动计划”的合适性进行评估（见以下章节）。

为创建“纠正行动计划”，您应当考虑下列要求：

评估发现
- 您需要说明纠行动对应的是哪项评估发现。
根本原因
- 您需要确定并说明评估发现的根本原因。
纠正行动
- 针对每一个不符合项，您需要制定一项或多项“纠正行动”，以确保能够采取措施来消除不符合项。
实施日期
- 您需要为每一项纠正行动确定一个实施日期。
- 具体实施期限应确保为全面落实措施留出充足的时间。
整改措施
- 对于所有带来重大风险的不符合项，您需要相应制定整改措施，来消除不符合项，直到纠正行动得到落实为止。
落实期限
- 对于所有落实期限超过三个月的纠正行动，您需要就该期限给出合理的解释。
- 对于所有落实期限超过六个月的纠正行动，您需要额外提供证据，来证明无法做到更快落实相关行动。
- 对于所有的纠正行动，其落实期限均不得超过九个月。

一旦您的纠正行动计划制定完毕，您便可请求执行“纠正行动计划评估”。

Important

重要提示：

我们建议尽早启动落实相关计划，而无需等待“纠正行动计划评估”的结果。
“纠正行动计划评估”通常在您将纠正行动计划提交给认证机构之后方开始执行。

注意事项	请注意： TISAX 只对纠正行动计划的内容有要求，对其形式并无要求。我们的大多数认证机构都提供纠正行动计划模板。

5.4.9. 纠正行动计划评估

“纠正行动计划评估”的目的，是证实您的“纠正行动计划”（如上所述）满足 TISAX 的有关要求。

您需要将“纠正行动计划”提交给认证机构，并由其根据相关要求（见下文）进行评估。如果您的计划符合要求，认证机构将签发更新后的“TISAX 评估报告”。

这项评估过程通常耗时不长，在大多数情况下，这将采用电话会议或网络会议的形式。有时甚至直接通过电子邮件完成。

5.4.9.1. 评估纠正行动计划的原因

开展“纠正行动计划评估”的原因有：

在以下环节后依然为“不符合”状态
- 初始评估
- 后续工作评估
- 范围扩展评估
或者一份已完成评估的“纠正行动计划”，但该计划不符合要求
纠正行动计划实施期限计算中依据的影响因素发生了变化

5.4.9.2. 与初始评估结合执行

“纠正行动计划评估”并非一定是一项独立进行的活动。在初始评估的结项会议上，您便已经可以选择展示您的“纠正行动计划”。在此情况下，认证机构可直接执行“纠正行动计划评估”。

如果您将“纠正行动计划评估”与初始评估结合执行，并且您的“纠正行动计划”符合要求，那么您可以与认证机构商议，无需再出具“初始评估报告”。反之，认证机构将着手准备“纠正行动计划评估报告”。该报告可让您直接获得 TISAX 临时标签。

5.4.9.3. 纠正行动计划要求

认证机构将参照以下要求来评估您的“纠正行动计划”：

措施合适
- 认证机构将根据纠正行动能否解决不符合项的根本原因来评估其合适性。
通过采取适当的整改措施，有效缓解了重大风险^[25]
落实期限合适
- 落实期限的起始日期为初始评估结项之日
所有落实期限均不长于：
- 三个月（无需给出理由）
- 六个月（无需给出理由和证明）
- 九个月

5.4.9.4. TISAX 临时标签

如果您的整体评估结果为“轻微不符合”，则可获得 TISAX 临时标签。

TISAX 临时标签的优点是，它通常被您的合作伙伴接受；但前提是，您之后会顺利获得 TISAX 正式标签。如果您急需向合作伙伴证明，您的信息安全管理体系运作符合要求，则该标签会对您有所帮助。

获得 TISAX 临时标签的前提条件是，已出具纠正行动计划评估报告，且整体评估结果为“轻微不符合”。

临时 TISAX 标签等同于永久 TISAX 标签。唯一的区别在于 TISAX 临时标签的有效期较短。

临时 TISAX 标签的最常有效期为初始评估结项会议后的九个月。临时 TISAX 标签的有效期由纠正行动的最长实施期限决定。

示例：

您只有一处不符合项。您必须进行政策审查。相关的实施期限为两个月。
然后，您的 TISAX 临时标签的有效期为两个月。
上述政策审查的结果是不符合。此外，您有一处不符合项，要求新建一堵外墙作为纠正行动。由于向市政府申请必要的批准需要一定时间，相关的实施期限为八个月。
然后，您的 TISAX 临时标签的有效期为八个月。

关于实施期限要求的更多信息，请参见章节 5.4.9.3, “纠正行动计划要求”

注意事项	请注意： “纠正行动计划评估”为可选项。在下列情形下，您可直接前往“后续工作评估”：您不需要 TISAX 临时标签您有信心，即使行动计划未经过认证机构批准，自己依然有能力落实相关的纠正行动

一旦所有纠正行动落实完毕，您便可请求执行“后续工作评估”。

5.4.10. 后续工作评估

“后续工作评估”的目的是，评估是否已顺利解决此前发现的不符合项。通常，在您确定已消除所有的不符合项之后，便可请求执行后续工作评估。

执行后续工作评估没有次数限制。评估期间，如果认证机构发现，现有的不符合项未得到解决，或者甚至出现了新的不符合项，那么您只需相应更新纠正行动计划，并重新开始这一部分的评估流程即可。

评估具体形式可以为面对面会议、电话或视频会议。

您的行动

认证机构的行动

开始

评估准备

由您触发

最长持续时间（九个月）的起始点

初始评估

初始评估报告

发现不符合项？

否

是

制定纠正行动计划

由您触发

开始/继续实施纠正行动

纠正行动计划评估

纠正行动计划评估报告

否（未完成或不合适）

纠正行动计划是否没有问题？

可获得 TISAX 临时标签