助您完成 TISAX 评估流程,并与合作伙伴共享评估结果
出版方
ENX Association
一家根据法国法律(1901 年)成立的协会。
注册地:Sous-préfecture de Boulogne-Billancourt,France;注册编号:w923004198
地址
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, France
Bockenheimer Landstraße 97-99, 60325 Frankfurt am Main, Germany
作者
Florian Gleich
联系方式
版本
日期: |
2023-12-07 |
版本: |
2.7 |
类别: |
Public |
ENX doc ID: |
602-CN |
版权声明
ENX Association 保留所有权利。
ENX、TISAX 及其徽标是 ENX Association 的注册商标。
所提及的第三方商标是其各自所有者的财产。
1. 总述
1.1. 用途
欢迎了解 TISAX(Trusted Information Security Assessment Exchange,即“可信信息安全评估交换”)认证体系。
您的某个合作伙伴可能要求您证明,您的信息安全管理体系符合“信息安全评估标准(ISA)”特定等级的要求,并且您亦希望了解如何达到这一要求。
本手册的目的,便是要帮助您满足合作伙伴的要求,甚至是在合作伙伴提出此类要求之前,即可做好万全的应对准备。
本手册介绍了您需要采取的相关步骤,来确保顺利完成 TISAX 评估流程,并与合作伙伴共享评估结果。
建立并维持一套“信息安全管理体系(ISMS)”本身已是一项繁杂的工作,而向您的合作伙伴证明,自己的信息安全管理体系能够胜任工作要求,更是繁上加繁。本手册并不会帮助您管理自己的信息安全体系,而是旨在尽可能减少相关的工作量,从而方便您向合作伙伴证明自己的工作成效。
1.2. 范围
本手册适用于您参与的所有 TISAX 流程。
它包含您需要了解的所有相关知识,来确保顺利完成 TISAX 评估流程。
本手册从评估的核心环节出发,针对如何满足信息安全要求,提出了相关建议。但是总的来说,它并不会具体告诉您应该如何去做,才能通过信息安全评估。
1.3. 受众
本手册的主要受众是,需要或希望证明自身的信息安全管理体系符合“信息安全评估标准(ISA)”特定等级要求的所有公司。
一旦您积极参与 TISAX 评估流程,您将从本手册提供的信息中受益。
而同时,要求供应商证明其信息安全管理体系符合特定等级要求的公司亦将从中受益。本手册有助于公司了解其供应商为了满足特定要求,需要具体做哪些工作。
1.5. 如何使用本文档
对于本文档中所述的大部分信息,您或许早晚有用上的一天。为了妥善准备有关工作,我们建议您通篇阅读本手册。
我们以 TISAX 评估流程三大主要步骤为线索,来编排本手册的章节结构,从而方便您查阅自己需要的章节内容,以及之后浏览其余内容。
本手册使用插图来帮助您理解,插图中的颜色通常具有特殊含义。因此,我们建议您通过电脑屏幕或彩印副本来阅读本文档。
我们重视您的反馈。如果您认为本手册中有内容缺失或难于理解之处,请立即联系我们。我们与本手册未来的广大读者一道,将感谢您所给出的反馈意见。
如果您使用过较早版本的《TISAX 参与者手册》,本手册末尾 章节 8, “文档历史” 中的备注可能会对您有所帮助。
1.6. 联系我们
我们的宗旨是指导您顺利完成 TISAX 评估流程,并为您解答可能遇到的任何问题。我们的联系方式如下:
电邮: |
|
电话: |
您可在德国正常营业时间(UTC+01:00)内联系我们。
我们所有人均提供 
英语和 
德语服务。一位同事可提供 
意大利语母语服务。
请注意 章节 7.13, “附录:投诉管理”。
1.7. 《TISAX 参与者手册》其他语言版本和格式
《TISAX 参与者手册》已推出下列语言版本和格式:
| 语言 | 版本 | 格式 | 链接 |
|---|---|---|---|
|
2.7 |
联机 |
https://www.enx.com/handbook/tisax-participant-handbook.html |
脱机 |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
|||
|
2.7 |
联机 |
|
脱机 |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
||
|
2.7 |
联机 |
|
脱机 |
|||
|
2.7 |
联机 |
|
脱机 |
|||
|
2.7 |
联机 |
|
脱机 |
|||
|
2.7 |
联机 |
|
脱机 |
|||
|
2.7 |
联机 |
|
脱机 |
|||
|
2.7 |
联机 |
|
脱机 |
|||
|
2.7 |
联机 |
|
脱机 |
|||
 |
重要提示: 英语版本为第一版本, |
1.7.1. 关于中文翻译
本《TISAX 参与者手册》是英文版本的译文。
所有 TISAX 相关文档(例如,所有合约以及针对 TISAX 认证机构的要求)均以英文起草,因此,您的合作伙伴或认证机构可能会使用某些英文 TISAX 术语。
为了便于您参照,我们在翻译版《TISAX 参与者手册》里采取了保留英文 TISAX 术语,或在翻译版后加括号标注等做法。
1.7.2. 关于联机格式
每一章节都有唯一的 ID 编号(格式为:ID1234)。
一个 ID 总是指代一个特定的章节,与语言版本无关。
如希望链接至某个章节,您可以:
-
右键单击章节标题并复制链接,或者
-
单击章节标题,并从浏览器地址栏中复制链接。
大多数插图的尺寸要大于此处的默认显示尺寸,单击插图后可使其放大显示。
1.7.3. 关于脱机格式
脱机格式保留了联机格式的大多数特性,其中一个最显著的特点是,插图嵌入在 HTML 文件中。您只需要一个文件,便可使用脱机格式。
与联机格式相比,脱机格式中:
-
图片无法放大显示
-
联机格式的原始字体不可用
您浏览器的默认设置将定义显示字体。
1.7.4. 关于 PDF 格式
如果在电脑上使用 PDF 格式,那么您仍然可以单击所有的引用链接。但是如果将 PDF 版本打印出来,由于没有页码等参照物,您需要自行查找链接内容的位置。
2. 简介
以下章节将介绍 TISAX 这一概念。
如果您时间紧迫,可跳过这部分内容,直接开始阅读,网址为 章节 4.3, “注册准备”。
2.1. 为什么选择 TISAX?
换句话说,您阅读本手册的目的是什么?
为了回答这个问题,我们首先大致思考一下商业交易的规则,尤其是涉及到信息保护这方面。
想象您有一个合作伙伴,他手握机密信息,并希望与供应商,也就是您进行共享。您与这名合作伙伴之间的合作可以创造价值,而该合作伙伴与您共享信息,则是价值创造中的一个重要环节。所以,他想要采取适当的保护措施,并希望您本人也以同样谨慎的态度来处理保密信息。
然而,他如何能保证可以放心地将自己的信息交于他人?他总不可能盲目地去“相信”您。作为合作伙伴,需要眼见为实,方可证明对方有这个能力。
那么问题来了,由谁来定义信息处理的“安全”标准?以及如何证明自己符合标准要求?
2.2. 谁来定义"安全"标准?
第一次面对此类问题的,并非只有您与您的合作伙伴,几乎所有人都得努力寻求答案,而大多数答案都具有相似性。
针对一个常见的问题,与其每次都从头开始研究解决方案,不如制定出一套应对标准,从而化繁为简。确定一套标准虽然工作量巨大,但确是一劳永逸、造福后来者之举。
诚然,就保护信息而言,何为正确手段,人们众说纷纭;然而,从上述造福后来者的角度出发,大多数公司都倾向于制定标准,因为标准本身便是由那些已被前人证明、历经时间考验,且针对特定挑战的最佳实践所凝聚而成的精华。
就您的情况而言,遵循并实施 ISO/IEC 27001(关于信息安全管理体系,简称“ISMS”)等标准,将有助于建立最先进的防护体系,从而确保以安全的方式来处理保密信息。此类标准可为您省去许多不必要的重复性工作,更重要的是,有了标准后,当两家公司需要彼此交换保密信息时,便可在同等基础上开展这一工作。
2.3. 汽车业内标准的由来
从性质上来看,非行业标准更像是“一刀切”式的解决方案,无法满足汽车公司的特殊需求。
很久以前,汽车行业内部便成立了很多协会,它们的主要目标是,针对自身特殊需求,精准制定并优化相关标准。“德国汽车工业协会(VDA)”便是其中之一。当时,汽车行业的数位成员建立了信息安全工作小组,并最终一致认为,由于彼此间需求相似,因而有必要对现有的信息安全管理标准进行量身调整。
在各方的共同努力下,一份调查问卷应运而生,其中涵盖了汽车行业内普遍接受的信息安全要求,而该问卷便是“信息安全评估标准(ISA)”。
随着 ISA 面世,“谁来定义‘安全’标准?”这个问题也随之有了答案:由 VDA 来定,也就是说,由汽车行业自己来向其成员提供这一问题的答案。
2.4. 如何以高效的方式证明符合安全标准?
有些公司仅在内部使用 ISA,而有些公司则利用 ISA 来对其供应商的信息安全管理体系成熟度进行评估。一般情况下,为建立业务关系,进行自我评估便足矣;然而,在某些情况下,公司会对其供应商的信息安全管理体系进行全面评估(包括现场审计)。
随着人们对信息安全管理需求意识的普遍提高,以及 ISA 作为信息安全评估工具得到广泛应用,越来越多的供应商正面临着来自不同合作伙伴的类似要求。
但是,这些合作伙伴采用的标准依然各不相同,对于如何解释标准也是说法不一。而供应商需要证明的事情则基本上是一样的,只是途径有别而已。
所以,一方面是合作伙伴不断督促供应商证明自己的信息安全管理体系符合特定等级要求,而另一方面,是供应商面对无休止的重复性劳动而怨声载道。毕竟,不停地给一个又一个审计人员展示相同的信息安全管理措施,绝非是高效的工作方式。
那么,该如何提高这一步骤的效率?如果一名审计人员的报告可以被不同的合作伙伴重复使用,是否会有助于改善情况?
