助您完成 TISAX 评估流程,并与合作伙伴共享评估结果
出版方
ENX Association
一家根据法国法律(1901 年)成立的协会。
注册地:Sous-préfecture de Boulogne-Billancourt,France;注册编号:w923004198
地址
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, France
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Germany
作者
Florian Gleich
联系方式
版本
日期: |
2023-12-07 |
版本: |
2.7 |
类别: |
Public |
ENX doc ID: |
602-CN |
版权声明
ENX Association 保留所有权利。
ENX、TISAX 及其徽标是 ENX Association 的注册商标。
所提及的第三方商标是其各自所有者的财产。
1. 总述
1.1. 用途
欢迎了解 TISAX(Trusted Information Security Assessment Exchange,即“可信信息安全评估交换”)认证体系。
您的某个合作伙伴可能要求您证明,您的信息安全管理体系符合“信息安全评估标准(ISA)”特定等级的要求,并且您亦希望了解如何达到这一要求。
本手册的目的,便是要帮助您满足合作伙伴的要求,甚至是在合作伙伴提出此类要求之前,即可做好万全的应对准备。
本手册介绍了您需要采取的相关步骤,来确保顺利完成 TISAX 评估流程,并与合作伙伴共享评估结果。
建立并维持一套“信息安全管理体系(ISMS)”本身已是一项繁杂的工作,而向您的合作伙伴证明,自己的信息安全管理体系能够胜任工作要求,更是繁上加繁。本手册并不会帮助您管理自己的信息安全体系,而是旨在尽可能减少相关的工作量,从而方便您向合作伙伴证明自己的工作成效。
1.2. 范围
本手册适用于您参与的所有 TISAX 流程。
它包含您需要了解的所有相关知识,来确保顺利完成 TISAX 评估流程。
本手册从评估的核心环节出发,针对如何满足信息安全要求,提出了相关建议。但是总的来说,它并不会具体告诉您应该如何去做,才能通过信息安全评估。
1.3. 受众
本手册的主要受众是,需要或希望证明自身的信息安全管理体系符合“信息安全评估标准(ISA)”特定等级要求的所有公司。
一旦您积极参与 TISAX 评估流程,您将从本手册提供的信息中受益。
而同时,要求供应商证明其信息安全管理体系符合特定等级要求的公司亦将从中受益。本手册有助于公司了解其供应商为了满足特定要求,需要具体做哪些工作。
1.5. 如何使用本文档
对于本文档中所述的大部分信息,您或许早晚有用上的一天。为了妥善准备有关工作,我们建议您通篇阅读本手册。
我们以 TISAX 评估流程三大主要步骤为线索,来编排本手册的章节结构,从而方便您查阅自己需要的章节内容,以及之后浏览其余内容。
本手册使用插图来帮助您理解,插图中的颜色通常具有特殊含义。因此,我们建议您通过电脑屏幕或彩印副本来阅读本文档。
我们重视您的反馈。如果您认为本手册中有内容缺失或难于理解之处,请立即联系我们。我们与本手册未来的广大读者一道,将感谢您所给出的反馈意见。
如果您使用过较早版本的《TISAX 参与者手册》,本手册末尾 章节 8, “文档历史” 中的备注可能会对您有所帮助。
1.6. 联系我们
我们的宗旨是指导您顺利完成 TISAX 评估流程,并为您解答可能遇到的任何问题。我们的联系方式如下:
电邮: |
|
电话: |
您可在德国正常营业时间(UTC+01:00)内联系我们。