负责 ISA 维护的 ENX 工作小组中的 OEM(原始设备制造商)与供应商在听取了各家供应商的不满和抱怨后,现在,针对“如何证明符合安全标准?”这个问题,为汽车行业的广大供应商及相关企业给出了如下答案。
这个答案便是 TISAX,全称为 “Trusted Information Security Assessment Exchange”(
可信信息安全评估交换)。
3. TISAX 流程
3.1. 总述
TISAX 流程启动的标志通常[1]是,您的某个合作伙伴要求您证明,自己的信息安全管理体系符合“信息安全评估标准(ISA)”特定等级的要求。为了满足该要求,您需要完成 TISAX 流程三大步骤。本章将为您简要介绍这些步骤。
TISAX 流程三大步骤包括:
|
第 1 步 |
|
第 2 步 |
|
第 3 步 |
每一步都包含若干子步骤,这些内容将在以下篇幅中分成三节进行讲解,每一节均详细描述其中一个步骤。
 |
请注意: 虽然我们很想告诉您,多久以后可以拿到 TISAX 评估结果,但我们自己亦无法做出准确预测,因此,恳请您理解。TISAX 流程的总体耗时取决于许许多多的因素:由于公司规模、评估对象,外加信息安全管理体系的建立情况等千差万别,因而无法预测所需时间。 |
3.2. 注册
注册是参与 TISAX 评估的第一步。
TISAX 注册的主要目的,是采集关于您公司的信息。我们使用在线注册流程,来帮助您向我们提供该信息。
注册是所有后续步骤的先决条件,并需要缴纳费用。
在线注册过程中:
-
我们会要求您提供联系方式与地址信息。
-
您须接受我们的条款和条件。
-
您可以自定义信息安全评估的范围。
若要直接开始该步骤,请参见 章节 4, “注册(第 一步)”。
在线注册流程详见 章节 4.5, “在线注册流程”。 若想即刻开始,请前往 enx.com/en-US/TISAX/.
3.3. 评估
第二步是完成信息安全评估。
其中,包含四个子步骤:
-
评估准备
您需要针对评估工作进行准备,其程度视您的信息安全管理体系目前的成熟度而定。准备工作应基于 ISA 目录进行。 -
选择认证机构
您必须从我们的 TISAX 认证机构中选择一家。 -
信息安全评估
您选定的认证机构将从满足合作伙伴的要求出发,依照评估范围来相应开展评估工作。评估流程将包括预审计这一基本步骤。
如果您的公司未能立即通过评估,则评估流程可能需要增加额外的步骤。 -
评估结果
一旦您的公司通过评估,您的认证机构将向您提供正式的 TISAX 评估报告。您的评估结果亦将印上“TISAX 标签”。[2]
有关该步骤的更多信息,请参见 章节 5, “评估(第 二步)”。
3.4. 交换
第三步,也就是最后一步,是与您的合作伙伴共享自己的评估结果。TISAX 评估报告的内容按照等级进行划分,您可自行决定合作伙伴有权查看哪一级别的内容。
评估结果的有效期为三年,假设届时您仍是合作伙伴的供应商,那么您需要再次完成上述三大步骤。[3]
有关该步骤的更多信息,请参见 章节 6, “交换(第 三步)”。
至此,您已基本了解什么是 TISAX 流程;在后续章节中,您将进一步了解如何完成各个步骤。
4. 注册(第 一步)
阅读“注册”章节预计需要 30-40 分钟。
4.2. 您的 TISAX 参与者身份
首先,我们为您介绍一个有必要理解的新术语。到目前为止,您的身份一直是“供应商”,阅读本手册的目的,是为了满足您的“客户”所提出的要求。然而,TISAX 本身并不区分这两种角色。对于 TISAX 而言,每一位注册人员都是“参与者”,也就是说,您与合作伙伴“参与”了信息安全评估结果的交换过程。
|
|
您的公司 |
|
|
TISAX 注册 |
|
|
TISAX 参与者 |
为了从一开始便区分这两个角色,我们将您(供应商)称作“主动参与者(active participant)”,将您的合作伙伴称作“被动参与者(passive participant)”。作为“主动参与者”,您接受 TISAX 评估,并与其他参与者共享自己的评估结果。“被动参与者”是要求您接受 TISAX 评估的人,也是您的评估结果的接收人。
|
|
1 要求对方接受评估 |
|
|
被动参与者 |
|
|
主动参与者 |
|
2 接受 TISAX 评估 |
|
3 与对方共享评估结果 |
每一家公司都可以扮演两种角色:您可能在与合作伙伴共享评估结果的同时,也要求自己的供应商接受 TISAX 评估。
|
|
您的客户 |
|
|
您与客户共享结果 |
|
|
主动参与者 |
|
|
您 |
|
|
被动参与者 |
|
与您共享结果 |
|
您的供应商 |
如果您自己的供应商亦会接触您合作伙伴有保护需求的信息,那么强烈建议其也接受 TISAX 评估。
4.3. 注册准备
在本节中,我们将就如何针对注册流程进行准备,来为您提供相关建议。更多关于注册流程本身的信息,请参见 章节 4.5, “在线注册流程”。
在开始在线注册之前,我们强烈建议您:
-
提前收集信息
-
针对某些事宜作出决定。
4.3.1. 法律基础
一般来说,您需要签订两份合约,第一份合约的签订人是您与 ENX 协会:即“ TISAX 参与一般条款和条件”(TISAX 参与者 GTC);第二份合约的签订人是您与一家由我方指定的 TISAX 认证机构。注册流程仅会用到第一份合约。
“TISAX 参与者 GTC”确立了我们相互间的关系,以及您与其他 TISAX 参与者之间的关系,并规定了所有各方的权利和义务。除了大多数合同中常见的条款外,该合约还详细规定了在 TISAX 流程期间,交换和获得的信息如何进行处理。这些规定的一个关键目的,是确保 TISAX 评估结果保密。由于所有 TISAX 参与者都受相同规则的制约,因而您可以期待,您的合作伙伴(以“被动参与者”的身份)亦会为您的 TISAX 评估结果提供适当的保护。
我们将于在线注册流程开始时,便要求您接受“TISAX 参与者 GTC”。由于这是一份真正意义上的合同,我们因此建议您在开始在线注册流程之前,首先认真阅读“TISAX 参与者 GTC”。其中一个原因是,您可能需要从公司内部或外部律师那里获得许可函,这取决于您在公司里的角色。
您可登录我们的网站,下载“TISAX 参与一般条款和条件”:[4]
enx.com/en-US/TISAX/downloads/
下载 PDF:
enx.com/tisaxgtcen.pdf
在线注册过程中,我们将要求您选中两个复选框(必选):
-
❏ We accept the TISAX Participation General Terms and Conditions (
我方接受“TISAX 参与一般条款和条件”) -
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; (
我方确认已知晓,根据“TISAX 参与一般条款和条件”IX.5 和 X.3 部分有关规定,申请者将解除针对认证机构的职业保密义务;)
我们设置第二个复选框的原因是,我方的 TISAX 认证机构中,有些是由注册会计师组成,他们对职业保密有特殊的要求。通常,关于职业保密的特殊要求禁止我方认证机构的注册会计师与我方共享信息。特别是,这将取消我们担当治理角色所需的控制选项。因此,我们需要这一豁免。在选中此框之前,您可能需要仔细了解相关条款。
如果您通常要求与处理保密信息的一方之间签订保密协议(NDA),则请查看我们 GTC 的有关章节,其中的内容应该能够解答您的疑惑。此外,您通常无需向我们提供任何保密信息。
最后,我们希望您理解,整个体系本身的基础是“人人接受相同规则的约束”,因此,我们不会接受其他任何一般性条款和条件。[5]
4.3.2. TISAX 评估范围
在 TISAX 流程的第二步中,我方的一家 TISAX 认证机构将执行信息安全评估工作,他需要知道从哪里开始以及在哪里结束。这就是为什么您需要指定一个“评估范围”。
“评估范围”描述的是信息安全评估工作的范围,简单来说,在您的公司里,只要涉及到处理合作伙伴保密信息的环节,则均属于评估范围。您可以将其视为认证机构的主要任务描述,它规定了认证机构需要评估的内容。
评估范围之所以重要,有两个原因:
-
对于您公司里负责处理合作伙伴信息的各个环节,只有当相应的评估范围涵盖所有此类环节时,评估结果才能够满足合作伙伴的要求。
-
对于我方的 TISAX 认证机构,精确定义评估范围是合理计算成本的必要前提条件。
|
|
重要提示: ISO/IEC 27001 与 TISAX 的比较 首先,我们必须区分两种类型的范围: 对于 ISO/IEC 27001 认证,您需要(在“范围声明”中)定义 ISMS 的范围。您可以完全自由地定义 ISMS 的范围。但评估的范围(也称为“认证范围”)必须与您 ISMS 的范围一致。 对于 TISAX,您还必须定义 ISMS。但评估的范围可以有所不同。 对于 ISO/IEC 27001 认证,您可以通过定义 ISMS 范围的方式自由确定评估范围。 相比之下,TISAX 的评估范围是预先确定的。 评估范围可以比 ISMS 的范围小,但必须在 ISMS 的范围之内。 |
4.3.2.1. 范围描述
范围描述规定了评估工作的范围。您需要从以下两种范围类型中选择一种:
-
Standard scope (
标准范围) -
Custom scope (
自定义范围)-
Custom extended scope (
自定义扩展范围) -
Full custom scope (
完全自定义的范围)
-
我们将在下一节讨论标准范围。对于 99% 以上的参与者,标准范围就是正确之选。因此,我们只在章节 7.8, “附录:自定义范围” 中讨论自定义范围。
4.3.2.2. 标准范围
标准范围是开展 TISAX 评估的基础,其他 TISAX 参与者也仅接受基于标准范围描述的评估结果。
标准范围是预先定义好的,无法更改。
使用标准范围的好处是,您无需自己定义范围。
这是标准范围说明(2.0 版):
|
|
The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations. The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment. |
TISAX 评估范围定义了评估的适用范围。评估包括被评估组织责任范围内所有符合此条件的流程、程序和资源:与所列地点的保护对象及其保护目标(定义见所列评估对象)的安全性相关。 至少要对所列评估对象中的最高评估级别执行评估。所列评估对象中列出的所有评估标准均适用于评估。 |
我们强烈建议选择标准范围,因为所有 TISAX 参与者都接受基于标准范围作出的信息安全评估结果。
4.3.2.3. 范围界定
在确定了范围类型后,下一个任务便是决定哪些公司地点属于评估范围。
如果您的公司规模不大(仅一处地点),那便好办,您只需将公司地点添加到评估范围即可。
如果您的公司规模较大,可以考虑注册一个以上的评估范围。
您可以注册一个囊括所有公司地点的单一范围,这样做的好处是:
-
评估报告、评估结果及其有效期的数量都只有一个(份)。
-
评估费用更低,因为 TISAX 认证机构只会一次性评估您的核心流程、程序和相关资源。
然而,单一范围也有缺点,比如:
-
所有地点的评估对象必须相同。
-
只有在 TISAX 认证机构对所有地点完成评估后,才会出具评估结果。如果您急需评估结果,那么这一点就比较麻烦。
-
最终评估结果的好坏,取决于是否所有地点均通过了评估。即便只有一个地点未能通过评估,也会影响到整体评估结果。解决方法是:a) 从范围中移除该地点;b) 解决问题;c) 之后利用“范围扩展评估”来添加该地点.
4.3.2.4. 范围调整
是选择一个范围还是选择多个范围,这个问题只能留给您自己。然而,通过回答下图中的问题,可有助于您做出决定。
|
|
开始 |
|
|
第一步:您是否需要对一个以上的地点进行评估? |
|
|
第二步:您是否有足够的时间去准备所有地点的评估工作? |
|
|
第三步:是否所有地点都有统一的 ISMS 体系(例如在职责、基础设施、政策和流程方面)? |
|
|
第四步:所有场地是否有相同的评估对象 - 例如,“原型车辆或信息(保护需求极高)的保护”? |
|
|
结束:注册评估范围 |
|
|
将各个地点拆分开。 |
|
否 |
|
是 |
|
|
请注意: 面对这一决策过程,您无需胆怯。只要认证机构还未最终完成评估,您便可随时更改评估范围。 例如,在评估准备过程中,您可能会发现评估范围并不合适,因而相应做出调整。或者,您的认证机构可能会建议您,在评估早期阶段就变更范围。 补充说明:
|
4.3.2.5. 范围地点信息
现在,您已经确定哪些地点属于评估范围,接下来,您可以着手收集与地点相关的信息。
对于每一处地点,我们都要求提供相应的信息,如公司名称和地址。另外,我们还需要您提供一些附加信息,以便我方的 TISAX 认证机构能够更好地了解您公司的结构。您提供的信息将是其开展评估工作的基础。
针对您公司的各个地点,请准备好提供以下信息(红色星号 *表示在线流程中的必填信息):
| 字段 | 选择项 |
|---|---|
地点名称 * |
不适用 |
不适用 |
|
地点类型 * |
公司自有建筑(仅由公司使用) |
被动场地保护 * |
是 |
行业 |
信息技术
|
管理
|
|
媒体
|
|
研发
|
|
生产
|
|
销售及售后
|
|
其他行业 |
|
地点雇用员工数:总计 * |
0 |
地点雇用员工数:IT * |
0 |
地点雇用员工数:IT 安全 * |
0 |
地点雇用员工数:地点安全 * |
0 |
该地点所获认证 |
ISO 27001 |
|
|
请注意: 关于“行业”:请尽量根据您的了解来选择。以上选项无对错之分,如果找不到与您的业务类型相匹配的选项,您只需在“其他”中输入相应的选项。 |
对于每个地点,您必须指定一个“location name”(“地点名称”)。地点名称的作用是,在将地点分配给评估范围时,更容易对其进行引用。
我们建议,根据以下格式来指定地点名称:
格式: |
[地理位置引用] |
示例: |
针对虚构公司“ACME”
|
4.3.2.6. 范围名称
对于每个范围,您必须指定一个“scope name”(“范围名称”)。范围名称的主要目的是,方便您在 ENX 门户的范围概览列表中辨别范围。您应指定一个对读者和同事都有帮助的名称。在对外通信时,应使用范围 ID。
您可以指定任意范围名称,但不要为一个以上的范围分配相同的范围名称。
如果以后想要更新 TISAX 评估,您到时要创建一个新范围(可能与当前范围完全相同)。因此,我们建议将评估年份添加到范围名称中。
我们建议,根据以下格式来分配范围名称:
格式: |
[地理位置或功能信息引用] [评估年份] |
示例: |
针对虚构公司“ACME”
|
4.3.2.7. 联系人
为了与您保持沟通,我们会收集您公司的联系人信息。
我们通常要求您公司至少要指定一名联系人来作为 TISAX 参与者,并为每一个评估范围相应指定一名联系人。另外,您还可以添加其他联系人。
在注册准备期间,您应当决定自己公司的联系人人选。
我们需要以下联系人信息:
| 联系人信息 | 是否必须填写? | 示例 | |
|---|---|---|---|
1. |
称呼 |
是 |
女士、先生 |
2. |
学位 |
Dr.、Ph.D. 或其他 |
|
3. |
名 |
是 |
John |
4. |
姓 |
是 |
Doe |
5. |
职位 |
是 |
IT 主管 |
6. |
部门 |
是 |
信息技术 |
7. |
常用联系电话 |
是 |
+49 69 986692777 |
8. |
备用联系电话 |
||
9. |
电子邮件 |
是 |
john.doe@acme.com |
10. |
首选交流语言 |
是 |
英语(默认) |
11. |
其他交流语言 |
德语、法语 |
|
12. |
个人地址标识符 |
HPC 1234 |
|
13. |
街道地址 |
是 |
Bockenheimer Landstraße 97-99 |
14. |
邮编 |
是 |
60325 |
15. |
城市 |
是 |
法兰克福 |
16. |
州/省份 |
||
17. |
国家 |
是 |
德国 |
|
|
重要提示: |
4.3.2.8. 发布与共享
TISAX 的主要目的,是向其他 TISAX 参与者发布您的评估结果,并与您的合作伙伴共享评估结果。
您可在注册过程中或以后的任何时候决定是否发布和共享您的评估结果。
如果您想从“占据先手”这一角度出发来参与 TISAX 流程,那么您已经可以决定将评估结果向其他 TISAX 参与者发布。否则,您无需针对该阶段进行准备。
如果您的合作伙伴要求您完成 TISAX 评估流程,那么,您迟早要共享评估结果。在注册期间,您已经可以与合作伙伴共享状态信息。一旦您拿到了评估结果,合作伙伴将自动拥有访问权限。[6]
若要共享状态信息,您需要两项信息:
-
合作伙伴的 TISAX 参与者 ID
TISAX 参与者 ID 是合作伙伴作为 TISAX 参与者的一个标识。
通常,您的合作伙伴应向您提供其 TISAX 参与者 ID。
为了便于您查找,我们的注册表单为一些经常接收共享评估结果的公司提供一份“参与者 ID”下拉列表。[7]
-
所需共享级别
共享级别规定了您的合作伙伴可以访问哪个层次的评估结果信息。
您的合作伙伴可以请求获取某个共享级别,您自己亦可以决定为合作伙伴授予何种级别的访问权限。
有关共享级别的详细信息,请参阅 章节 6.5, “共享级别”。
因此,您可能希望确保自己已掌握上述信息。
|
|
请注意:
|
|
|
重要提示: 如果您不发布或不共享评估结果,则他人将无法看到。 |
|
|
重要提示: 发布或共享操作无法撤销。 更多信息,请参阅 章节 6.4, “交换结果操作的不可逆性”。 |
|
|
请注意: 虽然听起来有几分奇怪,但实际上,即使您尚未开始评估程序,您也可以分享“评估结果”。在这个早期阶段,您分享的只是“评估状态”。与您共享“评估结果”的学员将看到您在评估过程中的状态。 如您必须展示 TISAX 标签,但尚未完成评估程序,则对于部分 TISAX 参与者来说,必须签发特别豁免单。在这种情况下,您的合作伙伴可能需要在其 ENX 门户帐户中查看您的“评估状态”。 若要进一步了解“评估状态”,请参见 章节 7.6, “附录:Assessment status( |
有关发布和共享评估结果的详细信息,请参阅 章节 6, “交换(第 三步)”。
4.3.3. 评估对象
注册过程期间,您需要定义评估对象。评估对象 ( assessment objective) 决定了信息安全管理系统 (ISMS) 必须满足的适用要求。评估对象的确定,完全是基于您代表合作伙伴参与处理的数据类型。
在以下章节中,我们将描述评估对象,并就如何选择正确的评估对象提供建议。
由于评估对象代表了已定义好的 TISAX 评估流程输入,因此,在与合作伙伴以及我们的 TISAX 认证机构进行有关 TISAX 的沟通时,使用评估对象会有利于开展相关工作。
|
|
请注意: 某些合作伙伴可能会要求您接受 TISAX 特定“评估级别(Assessment Level,简称 AL)”的评估,而不会指定评估对象。 有关评估级别的更多信息,请参阅 章节 4.3.3.5, “保护需求与评估级别”(子章节“其他信息”)。 |
4.3.3.1. 评估对象列表
目前有十二项 TISAX 评估对象。您需要选择至少一个评估对象,也可以选择多个。
请将评估对象视为对您的信息安全管理体系进行评估的基准,因为评估对象是 TISAX 流程的关键输入。所有 TISAX 认证机构的评估策略都主要基于评估对象。
目前,TISAX 评估对象如下所示:
| 序号 | 名称 | 描述 |
|---|---|---|
1. |
Info high |
|
2. |
Info very high |
|
3. |
Confidential |
|
4. |
Strictly confidential |
|
5. |
High availability |
|
6. |
Very high availability |
|
7. |
Proto parts |
|
8. |
Proto vehicles |
|
9. |
Test vehicles |
|
10. |
Proto events |
|
11. |
Data |
|
12. |
Special data |
|
示例:如果您正在公路上进行试驾,那么“Test vehicles”便是您的评估对象之一。
|
|
请注意: 您只能在 2024 年 3 月 31 日之前选择评估目标“Info high”和“Info very high”。 您可以从 2024 年 4 月 1 日开始选择评估目标“Confidential”和“Strictly confidential”。 有关此次转换的更多信息,请参阅我们网站上的以下新闻文章: |
|
|
重要提示: 在 TISAX 中,“评估对象”通常是过程的输入项。但是,某些合作伙伴可能会要求您接受 TISAX 特定“评估级别”(AL)的评估。 有关保护需求与评估级别之间关系的更多信息,请参阅 章节 4.3.3.5, “保护需求与评估级别”。 |
4.3.3.2. 评估对象和 ISA
ISA 包含三个标准目录(信息安全、原型保护、数据保护)。每个标准目录都由“控制问题”和相关要求组成。
每个评估对象都定义了:
-
适用的 ISA 标准目录
-
您必须回答的控制问题
-
您必须满足的要求
某些评估对象只有部分控制问题和要求适用。