我们所有人均提供 英语和 德语服务。一位同事可提供 意大利语母语服务。
请注意 章节 7.13, “附录:投诉管理”。
1.7. 《TISAX 参与者手册》其他语言版本和格式
《TISAX 参与者手册》已推出下列语言版本和格式:
语言 | 版本 | 格式 | 链接 |
---|---|---|---|
英语 |
2.7 |
联机 |
https://www.enx.com/handbook/tisax-participant-handbook.html |
脱机 |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
|||
德语 |
2.7 |
联机 |
|
脱机 |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
||
法语 |
2.7 |
联机 |
|
脱机 |
|||
中文 |
2.7 |
联机 |
|
脱机 |
|||
西班牙语 |
2.7 |
联机 |
|
脱机 |
|||
日语 |
2.7 |
联机 |
|
脱机 |
|||
巴西葡萄牙语 |
2.7 |
联机 |
|
脱机 |
|||
意大利语 |
2.7 |
联机 |
|
脱机 |
|||
韩国语 |
2.7 |
联机 |
|
脱机 |
|||
Important
|
重要提示: 英语版本为第一版本, |
1.7.1. 关于中文翻译
本《TISAX 参与者手册》是英文版本的译文。
所有 TISAX 相关文档(例如,所有合约以及针对 TISAX 认证机构的要求)均以英文起草,因此,您的合作伙伴或认证机构可能会使用某些英文 TISAX 术语。
为了便于您参照,我们在翻译版《TISAX 参与者手册》里采取了保留英文 TISAX 术语,或在翻译版后加括号标注等做法。
1.7.2. 关于联机格式
每一章节都有唯一的 ID 编号(格式为:ID1234)。
一个 ID 总是指代一个特定的章节,与语言版本无关。
如希望链接至某个章节,您可以:
-
右键单击章节标题并复制链接,或者
-
单击章节标题,并从浏览器地址栏中复制链接。
大多数插图的尺寸要大于此处的默认显示尺寸,单击插图后可使其放大显示。
1.7.3. 关于脱机格式
脱机格式保留了联机格式的大多数特性,其中一个最显著的特点是,插图嵌入在 HTML 文件中。您只需要一个文件,便可使用脱机格式。
与联机格式相比,脱机格式中:
-
图片无法放大显示
-
联机格式的原始字体不可用
您浏览器的默认设置将定义显示字体。
1.7.4. 关于 PDF 格式
如果在电脑上使用 PDF 格式,那么您仍然可以单击所有的引用链接。但是如果将 PDF 版本打印出来,由于没有页码等参照物,您需要自行查找链接内容的位置。
2. 简介
以下章节将介绍 TISAX 这一概念。
如果您时间紧迫,可跳过这部分内容,直接开始阅读,网址为 章节 4.3, “注册准备”。
2.1. 为什么选择 TISAX?
换句话说,您阅读本手册的目的是什么?
为了回答这个问题,我们首先大致思考一下商业交易的规则,尤其是涉及到信息保护这方面。
想象您有一个合作伙伴,他手握机密信息,并希望与供应商,也就是您进行共享。您与这名合作伙伴之间的合作可以创造价值,而该合作伙伴与您共享信息,则是价值创造中的一个重要环节。所以,他想要采取适当的保护措施,并希望您本人也以同样谨慎的态度来处理保密信息。
然而,他如何能保证可以放心地将自己的信息交于他人?他总不可能盲目地去“相信”您。作为合作伙伴,需要眼见为实,方可证明对方有这个能力。
那么问题来了,由谁来定义信息处理的“安全”标准?以及如何证明自己符合标准要求?
2.2. 谁来定义"安全"标准?
第一次面对此类问题的,并非只有您与您的合作伙伴,几乎所有人都得努力寻求答案,而大多数答案都具有相似性。
针对一个常见的问题,与其每次都从头开始研究解决方案,不如制定出一套应对标准,从而化繁为简。确定一套标准虽然工作量巨大,但确是一劳永逸、造福后来者之举。
诚然,就保护信息而言,何为正确手段,人们众说纷纭;然而,从上述造福后来者的角度出发,大多数公司都倾向于制定标准,因为标准本身便是由那些已被前人证明、历经时间考验,且针对特定挑战的最佳实践所凝聚而成的精华。
就您的情况而言,遵循并实施 ISO/IEC 27001(关于信息安全管理体系,简称“ISMS”)等标准,将有助于建立最先进的防护体系,从而确保以安全的方式来处理保密信息。此类标准可为您省去许多不必要的重复性工作,更重要的是,有了标准后,当两家公司需要彼此交换保密信息时,便可在同等基础上开展这一工作。
2.3. 汽车业内标准的由来
从性质上来看,非行业标准更像是“一刀切”式的解决方案,无法满足汽车公司的特殊需求。
很久以前,汽车行业内部便成立了很多协会,它们的主要目标是,针对自身特殊需求,精准制定并优化相关标准。“德国汽车工业协会(VDA)”便是其中之一。当时,汽车行业的数位成员建立了信息安全工作小组,并最终一致认为,由于彼此间需求相似,因而有必要对现有的信息安全管理标准进行量身调整。
在各方的共同努力下,一份调查问卷应运而生,其中涵盖了汽车行业内普遍接受的信息安全要求,而该问卷便是“信息安全评估标准(ISA)”。
随着 ISA 面世,“谁来定义‘安全’标准?”这个问题也随之有了答案:由 VDA 来定,也就是说,由汽车行业自己来向其成员提供这一问题的答案。
2.4. 如何以高效的方式证明符合安全标准?
有些公司仅在内部使用 ISA,而有些公司则利用 ISA 来对其供应商的信息安全管理体系成熟度进行评估。一般情况下,为建立业务关系,进行自我评估便足矣;然而,在某些情况下,公司会对其供应商的信息安全管理体系进行全面评估(包括现场审计)。
随着人们对信息安全管理需求意识的普遍提高,以及 ISA 作为信息安全评估工具得到广泛应用,越来越多的供应商正面临着来自不同合作伙伴的类似要求。
但是,这些合作伙伴采用的标准依然各不相同,对于如何解释标准也是说法不一。而供应商需要证明的事情则基本上是一样的,只是途径有别而已。
所以,一方面是合作伙伴不断督促供应商证明自己的信息安全管理体系符合特定等级要求,而另一方面,是供应商面对无休止的重复性劳动而怨声载道。毕竟,不停地给一个又一个审计人员展示相同的信息安全管理措施,绝非是高效的工作方式。
那么,该如何提高这一步骤的效率?如果一名审计人员的报告可以被不同的合作伙伴重复使用,是否会有助于改善情况?
负责 ISA 维护的 ENX 工作小组中的 OEM(原始设备制造商)与供应商在听取了各家供应商的不满和抱怨后,现在,针对“如何证明符合安全标准?”这个问题,为汽车行业的广大供应商及相关企业给出了如下答案。
这个答案便是 TISAX,全称为 “Trusted Information Security Assessment Exchange”(可信信息安全评估交换)。
3. TISAX 流程
3.1. 总述
TISAX 流程启动的标志通常[1]是,您的某个合作伙伴要求您证明,自己的信息安全管理体系符合“信息安全评估标准(ISA)”特定等级的要求。为了满足该要求,您需要完成 TISAX 流程三大步骤。本章将为您简要介绍这些步骤。
TISAX 流程三大步骤包括:
第 1 步 |
|
第 2 步 |
|
第 3 步 |
每一步都包含若干子步骤,这些内容将在以下篇幅中分成三节进行讲解,每一节均详细描述其中一个步骤。
注意事项
|
请注意: 虽然我们很想告诉您,多久以后可以拿到 TISAX 评估结果,但我们自己亦无法做出准确预测,因此,恳请您理解。TISAX 流程的总体耗时取决于许许多多的因素:由于公司规模、评估对象,外加信息安全管理体系的建立情况等千差万别,因而无法预测所需时间。 |
3.2. 注册
注册是参与 TISAX 评估的第一步。
TISAX 注册的主要目的,是采集关于您公司的信息。我们使用在线注册流程,来帮助您向我们提供该信息。
注册是所有后续步骤的先决条件,并需要缴纳费用。
在线注册过程中:
-
我们会要求您提供联系方式与地址信息。
-
您须接受我们的条款和条件。
-
您可以自定义信息安全评估的范围。
若要直接开始该步骤,请参见 章节 4, “注册(第 一步)”。
在线注册流程详见 章节 4.5, “在线注册流程”。 若想即刻开始,请前往 enx.com/en-US/TISAX/.