有关 TISAX 评估对象及适用控制问题和要求的更多背景信息,请参阅 章节 5.2.2, “看懂 ISA 文件”。
4.3.3.3. 评估对象和 TISAX 标签
您的合作伙伴可能会提起“TISAX 标签”,而“评估对象”和“TISAX 标签”基本上是一回事。不同点在于,评估过程刚开始时会有“评估对象”,如果通过了评估,则您会收到相应的“TISAX 标签”。
示例:您的合作伙伴要求您获得 TISAX标签“Info high(保护需求较高的信息)”。然后,您选择“Info high(保护需求较高的信息)”作为评估对象。
下图为您展示了 TISAX 流程的输入和输出:
|
|
请求 |
|
|
合作伙伴 |
|
|
接收 |
|
|
输入 |
|
|
对象 |
|
|
TISAX 流程 |
|
|
输出 |
|
|
标签 |
有关 TISAX 标签的更多信息,请参阅 章节 5.4.14, “TISAX 标签”。
4.3.3.4. 评估对象选择
理想情况下,您的合作伙伴会准确地告诉您哪些评估对象必须达标。
在下列情况下,您应根据自己的判断来选择评估对象:
-
您希望在合作伙伴要求之前主动接受 TISAX 评估,或者
-
您的合作伙伴并未告诉您哪些评估对象应当达标。
|
|
重要提示: 如遇到上述情况,我们强烈建议您亦考虑其他合作伙伴的要求,也就是说,在您现有的合作伙伴中,是否有些伙伴有相同或更高的要求?您估计,未来的合作伙伴会否提出更高的要求? 这样一来,您可能希望考虑选择保护需求更高的评估对象。因为该做法可以防止出现问题,比如一旦遇到其他合作伙伴提出更高要求的情况。 |
如果您需要根据自己的判断来选择评估对象,以下建议可能会对您有所帮助:
| 序号 | 评估对象 | 建议信息 |
|---|---|---|
1. |
Info high |
您可以通过合作伙伴的文档分类标准,来相应推断出保护需求(高、 极高)。 |
2. |
Info very high |
|
3. |
Confidential |
适用于接收和处理以下信息的所有公司:在机密性方面具有高保护需求,或根据公司自己的分类方案(例如 VDA 白皮书“分类级别的协调化”)通常被分类为机密。 |
4. |
Strictly confidential |
适用于接收和处理以下信息的所有公司:在机密性方面具有极高保护需求,或根据公司自己的分类方案(例如 VDA 白皮书“分类级别的协调化”)被严格分类为机密或秘密。 |
5. |
High availability |
适用于其客户的生产或交付能力有赖于公司提供产品或服务,且失败将在短时间内给客户造成巨大损失的公司。 |
6. |
Very high availability |
适用于其客户的生产和交付能力有赖于公司在较短时间内提供产品和服务,且失败将在极短时间内给客户造成巨大损失的公司。 |
7. |
Proto parts |
针对制造、储存或使用客户提供的组件或零件的所有公司,这些组件或零件被归类为需要在其所处地点受到保护。 |
8. |
Proto vehicles |
针对制造、储存或使用客户提供的车辆的所有公司,这些车辆被归类为需要在其所处地点受到保护。 |
9. |
Test vehicles |
针对利用客户提供的车辆进行测试和试驾(例如,在公路或试车跑道上进行试驾)的所有公司,此类车辆被归类为需要保护。 |
10. |
Proto events |
针对利用客户提供的车辆、部件或零件进行展示或开展活动(例如,市场调查、活动、营销活动),以及进行录制和拍摄的所有公司,此类车辆、部件或零件被归类为需要保护。 |
11. |
Data |
根据《通用数据保护条例》(GDPR)第 28 条,如果您以“处理人”的身份来处理个人数据,则可能需要选择“(Data)”这一对象。 |
12. |
Special data |
根据《通用数据保护条例》(GDPR)第 28 条,如果您以“处理人”的身份来处理特殊类个人信息(如健康或宗教),则可能需要选择“(Special data)”这一对象。 |
补充说明:
-
如果您的合作伙伴明确给出了相关要求,则您通常无需再与其商讨评估对象一事;但是,如果合作伙伴未明确给出相关要求,则我们强烈建议您在启动评估流程之前,向您的合作伙伴咨询有关事宜。
-
ISA 标准通过“高(high)”和“极高(very high)”这两大保护需求(如有),来相应描述各项要求在执行上的差异。
更多相关信息,请见 插图 11, “截图:ISA 标准目录“信息安全”中问题的主要元素”。
4.3.3.5. 保护需求与评估级别
您的合作伙伴拥有不同类型的信息,有些信息的保护级别可能需要高于其他信息。为了应对这种情况,ISA 标准定义了三大“保护需求”( “protection needs”):正常(normal)、高(high)和极高(very high),来对信息进行区分。您的合作伙伴可通过对自己的信息进行分类,从而相应确定保护需求。
保护需求越高,您的合作伙伴就越希望确保能够放心地让您处理他们的信息。因此,TISAX 定义了三大“评估级别(Assessment Level,简称 AL)”。评估级别规定了认证机构必须采用的评估方法。评估级别越高,评估工作量就越大,因此评估也就越细致和准确。
下表显示了适用于 TISAX 评估对象的评估级别:
| 序号 | TISAX 评估对象 | 评估级别(AL) |
|---|---|---|
1. |
Info high |
AL 2 |
2. |
Info very high |
AL 3 |
3. |
Confidential |
AL 2 |
4. |
Strictly confidential |
AL 3 |
5. |
High availability |
AL 2 |
6. |
Very high availability |
AL 3 |
7. |
Proto parts |
AL 3 |
8. |
Proto vehicles |
AL 3 |
9. |
Test vehicles |
AL 3 |
10. |
Proto events |
AL 3 |
11. |
Data |
AL 2 |
12. |
Special data |
AL 3 |
评估级别 1(AL 1):
评估级别 1 主要针对公司内部用途,是真正意义上的自我评估( self-assessment)。
为确认是否符合该级别(级别 1),审计人员只会检查是否存在完整的自我评估结果,但不会对自我评估的内容进行评估,甚至也不会要求提供进一步的证据。
该级别(级别 1)的评估结果可信度低,因而不被 TISAX 采纳。但是,您的合作伙伴仍然完全有可能会要求您在 TISAX 评估的框架之外,额外完成这样一份自我评估。
评估级别 2(AL 2):
为确认是否符合该级别(级别 2),认证机构会对您的自我评估结果(针对评估范围内的所有地点)执行合理性检查。此外,认证机构还会检查相关的证据[8],并需要接受信息安全负责人谈话。
认证机构通常以网络会议的形式完成谈话过程,您亦可要求其与您进行面对面谈话。
如果某些证据材料不方便寄给认证机构,则可要求其进行现场检查。这样一来,认证机构依然可对这类“仅供内部使用”的证据执行检查。
|
|
请注意: 评估级别 2 有一种替代性评估方法。认证机构不执行合理性检查,而是开展全面的远程评估。这种方法有时称为“评估级别 2.5”。 相较于评估级别 2 中的评估,审计人员将核实您的 ISMS 是否满足适用要求。然而,不同于评估级别 3 中的评估,审计人员不会开展下文有关评估级别 3 一节中概述的现场活动。 从形式上,此评估将作为 AL 2 中的评估之一。 AL 2.5 的优势在于,所用方法兼容 AL 3。因此,在稍后的时间点,您可以在工作量可控的情况下将 AL 3 升级为全面评估。针对升级,审计人员仅需开展下文 AL 3 部分所述的现场活动。 在这种情况下,我们建议按评估级别 2.5 进行评估:
若要进一步了解评估级别,请参见 章节 7.10, “附录:范围扩展评估”。 该备选方案为可选,并非满足 AL 2 要求的必要条件。您与之共享评估结果的合作伙伴看不到 AL 2 与 AL 2.5 之间的差别。 |
评估级别 3(AL 3):
为确认是否符合该级别(评估级别 3),认证机构会根据适用要求对您公司的合规性进行全面核查。审计人员使用您的自我评估和所提交的文档来准备评估。但不同于评估级别 2,审计人员将开展全方位核查。审计人员将:
-
检查文档和证据
-
有计划地与流程负责人谈话。
-
观察本地状况
-
观察流程的执行情况
-
与流程参与者进行未事先计划的谈话
|
|
请注意: 本文档稍后部分将解释下文提及的几个概念。 对于 AL 3,认证机构必须前往您的地点。如果出于某种原因暂时无法前往,或者需要付出超出合理范畴的努力才能前往,认证机构可使用由视频支持的远程评估方法进行现场评估活动。 认证机构必须在 TISAX 评估报告中将此记录为轻微不符合项。 在认证机构可以前往您的地点之后,其必须立即执行后续工作评估,其中包括先前无法执行的所有现场活动。此外,即便尚未完成其他纠正行动,您也必须安排后续工作评估。 相较于等待认证机构开展现场活动,这种方法让您可与合作伙伴共享 TISAX 临时标签。 |
评估级别和评估方法
下表中简要列出了与各评估级别相对应的审计方法:
| 评估方法 | 评估级别 1 (AL 1) |
评估级别 2 (AL 2) |
评估级别 3 (AL 3) |
|---|---|---|---|
自我评估 |
是 |
是 |
是 |
证据 |
否 |
合理性检查 |
全面核查 |
谈话 |
否 |
通过网络会议[9] |
面对面、现场 |
现场检查 |
否 |
根据您的要求 |
是 |
补充信息:
-
AL 2 与 AL 3 之间的区别
两者的方法有很大不同。对于评估级别 2 中的评估,审计人员不会核查所有事项,只会核实其合理性。因此,认证机构不能使用评估级别 2 下评估的结果作为升级到评估级别 3 的依据。升级到评估级别 3 的工作量与新的初始评估大致相同。 -