3.3. 评估
第二步是完成信息安全评估。
其中,包含四个子步骤:
-
评估准备
您需要针对评估工作进行准备,其程度视您的信息安全管理体系目前的成熟度而定。准备工作应基于 ISA 目录进行。 -
选择认证机构
您必须从我们的 TISAX 认证机构中选择一家。 -
信息安全评估
您选定的认证机构将从满足合作伙伴的要求出发,依照评估范围来相应开展评估工作。评估流程将包括预审计这一基本步骤。
如果您的公司未能立即通过评估,则评估流程可能需要增加额外的步骤。 -
评估结果
一旦您的公司通过评估,您的认证机构将向您提供正式的 TISAX 评估报告。您的评估结果亦将印上“TISAX 标签”。[2]
有关该步骤的更多信息,请参见 章节 5, “评估(第 二步)”。
3.4. 交换
第三步,也就是最后一步,是与您的合作伙伴共享自己的评估结果。TISAX 评估报告的内容按照等级进行划分,您可自行决定合作伙伴有权查看哪一级别的内容。
评估结果的有效期为三年,假设届时您仍是合作伙伴的供应商,那么您需要再次完成上述三大步骤。[3]
有关该步骤的更多信息,请参见 章节 6, “交换(第 三步)”。
至此,您已基本了解什么是 TISAX 流程;在后续章节中,您将进一步了解如何完成各个步骤。
4. 注册(第 一步)
阅读“注册”章节预计需要 30-40 分钟。
4.2. 您的 TISAX 参与者身份
首先,我们为您介绍一个有必要理解的新术语。到目前为止,您的身份一直是“供应商”,阅读本手册的目的,是为了满足您的“客户”所提出的要求。然而,TISAX 本身并不区分这两种角色。对于 TISAX 而言,每一位注册人员都是“参与者”,也就是说,您与合作伙伴“参与”了信息安全评估结果的交换过程。
您的公司 |
|
TISAX 注册 |
|
TISAX 参与者 |
为了从一开始便区分这两个角色,我们将您(供应商)称作“主动参与者(active participant)”,将您的合作伙伴称作“被动参与者(passive participant)”。作为“主动参与者”,您接受 TISAX 评估,并与其他参与者共享自己的评估结果。“被动参与者”是要求您接受 TISAX 评估的人,也是您的评估结果的接收人。
1 要求对方接受评估 |
|
被动参与者 |
|
主动参与者 |
|
2 接受 TISAX 评估 |
|
3 与对方共享评估结果 |
每一家公司都可以扮演两种角色:您可能在与合作伙伴共享评估结果的同时,也要求自己的供应商接受 TISAX 评估。
您的客户 |
|
您与客户共享结果 |
|
主动参与者 |
|
您 |
|
被动参与者 |
|
与您共享结果 |
|
您的供应商 |
如果您自己的供应商亦会接触您合作伙伴有保护需求的信息,那么强烈建议其也接受 TISAX 评估。
4.3. 注册准备
在本节中,我们将就如何针对注册流程进行准备,来为您提供相关建议。更多关于注册流程本身的信息,请参见 章节 4.5, “在线注册流程”。
在开始在线注册之前,我们强烈建议您:
-
提前收集信息
-
针对某些事宜作出决定。
4.3.1. 法律基础
一般来说,您需要签订两份合约,第一份合约的签订人是您与 ENX 协会:即“ TISAX 参与一般条款和条件”(TISAX 参与者 GTC);第二份合约的签订人是您与一家由我方指定的 TISAX 认证机构。注册流程仅会用到第一份合约。
“TISAX 参与者 GTC”确立了我们相互间的关系,以及您与其他 TISAX 参与者之间的关系,并规定了所有各方的权利和义务。除了大多数合同中常见的条款外,该合约还详细规定了在 TISAX 流程期间,交换和获得的信息如何进行处理。这些规定的一个关键目的,是确保 TISAX 评估结果保密。由于所有 TISAX 参与者都受相同规则的制约,因而您可以期待,您的合作伙伴(以“被动参与者”的身份)亦会为您的 TISAX 评估结果提供适当的保护。
我们将于在线注册流程开始时,便要求您接受“TISAX 参与者 GTC”。由于这是一份真正意义上的合同,我们因此建议您在开始在线注册流程之前,首先认真阅读“TISAX 参与者 GTC”。其中一个原因是,您可能需要从公司内部或外部律师那里获得许可函,这取决于您在公司里的角色。