合理性检查与核查的区别
用最简单的话来说,合理性检查就是检查某些事物是否存在,并且看起来正确无误。而核查则代表切实检查某些事物是否与其声称相符。 -
信息分类与保护需求
对于不同的合作伙伴来说,信息分类(如“保密级”、“绝密级”)与保护需求之间的对应关系可能亦有差别。因此,即使我们愿意,我们也无法做到以简洁明了的表格形式,为您一一列出合作伙伴的信息分级体系与保护需求之间严格的对应关系。 -
仅仅知道评估级别是不够的
某些合作伙伴可能会要求您接受 TISAX 特定“评估级别”的评估。您需要明白,仅仅知道评估级别,是不足以启动 TISAX 流程的。因为,只有在与某个 ISA 标准目录及其相应的保护需求结合使用时,评估级别才有意义。通常,合作伙伴会要求您获得 TISAX 标签(即“标准目录 + 保护需求”)。然而,由于保护需求同评估级别之间是 1:1 的对应关系,因此,您只需知道“标准目录 + 评估级别”即可。 -
评估级别的上下级关系
高评估等级总是包含低评估等级。例如,如果您的评估是基于评估等级 3,那么它将自动满足评估等级 2 的所有要求。 -
我们关于评估级别选择的建议
如果您需要根据自己的判断来选择评估对象(并指明相应的评估级别),我们建议为评估对象指定“评估级别 3”。在 TISAX 体系中,评估级别 3 所对应的评估工作力度并不总是高于评估级别 2。
但是,有多个合作伙伴的供应商通常都会为评估对象选择“评估级别 3”。这样一来,便可充分准备好应对未来的一切要求,而无需费时费力去指定不同的评估级别。 -
其他经济考量
关于评估级别,一次 TISAX 评估的总成本包括您公司内部相关工作的成本,外加上评估本身的成本。虽然评估级别 2 对应的评估成本更低,但由此带来的您公司内部相关工作的成本可能会更高。原因是,评估级别 2 通常要求进行更全面的自我评估,以及提供更完整的内部相关文件。对于评估级别 3,通常只需要向审计人员介绍处理方式,并提供一份基本文件即可。但是,若无现场检查这一环节的话,审计人员会要求提供更多相关文件。所以说,选择评估级别 3 而非评估级别 2 这一做法并不罕见,只不过,做出这一选择的通常是规模较小,而非规模较大的企业。
4.3.3.6. 评估对象与您供应商之间的关系
选择 TISAX 并不一定意味着,您所有的供应商都要满足同样的要求。如果您的评估对象为“信息安全——保护需求极高”,那么这并不是说,您的供应商都要在相同的评估对象方面达标,更不是说他们都需要获得 TISAX 标签。
只不过,您仍需自行审核并判断,使用供应商所提供的服务是否会增加风险,或带来新风险。
两个非常简化的示例:
-
您公司有一项规定,普通的电子邮件不能用于发送保护需求极高的信息。那么,您的电子邮件服务商便无需获得 TISAX 标签(极高保护需求)。+
同样,如果您只发送加密邮件的话,邮件服务商甚至都看不到“保护需求极高”的信息,上述结论也一样成立。 -
您将已打印出的“保护需求极高”的信息放入碎纸机中进行处理。这种情况下,废物处理服务提供商自然也无需满足与您一样的要求。
然而,经过风险评估后,有可能出现您的供应商亦需满足针对“极高保护需求”的要求这一情况。此时,TISAX 标签便是一种可为您提供相应证明的可选方案。
4.3.4. 费用
我们收取评估费用。您可浏览我们的价目表,了解相关费用、折扣以及付款条件等信息。
价目表可登录我们的网站下载:
enx.com/en-US/TISAX/downloads/
下载 PDF:
enx.com/pricelist.pdf
在注册准备期间,有一些与账单相关的问题需要您考虑清楚:
-
账单地址选择
默认情况下,我们会将账单发送至您作为参与者所提供的地址,但您也可以提供其他地址来用于接收账单。重要提示:
请确保账单地址正确无误。根据会计法要求,账单上的地址需要与您公司的(账单)地址保持一致。出于合规性原因,账单一旦开具,账单地址便不能更改。
-
订单参考编号
如果您需要在账单上显示某个特定的采购订单号或类似内容,那么您可以向我们提供一个订单参考编号。 -
增值税编号
我们的一切收费均包含德国增值税(如适用)。
我们需要该编号来处理欧盟内部的付款。如果您的账单地址属于以下国家之一,那么必须提供增值税编号:
奥地利、比利时、保加利亚、克罗地亚、塞浦路斯(希腊部分)、捷克共和国、丹麦、爱沙尼亚、芬兰、法国、德国、希腊、匈牙利、爱尔兰、意大利、拉脱维亚、立陶宛、卢森堡、马耳他、荷兰、波兰、葡萄牙、斯洛伐克、斯洛文尼亚、西班牙、瑞典、英国 -
供应商管理
重要提示:
请您理解,鉴于所有 TISAX 参与者之间的对等关系,我们不接受其他任何类型的条款(如一般采购条款、行为准则)。
关于我们账单流程的其他信息:
-
我们不接受个人采购条款
-
我们接受:
-
转账汇款至账单上指定的银行账户
-
信用卡付款(注册期间,通过我们的付款服务提供商 “Stripe” 进行)
-
-
我们的账单将包含以下有关您的注册信息:
-
您的主要参与者联系人的姓名和电子邮件地址
-
评估范围名称
账单样式请见 章节 7.1, “附录:账单示例” 中的附录.
-
-
我们提供的大多数账单信息都是您在处理账单时通常所需要的,更多相关信息可参见我们的文档“成员与业务伙伴信息(Information for Members and Business Partners)”。如需要最新版本,请邮件联系我们。
|
|
请注意: 我们知道,有时公司的内部付款审核流程相当繁琐。因此,您在 TISAX 流程中完成下一步骤本身并不受我们是否收到付款的影响。但请注意,如果我们未收到付款的话,您将无法共享评估结果。 |
|
|
重要提示: 我们—ENX 协会—将收取一定的费用,该费用只是 TISAX 评估总费用的一部分。您的 TISAX 认证机构将收取评估费用。 更多关于认证机构相关费用的信息,可参见 章节 5.3.4, “评估执行人选择依据”。 |
|
|
重要提示: 无论是以下哪种情况,您均需缴纳费用:
因此,账单可能在您启动预评估之前便已经到达。 |
4.4. ENX 门户
以下章节将讲述在线注册流程,在这一流程中,你需要输入前述章节中建议您收集的所有信息。在开始在线注册流程之前,我们来简要介绍一下 ENX 门户的作用与好处。
ENX 门户允许我们维护一个包含所有 TISAX 参与者的数据库,它在整个 TISAX 流程期间扮演着重要的角色。在 TISAX 注册期间,您输入的信息将随后被 TISAX 认证机构使用(如果您同意),来相应计算报价并制定评估程序计划。完成 TISAX 评估流程后,您将使用 ENX 门户上的交换平台,来与您的合作伙伴共享评估结果。
该门户叫做“ENX 门户”而非“TISAX 门户”,是因为我们还利用门户来管理其他业务活动(如 ENX network)。
4.5. 在线注册流程
如果您根据我们的上述建议(章节 4.3, “注册准备”)进行了准备,那么您便可启动在线注册流程了。
4.5.1. 所需时间
注册所需时间很大程度上取决于您注册的范围和地点数量。作为参与者,首次注册一个范围和一处地点时,预计至少需要 20 分钟的时间来完成注册。
我们建议,在单次对话中一次性完成注册,否则跟上后面步骤的节奏会比较吃力。若您确实需要中止注册,那么我们会联系您,并要求您提供缺失的信息。
4.5.2. 此处开始
您可登录我们的网站进行注册:
enx.com/en-us/Account/Login/Register?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F
您只需按照屏幕提示操作即可。以下是关于注册流程的简要介绍。
4.5.3. 门户账号
注册的第一步,是在 ENX 门户中为自己创建一个账号。因为您正是需要利用门户账号,才能够管理您公司的“参与者信息”。
|
|
请注意: 如果 ENX 门户提示您,您的邮件地址已被使用,请联系我们。 该提示信息可能表明,由于某些原因,您的信息已录入我们的系统中。 |
|
|
请注意: 如上所述,创建门户账号并不意味着已成为“参与者联系人”或“范围联系人”(见下文),可以积极参与评估流程。 反之亦然,“参与者联系人”或“范围联系人”也不会自动获得门户账号中参与者信息的管理权限。也就是说,被指定为“参与者联系人”或“范围联系人”的同事不会自动获得 ENX 门户中参与者信息的访问权限。 如果您希望将管理参与者信息的权限授予一名您已在 ENX 门户中创建的联系人(不管您是否为其分配了角色),都需要邀请该联系人。更多相关信息,请参阅 章节 4.5.5, “参与者联系人”。 |
4.5.4. 参与者注册末尾处的说明
第二步,是将您的公司注册为“TISAX 参与者”。“TISAX 参与者”是指与其他参与者交换评估结果的公司。
4.5.5. 参与者联系人
主要联系人通常负责与您公司的信息安全评估有关的一切事宜。其可以是您,也可以是您公司里的其他人。
通常,我们只需要您指定主要联系人。若您希望,其他人亦可以看到由我们和我方的 TISAX 认证机构所发送的所有注册流程交流信息,则请添加“备选参与者联系人”。
|
|
重要提示: |
|
|
请注意: 您可在后续流程中(甚至是在完成在线注册流程,或完成评估之后),随时添加或删除联系人。 |
|
|
请注意: 参与者联系人不可使用公共邮箱(例如“info@acme.com” 或 “IT@acme.com”)作为电子邮件地址。 这一规定也符合 ISA 关于用户登录的规定。 |
|
|
请注意: 对于每一位联系人,您可以选择是否为其授予访问您公司参与者信息的权限。原因:
创建新联系人:登录(Sign in)> 我的 TISAX(MY TISAX)> 管理员(ADMINISTRATORS)> 创建新的 TISAX 管理员(Create new TISAX Administrator) 邀请联系人:登录(Sign in)> 我的 TISAX(MY TISAX)> 管理员(ADMINISTRATORS)> 转到该联系人所在表格行的末尾,并点击带有向下箭头的按钮 > 编辑 TISAX 管理员(Edit TISAX Administrator)> 转到“ENX 门户访问(ENX PORTAL ACCESS)”部分 > 将“邀请此联系人(INVITE THIS CONTACT)"设置为“是(Yes)” > 点击“保存联系人(Save Contact)” |
4.5.7. 评估范围注册
第四步,是为您的信息安全评估注册评估范围。
您需要做的是:
-
指定评估范围名称。
范围名称的主要目的是,方便您在 ENX 门户的范围概览列表中辨别范围。
相关注解,可参见 章节 4.3.2.6, “范围名称” -
选择评估范围类型。
(标准、自定义)
相关注解,可参见 章节 4.3.2, “TISAX 评估范围”。 -
指定主要范围联系人。
该联系人通常负责特定范围的评估事宜,其可以是您,也可以是您公司里的其他人。
通常,我们只需要您指定主要范围联系人。若您希望,其他人亦可以看到由我们所发送的、与该特定范围相关的所有交流信息,您可添加“备选参与者联系人”。 -
选择评估对象。
相关注解,可参见 章节 4.3.3, “评估对象”。 -
添加评估范围地点
我们会要求您指定从属于评估范围的所有相关地点。
相关注解,可参见 章节 4.3.2, “TISAX 评估范围”。请注意:
一旦您创建了一个新地点,您将无法自行编辑。若要做微小的改动(如更改公司名称,以及街道名称、邮编、城市等信息中的输入错误),请联系我们。 由我们来为您更正。
重要提示:
本备注仅适用于更新 TISAX 标签的情况。
请重复使用您在注册前一个范围时创建和使用的现有地点记录。不要创建具有相同地址的新地点记录。
这是因为:某些 TISAX 参与者会自动处理其合作伙伴的评估结果,方法是将其系统与 ENX 门户关联同步。即使是细微差异也可能导致同步无法成功。此外,不要因为不必要的重复导致参与者数据杂乱无章。 -
选择发布与共享级别(可选)
在此阶段,您便已经可以决定,是否向其他 TISAX 参与者发布您的评估结果,并与您的合作伙伴共享评估结果。通常,该操作步骤会授权我们至少显示以下信息:您的公司是一名参与者,且已成功通过 TISAX 评估流程。
在最初注册时,您可选择跳过此步骤,并于之后的某个时间再设定您评估结果的访问权限。
相关注解,可参见 章节 4.3.2.8, “发布与共享”。重要提示:
发布或共享权限一旦设定,将无法撤销。
更多信息,请参阅 章节 6.4, “交换结果操作的不可逆性”。 -
指定账单接收人。
我们会要求您指定账单的接收人。
相关注解,可参见 章节 4.3.4, “费用”。
|
|
请注意: 此处非常容易出错。如果您后续发现,您应该登记的范围略有出入(您忘记了某个地点,您还有另外一个评估目标等),认证机构仍可执行评估。 示例:审计人员确定,范围中必须额外包含一个地点,您最初并未将其添加到范围中。之后,审计人员将在 ENX 门户中更新您的评估范围,同时上传您的评估结果。 |
|
|
请注意: 每一项评估范围都会经历一个工作周期。在目前阶段,您的评估范围的状态可能为“未完成(Incomplete)”、“等待您的指令(Awaiting your order)”或者“等待 ENX 批准(Awaiting ENX approval)”。 关于评估范围状态的更多信息,请参见 章节 7.5.1, “概述:Assessment scope status( |
|
|
请注意: 对于有许多地点的大型企业,TISAX 提供“快捷群体评估”服务。如果您满足下列条件,则可以考虑选择该服务: 对于“快捷群体评估”而言,初期工作量会比较大。但是,您的评估地点越多,您越能从这一服务中受益。 有关“快捷群体评估”的更多信息,请参见文档“TISAX 快捷群体评估(TISAX Simplified Group Assessment)”。 您可登录我们的网站,下载文档“TISAX 快捷群体评估(TISAX Simplified Group Assessment)”: 下载 PDF: |
|
|
请注意: 一旦我们注册了您的评估范围,您将无法自行更改。 如果您能以可靠的方式向我们保证,还未将您的“TISAX 范围摘要(TISAX scope excerpt)”发给我方的认证机构,则请联系我们。 由我们为您更改。 如果您已经将“TISAX 范围摘要(TISAX scope excerpt)”发给了我方(其中一个)认证机构,则您只需在 ENX 门户中创建新地点(如适用),并与您的认证机构讨论相关变更事宜即可,您的认证机构将根据变更执行评估,并在 ENX 门户中更新范围信息。 |
|
|
请注意: 在 ENX 门户中,您无法删除评估范围。若因不小心错误创建了评估范围,请联系我们。 由我们来为您删除。 |
4.5.8. 确认邮件
在您完成上述所有强制性步骤后,我们将对您的申请进行审核,并向您发送确认邮件。
该邮件包含两项重要信息:
-
所有 TISAX 认证机构的联系人列表
为针对您的评估范围来相应执行评估工作,您必须选择我方其中一家 TISAX 认证机构。您可以通过联系人来咨询评估事宜。
有关认证机构选择的更多信息,请参见 章节 5.3, “选择认证机构”。 -
以 PDF 附件形式提供的“TISAX 范围摘要(TISAX Scope Excerpt)”
该文件包含:
-
我们数据库中储存的信息
-
您的参与者 ID
请参见下文章节 4.5.8.1, “Participant ID ( 参与者 ID)” -
您的范围 ID
请参见下文章节 4.5.8.2, “Scope ID ( 范围 ID)”
-
关于确认邮件的样式,请参见 章节 7.2, “附录:确认邮件示例”。
关于“TISAX 范围摘要(TISAX Scope Excerpt)”的示例,请参见 章节 7.3, “附录:TISAX 范围摘要示例”。
通常,您将在三个工作日内收到我们的确认邮件。
如果您在七个工作日内仍未收到我们的邮件,请确认:a) 您已提供所有信息,并且 b)评估范围状态为“等待 ENX 批准”。 只有在信息完整的情况下,我们才会启动注册处理流程。如果您认为所提供的信息是完整的,但我们却没有联系您,那么请您联系我们。
我们会将确认电子邮件发送给主要参与者联系人。
|
|
请注意: 每一项评估范围都会经历一个工作周期。在目前阶段,您的评估范围的状态为“等待 ENX 批准(Awaiting ENX approval)”。 关于评估范围状态的更多信息,请参见 章节 7.5.5, “Assessment scope status “Awaiting your payment” ( |
以下两个子章节将详细介绍“参与者 ID”与“范围 ID”的作用。
4.5.8.1. Participant ID ( 参与者 ID)
参与者 ID 的特点:
-
标识某个 TISAX 参与者。
-
对每个参与者来说是唯一的。
-
在完成注册后,由我们进行分配。
-
是我方所有 TISAX 认证机构执行信息安全评估工作的前提条件。
-
参与者 ID 示例:
插图 7. 参与者 ID 的格式[12]
|
|
参与者 ID 的前缀是“P” |
|
|
为唯一、任意字符串,只包含字母和数字: |
|
|
请注意: 查找您的参与者 ID 有两种方法:
|
4.5.8.2. Scope ID ( 范围 ID)
范围 ID 的特点:
-
标识某个评估范围。
-
对每个评估范围来说是唯一的。
-
在完成注册后,由我们进行分配。
-
是允许我方所有 TISAX 认证机构执行信息安全评估工作的前提条件。
-
参与者 ID 示例:
插图 8. 范围 ID 的格式
|
|
范围 ID 的前缀是“S” |
|
|
为唯一、任意字符串,只包含字母和数字: |
|
|
请注意: 查找您的范围 ID 有两种方法:
|
|
|
请注意: 每一项评估范围(由范围 ID 标识)都会经历一个工作周期。 关于评估范围状态的更多信息,请参见 章节 7.5, “附录:Assessment scope status( |
4.5.9. 状态信息
在当前阶段,我们使用以下两种状态,来描述您在 TISAX 流程中所处的位置:
1.参与者状态
2.评估范围状态
下图中说明了,为达到某个状态所必需满足的条件:
|
|
您的行动 |
|
|
我们的行动 |
|
|
注册 |
|
|
参与者: |
|
|
评估范围: |
|
|
否 |
|
|
是 |
|
|
完成? |
|
|
完成? |
|
否 |
|
是 |
|
审核 + 批准(确认邮件) |
|
账单 |
|
[ ] 付款 |
|
已付款? |
|
参与者 ID |
|
范围 ID |
|
参与者状态: |
|
评估范围状态: |
|
1.未完成 |
|
2.等待批准 |
|
3.初步完成 |
|
已完成注册 |
|
已失效 |
|
1.未完成 |
|
2.等待您的指示 |
|
3.等待 ENX 批准 |
|
4.等待您的付款 |
|
5.已完成注册 |
|
6.已通过评估 |
|
7.已失效 |
关于状态的含义,以及您如何顺利过渡到下一个状态,请参见附录。
要进一步了解:
-
参与者状态,请见 章节 7.4, “附录:Participant status(
参与者状态)”。
4.5.10. 更改注册信息
|
|
请注意: 有关信息工作周期的所有解答,请参见 章节 7.9, “附录:参与者信息工作周期管理”。 该章节为您讲述如何更改或更新相关数据,如您的公司名称或联系人信息。 |
恭喜!现在,您已是一名 TISAX 注册参与者,可以前往 TISAX 流程的下一步骤。
5. 评估(第 二步)
阅读“评估”章节预计需要 30-35 分钟。
5.1. 总述
评估是 TISAX 流程的第二步,也是完成 TISAX 评估最主要的一个环节。
以下章节内容将带您完成评估这一步:
-
首先,我们将介绍如何利用ISA 自我评估来确定,您是否已准备好接受 TISAX 评估。
-
之后,我们将就如何选择 TISAX 认证机构,来相应给出建议.