您可登录我们的网站,下载“TISAX 参与一般条款和条件”:[4]
enx.com/en-US/TISAX/downloads/
下载 PDF:
enx.com/tisaxgtcen.pdf
在线注册过程中,我们将要求您选中两个复选框(必选):
-
❏ We accept the TISAX Participation General Terms and Conditions ( 我方接受“TISAX 参与一般条款和条件”)
-
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; ( 我方确认已知晓,根据“TISAX 参与一般条款和条件”IX.5 和 X.3 部分有关规定,申请者将解除针对认证机构的职业保密义务;)
我们设置第二个复选框的原因是,我方的 TISAX 认证机构中,有些是由注册会计师组成,他们对职业保密有特殊的要求。通常,关于职业保密的特殊要求禁止我方认证机构的注册会计师与我方共享信息。特别是,这将取消我们担当治理角色所需的控制选项。因此,我们需要这一豁免。在选中此框之前,您可能需要仔细了解相关条款。
如果您通常要求与处理保密信息的一方之间签订保密协议(NDA),则请查看我们 GTC 的有关章节,其中的内容应该能够解答您的疑惑。此外,您通常无需向我们提供任何保密信息。
最后,我们希望您理解,整个体系本身的基础是“人人接受相同规则的约束”,因此,我们不会接受其他任何一般性条款和条件。[5]
4.3.2. TISAX 评估范围
在 TISAX 流程的第二步中,我方的一家 TISAX 认证机构将执行信息安全评估工作,他需要知道从哪里开始以及在哪里结束。这就是为什么您需要指定一个“评估范围”。
“评估范围”描述的是信息安全评估工作的范围,简单来说,在您的公司里,只要涉及到处理合作伙伴保密信息的环节,则均属于评估范围。您可以将其视为认证机构的主要任务描述,它规定了认证机构需要评估的内容。
评估范围之所以重要,有两个原因:
-
对于您公司里负责处理合作伙伴信息的各个环节,只有当相应的评估范围涵盖所有此类环节时,评估结果才能够满足合作伙伴的要求。
-
对于我方的 TISAX 认证机构,精确定义评估范围是合理计算成本的必要前提条件。
Important
|
重要提示: ISO/IEC 27001 与 TISAX 的比较 首先,我们必须区分两种类型的范围: 对于 ISO/IEC 27001 认证,您需要(在“范围声明”中)定义 ISMS 的范围。您可以完全自由地定义 ISMS 的范围。但评估的范围(也称为“认证范围”)必须与您 ISMS 的范围一致。 对于 TISAX,您还必须定义 ISMS。但评估的范围可以有所不同。 对于 ISO/IEC 27001 认证,您可以通过定义 ISMS 范围的方式自由确定评估范围。 相比之下,TISAX 的评估范围是预先确定的。 评估范围可以比 ISMS 的范围小,但必须在 ISMS 的范围之内。 |
4.3.2.1. 范围描述
范围描述规定了评估工作的范围。您需要从以下两种范围类型中选择一种:
-
Standard scope ( 标准范围)
-
Custom scope ( 自定义范围)
-
Custom extended scope ( 自定义扩展范围)
-
Full custom scope ( 完全自定义的范围)
-
我们将在下一节讨论标准范围。对于 99% 以上的参与者,标准范围就是正确之选。因此,我们只在章节 7.8, “附录:自定义范围” 中讨论自定义范围。
4.3.2.2. 标准范围
标准范围是开展 TISAX 评估的基础,其他 TISAX 参与者也仅接受基于标准范围描述的评估结果。
标准范围是预先定义好的,无法更改。
使用标准范围的好处是,您无需自己定义范围。
这是标准范围说明(2.0 版):
|
|
The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations. The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment. |
TISAX 评估范围定义了评估的适用范围。评估包括被评估组织责任范围内所有符合此条件的流程、程序和资源:与所列地点的保护对象及其保护目标(定义见所列评估对象)的安全性相关。 至少要对所列评估对象中的最高评估级别执行评估。所列评估对象中列出的所有评估标准均适用于评估。 |
我们强烈建议选择标准范围,因为所有 TISAX 参与者都接受基于标准范围作出的信息安全评估结果。
4.3.2.3. 范围界定
在确定了范围类型后,下一个任务便是决定哪些公司地点属于评估范围。
如果您的公司规模不大(仅一处地点),那便好办,您只需将公司地点添加到评估范围即可。
如果您的公司规模较大,可以考虑注册一个以上的评估范围。
您可以注册一个囊括所有公司地点的单一范围,这样做的好处是:
-
评估报告、评估结果及其有效期的数量都只有一个(份)。
-
评估费用更低,因为 TISAX 认证机构只会一次性评估您的核心流程、程序和相关资源。
然而,单一范围也有缺点,比如:
-
所有地点的评估对象必须相同。
-
只有在 TISAX 认证机构对所有地点完成评估后,才会出具评估结果。如果您急需评估结果,那么这一点就比较麻烦。
-
最终评估结果的好坏,取决于是否所有地点均通过了评估。即便只有一个地点未能通过评估,也会影响到整体评估结果。解决方法是:a) 从范围中移除该地点;b) 解决问题;c) 之后利用“范围扩展评估”来添加该地点.
4.3.2.4. 范围调整
是选择一个范围还是选择多个范围,这个问题只能留给您自己。然而,通过回答下图中的问题,可有助于您做出决定。
开始 |
|
第一步:您是否需要对一个以上的地点进行评估? |
|
第二步:您是否有足够的时间去准备所有地点的评估工作? |
|
第三步:是否所有地点都有统一的 ISMS 体系(例如在职责、基础设施、政策和流程方面)? |
|
第四步:所有场地是否有相同的评估对象 - 例如,“原型车辆或信息(保护需求极高)的保护”? |
|
结束:注册评估范围 |
|
将各个地点拆分开。 |
|
否 |
|
是 |
注意事项
|
请注意: 面对这一决策过程,您无需胆怯。只要认证机构还未最终完成评估,您便可随时更改评估范围。 例如,在评估准备过程中,您可能会发现评估范围并不合适,因而相应做出调整。或者,您的认证机构可能会建议您,在评估早期阶段就变更范围。 补充说明:
|
4.3.2.5. 范围地点信息
现在,您已经确定哪些地点属于评估范围,接下来,您可以着手收集与地点相关的信息。
对于每一处地点,我们都要求提供相应的信息,如公司名称和地址。另外,我们还需要您提供一些附加信息,以便我方的 TISAX 认证机构能够更好地了解您公司的结构。您提供的信息将是其开展评估工作的基础。
针对您公司的各个地点,请准备好提供以下信息(红色星号 *表示在线流程中的必填信息):
字段 | 选择项 |
---|---|
地点名称 * |
不适用 |
不适用 |
|
地点类型 * |
公司自有建筑(仅由公司使用) |
被动场地保护 * |
是 |
行业 |
信息技术
|
管理
|
|
媒体
|
|
研发
|
|
生产
|
|
销售及售后
|
|
其他行业 |
|
地点雇用员工数:总计 * |
0 |
地点雇用员工数:IT * |
0 |
地点雇用员工数:IT 安全 * |
0 |
地点雇用员工数:地点安全 * |
0 |
该地点所获认证 |
ISO 27001 |
注意事项
|
请注意: 关于“行业”:请尽量根据您的了解来选择。以上选项无对错之分,如果找不到与您的业务类型相匹配的选项,您只需在“其他”中输入相应的选项。 |
对于每个地点,您必须指定一个“location name”(“地点名称”)。地点名称的作用是,在将地点分配给评估范围时,更容易对其进行引用。
我们建议,根据以下格式来指定地点名称:
格式: |
[地理位置引用] |
示例: |
针对虚构公司“ACME”
|
4.3.2.6. 范围名称
对于每个范围,您必须指定一个“scope name”(“范围名称”)。范围名称的主要目的是,方便您在 ENX 门户的范围概览列表中辨别范围。您应指定一个对读者和同事都有帮助的名称。在对外通信时,应使用范围 ID。