-
接下来,我们为您具体讲述评估流程。
-
最后,我们将阐述“流程结果”:即您的评估结果以及相关的TISAX 标签。
5.2. 基于 ISA 的自我评估
为了准备接受 TISAX 评估,首先,您需要将自己的信息安全管理体系(ISMS)调整到最佳状态。为了确认您的 ISMS 是否达到预期的成熟度等级,您应依据 ISA 标准来做一次自我评估。
“信息安全评估”(Information Security Assessment,简称 ISA)是一套标准目录,由“德国汽车工业协会”(Verband der Automobilindustrie e.V.——简称 VDA)发布,是汽车行业执行信息安全评估的通用标准。
以下章节主要以实例形式,来讲解如何完成基于 ISA 的自我评估。
本手册中的阐释、示例和截图依据的是 ISA 版本 5。
|
|
请注意: 欲了解与以往的 ISA 版本相比出现了哪些变化,可参见其 Excel 表“变更历史(Change history)”,来获得相关信息。 |
|
|
请注意: 当 VDA 发布 ISA 新版本时,有关哪一套 ISA 版本适合作您评估之用的信息,请参见 章节 7.11, “附录:ISA 工作周期管理”。 |
5.2.1. 下载 ISA 文件
开始自我评估之前,请先下载 ISA 文件。
您可从我们的网站下载:
enx.com/en-US/TISAX/downloads/
直接下载 Excel 文件:
portal.enx.com/isa5-en.xlsx
ISA 文件的德语版请见:
enx.com/de-de/TISAX/downloads/
5.2.2. 看懂 ISA 文件
在开始自我评估之前,建议您阅读以下说明信息,这可能会有助于您完成相关工作。除了提供 ISA 文件中的官方阐释和定义外,我们还提供这些说明信息是为了重点讲述在 TISAX 评估中的应用。
5.2.2.1. 标准目录
当前,ISA 有三大“标准目录”[13]:
|
|
|
|---|---|---|
1. |
信息安全 |
Information Security |
2. |
原型保护 |
Prototype Protection |
3. |
数据保护 |
Data Protection |
每一个标准目录都有对应的 Excel 表:
哪些标准目录与您相关?这取决于您的 评估对象。
每个评估对象都定义了哪些要求适用哪些标准目录。某些评估对象只适用一个标准目录中的要求,而其他评估对象则适用多个标准目录中的要求。
前述提到的评估对象与这些标准目录呈对应关系:
| 序号 | 评估对象( Assessment objective) |
ISA 标准目录 |
|---|---|---|
1. |
Info high |
Information Security ( |
2. |
Info very high |
Information Security ( |
3. |
Confidential |
Information Security ( |
4. |
Strictly confidential |
Information Security ( |
5. |
High availability |
Information Security ( |
6. |
Very high availability |
Information Security ( |
7. |
Proto parts |
Prototype Protection ( |
8. |
Proto vehicles |
Prototype Protection ( |
9. |
Test vehicles |
Prototype Protection ( |
10. |
Proto events |
Prototype Protection ( |
11. |
Data |
Information Security ( |
12. |
Special data |
Information Security ( |
示例:如果您选择了评估对象“数据保护”,则必须回答“信息安全”和“数据保护”这两个标准目录中的问题。
您可能注意到了,每个标准目录所对应的评估对象不止一个。那么,如何知道哪些要求适用于哪个评估对象?
下表将为您展示所适用的要求:
| 序号 | 评估对象( Assessment objective) |
适用要求 |
|---|---|---|
1. |
Info high |
|
2. |
Info very high |
|
3. |
Confidential |
|
4. |
Strictly confidential |
|
5. |
High availability |
|
6. |
Very high availability |
|
7. |
Proto parts |
|
8. |
Proto vehicles |
|
9. |
Test vehicles |
|
10. |
Proto events |
|
11. |
Data |
|
12. |
Special data |
|
|
|
请注意: “针对‘高’保护需求的附加要求”和“针对‘极高’保护需求的附加要求”两列中的每项要求都标有“C”(意为 Confidentiality( 上表将这两列中的要求缩小到标有一个上述字母时,标有此字母及额外字母的要求也适用。 例如标有“(C)”、“(C、I、A)”或“(C、I)”的所有要求均适用于上表中指定“C”的位置(例如,在评估对象“Special data”中)。 |
以下截图展示了“信息安全”标准目录中控制问题的主要元素。(其他标准目录仅包含这些元素的子集。)我们将在下文中逐一解释这些元素。
|
|
成熟度等级 |
|
|
章节 |
|
|
“控制”问题 |
|
|
要求 |
|
|
对象 |
|
|
所有保护需求 |
|
|
“高”保护需求 |
|
|
“极高”保护需求 |
5.2.2.3. “控制”问题
针对每一个标准目录,您可在相应的 Excel 表中看到该问题。
例如:“4.1.2 用户在访问网络服务、IT 系统及 IT 应用时,其安全性保障程度如何?”
“控制”问题亦称作“控制点”,是“审计人员行话”。ISA 所依据的 ISO 标准使用“控制”一词。
5.2.2.4. 自我评估表单字段
在“Maturity level”( 成熟度等级)列和 “Control question”( 控制问题)列之间,是您在进行自我评估时需要填写的表单字段:
| 表单字段 | 用途 | 是否必须填写? |
|---|---|---|
Implementation description ( |
您应在此处简要说明,为了在您公司应对提到的“控制”问题,您都做了哪些工作。 |
是 |
Reference Documentation ( |
您应在此处说明,哪个(些)文件可以证明您所做的工作。 |
是 |
Findings/Result ( |
如果您认为理想情况与实际情况不符,那么您可在此处填写相关发现。 |
否 |
只有“实施描述”和“参考文件”为必填项。上述信息将有助于我们的 TISAX 认证机构更好地了解您的公司,从而更有针对性地准备评估工作。
为了支持您开展自我评估,以下几列信息可供您参考:
-
Measures/recommendations (
措施/建议) (R 列) -
Date of assessment (
评估日期) (S 列) -
Date of completion (
完成日期) (T 列) -
Responsible department (
负责部门) (U 列) -
Contact (
联系人) (V 列)
|
|
重要提示: 如果您打开下载后的 Excel 文件,并选择其中一个标准目录工作表(如“信息安全”),那么您可能不会立即看到自我评估表单字段。为了令其显示,您需要点击“2”级分组按钮。[14] 该按钮位于 C1 单元格左上方,点击后将扩展视图,从而显示自我评估表单字段。 
另一个方法是,按住箭头向下滚动。由于单元格中的信息量庞大,因而在拖动滚动条时,需要精确掌握好滑移位置。如果您利用指针设备的滚动功能来实现这一点,那么您可能会不经意间跳过某些内容较多的单元格。 |
5.2.2.5. 对象
“控制问题(Control question)”列的右侧是“目标(Objective)”列(J 列)。该栏内容描述了,为了在所提到的方面使您的信息安全管理符合要求,您需要具体做什么。
示例(针对控制问题 4.1.2):“只有经过安全识别(验证)的用户才能访问 IT 系统。鉴于此,将通过适当的流程来确认用户的身份,从而确保访问安全。”
5.2.2.6. 要求
要求是指为了实现目标而需要满足的条件。
相关要求分布在以下四列中:
-
Requirements (must) (
要求 (必须)) (K 列) -
Requirements (should) (
要求 (应当)) (L 列) -
Additional requirements for high protection needs (
针对“高”保护需求的附加要求) (M 列) -
Additional requirements for very high protection needs (
针对“极高”保护需求的附加要求) (N 列)
根据您需要达到的保护需求(可参考您的评估对象),您应当相应满足所有的要求。
某些评估对象只有部分要求适用。如需详细了解要求的适用性,请参阅章节 5.2.2.1, “标准目录”中的表格 8, “要求是否适用于评估对象”,特别是该节末尾处的note。
欲进一步了解 ISA 对要求等级“必须(must)”和“应当(should)”的定义,请参见 Excel 表“定义(Definitions)”中的“关键术语(Key terms)”。
|
|
重要提示: 请务必了解,您必须根据对象的背景和精神来解释每项要求。即便完全精准地履行了一项要求,也不能保证认证机构确认您按照目标(J 列)的背景和精神满足了该要求。 关于文中的要求及其措辞表述,其依据对象是一家虚构的、规模不详的普通公司,且在理论条件下实施有关工作。 而审计人员则需要根据您公司的实际执行情况,来相应对目标进行权衡判断。对于普通公司合情合理的情况,对于您的公司未必符合要求。 更多相关信息,请参见 章节 5.2.5, “分析并总结自我评估结果”。 |
5.2.2.7. 成熟度等级
针对您的信息安全管理体系,ISA 使用“maturity levels”(“成熟度等级”)这个概念来对其各个方面的质量水平进行评级。您的信息安全管理体系越复杂,其成熟度等级就越高。
ISA 区分六种不同的成熟度等级,您可在 Excel 表“Maturity levels”(“成熟度等级”)中查看详细定义。为了以直观的方式了解各个成熟度等级,我们在此引用 ISA 中给出的非正式描述:
| Maturity level ( 成熟度等级) |
名称 | 描述 |
|---|---|---|
0 |
Incomplete ( |
流程缺失、未得到遵守,或者不适合用于实现目标。 |
1 |
Performed ( |
遵循了流程,但流程无书面记录或记录不完整。然而,有证据表明,借助它可以实现目标。 |
2 |
Managed ( |
遵循了流程,且借助流程可以实现目标;流程文档以及流程执行证据齐全。 |
3 |
Established ( |
遵循了标准流程,且该流程贯穿整个体系;与其他流程之间的依存关系有书面记录,且已创建合适的衔接标准。有证据表明,在相当长的一段时间内,所述流程的使用频率和受重视程度均较高。 |
4 |