您可以指定任意范围名称,但不要为一个以上的范围分配相同的范围名称。
如果以后想要更新 TISAX 评估,您到时要创建一个新范围(可能与当前范围完全相同)。因此,我们建议将评估年份添加到范围名称中。
我们建议,根据以下格式来分配范围名称:
格式: |
[地理位置或功能信息引用] [评估年份] |
示例: |
针对虚构公司“ACME”
|
4.3.2.7. 联系人
为了与您保持沟通,我们会收集您公司的联系人信息。
我们通常要求您公司至少要指定一名联系人来作为 TISAX 参与者,并为每一个评估范围相应指定一名联系人。另外,您还可以添加其他联系人。
在注册准备期间,您应当决定自己公司的联系人人选。
我们需要以下联系人信息:
联系人信息 | 是否必须填写? | 示例 | |
---|---|---|---|
1. |
称呼 |
是 |
女士、先生 |
2. |
学位 |
Dr.、Ph.D. 或其他 |
|
3. |
名 |
是 |
John |
4. |
姓 |
是 |
Doe |
5. |
职位 |
是 |
IT 主管 |
6. |
部门 |
是 |
信息技术 |
7. |
常用联系电话 |
是 |
+49 69 986692777 |
8. |
备用联系电话 |
||
9. |
电子邮件 |
是 |
john.doe@acme.com |
10. |
首选交流语言 |
是 |
英语(默认) |
11. |
其他交流语言 |
德语、法语 |
|
12. |
个人地址标识符 |
HPC 1234 |
|
13. |
街道地址 |
是 |
Bockenheimer Landstraße 97-99 |
14. |
邮编 |
是 |
60325 |
15. |
城市 |
是 |
法兰克福 |
16. |
州/省份 |
||
17. |
国家 |
是 |
德国 |
Important
|
重要提示: |
4.3.2.8. 发布与共享
TISAX 的主要目的,是向其他 TISAX 参与者发布您的评估结果,并与您的合作伙伴共享评估结果。
您可在注册过程中或以后的任何时候决定是否发布和共享您的评估结果。
如果您想从“占据先手”这一角度出发来参与 TISAX 流程,那么您已经可以决定将评估结果向其他 TISAX 参与者发布。否则,您无需针对该阶段进行准备。
如果您的合作伙伴要求您完成 TISAX 评估流程,那么,您迟早要共享评估结果。在注册期间,您已经可以与合作伙伴共享状态信息。一旦您拿到了评估结果,合作伙伴将自动拥有访问权限。[6]
若要共享状态信息,您需要两项信息:
-
合作伙伴的 TISAX 参与者 ID
TISAX 参与者 ID 是合作伙伴作为 TISAX 参与者的一个标识。
通常,您的合作伙伴应向您提供其 TISAX 参与者 ID。
为了便于您查找,我们的注册表单为一些经常接收共享评估结果的公司提供一份“参与者 ID”下拉列表。[7]
-
所需共享级别
共享级别规定了您的合作伙伴可以访问哪个层次的评估结果信息。
您的合作伙伴可以请求获取某个共享级别,您自己亦可以决定为合作伙伴授予何种级别的访问权限。
有关共享级别的详细信息,请参阅 章节 6.5, “共享级别”。
因此,您可能希望确保自己已掌握上述信息。
注意事项
|
请注意:
|
Important
|
重要提示: 如果您不发布或不共享评估结果,则他人将无法看到。 |
Important
|
重要提示: 发布或共享操作无法撤销。 更多信息,请参阅 章节 6.4, “交换结果操作的不可逆性”。 |
注意事项
|
请注意: 虽然听起来有几分奇怪,但实际上,即使您尚未开始评估程序,您也可以分享“评估结果”。在这个早期阶段,您分享的只是“评估状态”。与您共享“评估结果”的学员将看到您在评估过程中的状态。 如您必须展示 TISAX 标签,但尚未完成评估程序,则对于部分 TISAX 参与者来说,必须签发特别豁免单。在这种情况下,您的合作伙伴可能需要在其 ENX 门户帐户中查看您的“评估状态”。 若要进一步了解“评估状态”,请参见 章节 7.6, “附录:Assessment status( 评估状态)”。 |
有关发布和共享评估结果的详细信息,请参阅 章节 6, “交换(第 三步)”。
4.3.3. 评估对象
注册过程期间,您需要定义评估对象。评估对象 ( assessment objective) 决定了信息安全管理系统 (ISMS) 必须满足的适用要求。评估对象的确定,完全是基于您代表合作伙伴参与处理的数据类型。
在以下章节中,我们将描述评估对象,并就如何选择正确的评估对象提供建议。
由于评估对象代表了已定义好的 TISAX 评估流程输入,因此,在与合作伙伴以及我们的 TISAX 认证机构进行有关 TISAX 的沟通时,使用评估对象会有利于开展相关工作。
注意事项
|
请注意: 某些合作伙伴可能会要求您接受 TISAX 特定“评估级别(Assessment Level,简称 AL)”的评估,而不会指定评估对象。 有关评估级别的更多信息,请参阅 章节 4.3.3.5, “保护需求与评估级别”(子章节“其他信息”)。 |
4.3.3.1. 评估对象列表
目前有十二项 TISAX 评估对象。您需要选择至少一个评估对象,也可以选择多个。
请将评估对象视为对您的信息安全管理体系进行评估的基准,因为评估对象是 TISAX 流程的关键输入。所有 TISAX 认证机构的评估策略都主要基于评估对象。
目前,TISAX 评估对象如下所示:
序号 | 名称 | 描述 |
---|---|---|
1. |
Info high |
Handling of information with high protection needs |
2. |
Info very high |
Handling of information with very high protection needs |
3. |
Confidential |
Handling of information with high protection needs in the context of confidentiality (access to confidential information) |
4. |
Strictly confidential |
Handling of information with very high protection needs in the context of confidentiality (access to strictly confidential information) |
5. |
High availability |
Handling of information with high protection needs in the context of availability (high availability of information) |
6. |
Very high availability |
Handling of information with very high protection needs in the context of availability (very high availability of information) |
7. |
Proto parts |
Protection of Prototype Parts and Components |
8. |
Proto vehicles |
Protection of Prototype Vehicles |
9. |
Test vehicles |
Handling of Test Vehicles |
10. |
Proto events |
Protection of Prototypes during Events and Film or Photo Shoots |
11. |
Data |
Data protection according to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR) |
12. |