Predictable ( |
遵循了健全完善的流程。通过收集关键数据,对流程的有效性进行持续监控。针对流程被认为不够有效且需要调整的地方,相应定义了极限值。(关键绩效指标“KPI”) |
5 |
Optimizing ( |
遵循了经过查缺补漏且以持续改进作为主要目标的流程。通过集中相关资源,来积极推动改进。 |
您应当按照各个问题,来对您信息安全管理体系的成熟度等级进行评估。在“Maturity level”(“成熟度等级”)(E 列)这一列中输入您的成熟度等级。
|
|
您的成熟度等级 |
欲进一步了解目标成熟度等级,及其对您评估结果的影响,请参见 章节 5.2.4, “解读自我评估结果”。
有了进一步的了解之后,您便可准备开始进行自我评估了。
5.2.3. 执行自我评估
打开 Excel 文件,检查各个标准目录(适用于您的评估对象)中的所有“控制”问题,并确定与您信息安全管理体系的当前状态相匹配的成熟度等级。请依据您自己的最佳判断来完成这一步——在该阶段,并无对与错之说。
在您完成自我评估后,应完整填写 Excel 表“结果”(Results,ISA5)中的“结果(Result)”列(H),可填写数字(0-5),或“n.a.”(即表示“不适用”)。
|
|
绿色 |
如有关于 ISA 的问题,请联系我们。
5.2.4. 解读自我评估结果
在以下五个子章节中,我们将阐述如何分析并解读您的自我评估结果。通过分析,您将明白自己是否已为 TISAX 评估做好准备。
5.2.4.1. 分析
您的结果得分是对自我评估结果的总结。
您可在 Excel 表“结果”(Results,ISA5)(D6 单元格)中查看结果得分(“回归至目标成熟度等级的结果”)。我们将稍后解释什么是“回归”。
|
|
您的结果得分 |
|
|
最高结果得分 |
为了理解并随后对您的自我评估结果和结果得分进行解读,您需要区分两种类型的分析级别:
-
问题级
该级别涉及所有的问题,每个问题均对应一个目标成熟度等级和您的成熟度等级。 -
分数级
在该级别有一个总体结果,它是所有问题结果的总结。相应地,也有一个最高结果得分以及您的结果得分。
下图中展示了这两个分析级别:
|
|
分析 |
|
|
问题级 |
|
|
目标成熟度等级 |
|
|
您的成熟度等级 |
|
|
分数级 |
|
|
最高结果得分 |
|
|
您的结果得分 |
下图展示了在何处可以看到 分数级和 问题级的结果。
|
|
分数级 |
|
|
问题级 |
下图直观展示了分析级别、 ISA 目标定义以及 您本人的结果:
|
|
目标成熟度等级 |
|
|
您的成熟度等级 |
|
|
问题级 |
|
|
Q(问题) |
|
|
TML(目标成熟度等级) |
|
|
YML(您的成熟度等级) |
|
|
最高结果得分 |
|
|
您的结果得分 |
|
|
分数级 |
以下章节对结果及其分析进行了详细的阐述。
5.2.4.2. 目标成熟度等级(问题级)
ISA 为每个问题所规定的“目标成熟度等级”为 3。
欲进一步了解各个成熟度等级的定义,请参见 章节 5.2.2, “看懂 ISA 文件”。
ISA 在 Excel 表“结果”(Results,ISA5)中(从 G 列、第 22 行开始,见下图)对目标成熟度等级进行了定义。
|
|
目标成熟度等级 |
5.2.4.3. 您的结果(问题级)
为了获得 TISAX 标签,您通常需要使每个问题的成熟度等级等于或者高于目标成熟度等级。
示例:如果问题 X 的目标成熟度等级为“3”,则您针对该问题的成熟度等级也应当为“3”或者更高。但是,如果您的成熟度等级在“3”以下,那么就有可能无法获得 TISAX 标签。
这一点只适用于单个问题,比如说,如果两个问题的目标成熟度等级都是“3”,而您针对其中一个问题的成熟度等级是“2”,另一个为“4”,那么,您不能采用“取高补低”的做法,让两个成熟度等级都达到“3”。
ISA 文件会自动将您的成熟度等级从 Excel 表“信息安全”(E 列)转移到 Excel 表“结果”(Results,ISA5)(从 H 列、第 23 行开始)中:
|
|
您的目标成熟度等级 |
在 ISA 文件总结您的成熟度等级,并将之体现在得分结果中之前,会对其进行计算。一个基本原则是,您的成熟度等级会“回归”到目标成熟度等级。这样做是为了防止一旦您针对某些问题的成熟度等级高于目标成熟度等级,而针对另一些则低于目标成熟度等级,从而出现两者之间“取高补低”的情况。
以下是 ISA 计算结果(问题级)的方式:
-
取您的成熟度等级,并将其与问题的目标成熟度等级进行比较。
-
如果您的成熟度等级高于目标成熟度等级,则其将“回归”到目标成熟度等级。
-
如果您的成熟度等级低于或等于目标成熟度等级,则针对该问题将不采取行动。
示例(见下图): 目标成熟度等级为“3”,而 您的成熟度等级为“4”。因此,针对该问题,您的“回归结果”将为“3”。
|
|
输入 |
|
|
计算 |
|
|
输出 |
|
|
(问题级) |
|
|
目标成熟度等级(TML) |
|
|
您的成熟度等级(YML) |
|
|
YML > TML? |
|
|
是:回归至 TML |
|
|
否:不执行回归 |
|
|
结果成熟度等级(RML) |
在下图中可以看到,如果您的成熟度等级高于目标成熟度等级,ISA 将执行回归操作(图中的绿色、橙色和红色对应了“结果”列中使用的颜色,请见插图 19, “Excel 表“结果”(Results,ISA5)中您的成熟度等级”)。
|
|
示例: |
|
|
YML |
|
|
TML |
|
|
回归 |
以下是另一种查看成熟度等级(问题级)的方式。圆圈的颜色代表目标成熟度等级,或与它之间的“距离”(例如,如果成熟度等级比目标成熟度等级低“1”级,则用橙色圆圈表示)。对勾则代表您的成熟度等级。
|
|
成熟度等级 |
|
|
问题 |
|
|
回归 |
|
|
目标成熟度等级(TML) |
|
|
比 TML 高一级或一级以上 |
|
|
比 TML 低一级 |
|
|
比 TML 低两级或两级以上 |
|
|
您的成熟度等级(YML) |
|
|
回归至 TML |
|
|
请注意: 即使您在所有问题上都没有达到目标成熟度等级,您依然有可能通过 TISAX 评估。在这种情况下,主要问题在于您是否存在关联风险。如果您的成熟度等级低于目标值,但您自身并无风险,那么依然可能满足通过条件。 |
5.2.4.4. 目标值(分数级)
ISA 定义了一个“理想”的总体成熟度等级——即“最高结果得分”(或“最高得分”,G6 单元格)。
|
|
最高结果得分 |
理论上来说,该总体成熟度等级是所有目标成熟度等级(问题级)的平均值,也就是最高结果得分为“3.0”。
然而,该值为“3.0”的前提条件是,所有问题均适用于您的具体情况。一旦某个问题不适用于您的情况,那么平均值就会发生变化,最高结果得分将低于“3.0”。
根据上图(插图 22, “成熟度等级(问题级)”)所示,再参照下图,您可以看到最高结果得分平均值的变动轨迹:
|
|
成熟度等级 |
|
|
问题 |
|
|
回归 |
|
|
最高结果得分 |
5.2.4.5. 您的结果得分(分数级)
您的总体结果得分(“回归至目标成熟度等级的结果”,D6 单元格):
-
对您信息安全管理体系的总体成熟度等级进行了总结。
-
是您所有成熟度等级(问题级)的平均值。
-
可能低于或等于最高结果得分。
-
应当尽可能接近最高结果得分。您的结果得分与最高结果得分之间的差距越大,您获得 TISAX 标签的可能性就越小。
|
|
您的结果得分 |
同样,根据上图(插图 22, “成熟度等级(问题级)”)所示,再参照下图,您可以看到结果得分平均值的变动轨迹:
|
|
成熟度等级 |
|
|
问题 |
|
|
回归 |
|
|
您的结果得分 |
通过结果得分,您可以看到:
-
自己是否已准备好接受 TISAX 评估。
-
自己是否有望获得 TISAX 标签。
如果您的结果得分(“回归至目标成熟度等级的结果”)在“3.0”以下,则说明至少在一个问题上,您的成熟度等级未达到目标成熟度等级。在这种情况下,为做好接受 TISAX 评估的准备,您或许应首先对自己的信息安全管理体系进行改进。
|
|
请注意: 关于总体得分,您的结果得分与最高结果得分(“回归至目标成熟度等级的结果”)之间可以存在一个合理的“差距”,也就是官方限值。 如果您的结果得分低于最高结果得分的幅度:
|
|
|
重要提示: 结果得分(“回归至目标成熟度等级的结果”)为“3”并不能保证您一定会顺利通过 TISAX 评估,且无任何不利于您的发现。请记住,审计人员看待某些问题的方式可能与您不同。 |
5.2.4.6. 您准备好了吗?
上述分析的目的是让您了解自己是否已准备好接受 TISAX 评估。
如果您的结果得分(“回归至目标成熟度等级的结果”)为(接近于)“3.0”,那么毫无疑问,您已具备接受 TISAX 评估的资格。在这种情况下,“结果”列(H)中的所有值均为绿色(无橙色或红色)。
如果不是绿色,那么您需要对自我评估结果进行分析总结(请参见 章节 5.2.5, “分析并总结自我评估结果”)。
下图中展示了 Excel 表“结果”(Results,ISA5)中的 ISA 蜘蛛网图。 绿线表示每一章对应的目标成熟度等级。如果您的成熟度等级 恰好达到或超过该线,则表明您已经可以接受 TISAX 评估了。反之,如果在该线 以下,则说明您的条件还不足以获得 TISAX 标签。
|
|
您已准备好接受 TISAX 评估 |
|
|
目标成熟度等级 |
|
|
满足成熟度等级要求并不意味着一定有资格获得 TISAX 标签! |
如果您将 ISA 蜘蛛网图“展开”到问题级,则会获得类似的 绿色/红色视图(问题级):
|
|
成熟度等级 |
|
|
问题 |
|
|
您的结果得分可能不足以获得 TISAX 标签 |
|
|
您已准备好接受 TISAX 评估 |
5.2.5. 分析并总结自我评估结果
您的自我评估结果可能表明,在具备获得 TISAX 标签的资格之前,您需要对自己的信息安全管理体系进行改进。
对于您的成熟度等级与目标成熟度等级之间的差距,您或许已知道如何进行弥补。对于其他事宜,您可能需要咨询外部人士。在这种情况下,您可以请求我们的 TISAX 认证机构为您提供咨询服务。TISAX 允许其提供咨询,但不作要求。请注意,无论是哪一家认证机构,只要为您提供过咨询服务,便不能再为您进行 TISAX 评估。
|
|
重要提示: 对于许多公司而言,在接受正式评估之前,没有对自我评估结果进行适当的分析和总结是阻碍其通过评估的主要绊脚石。请不要低估这项工作——根据要求去调整改进您的信息安全管理体系,在这方面付出的时间和精力都是值得的。许多公司为了准备 TISAX 评估,甚至需要为此专门立项,且工作量巨大。 |
|
|
请注意: 当您为通过 TISAX 评估流程而寻求外部帮助时,您会发现有不少公司提供这方面的咨询和培训服务。这些公司当中没有任何一家与我们有关联。 目前,我们:
|
|
|
请注意: |
5.3. 选择认证机构
只有我们的签约认证机构才有资格执行 TISAX 评估工作。[15] TISAX 认证机构有资格为您执行 TISAX 评估,但前提是,他们此前从未向您提供过任何形式的咨询服务。
我们所有的 TISAX 认证机构将仅为那些成为 TISAX 注册参与者的公司提供 TISAX 评估服务。
|
|
重要提示: 注册 TISAX 评估范围后,您应当开始联系我们的认证机构。他们需要一定的前期筹备时间。如您完成准备工作之后再与他们联系,可能会增加不必要的延误。 |
|
|
请注意: 每一项评估范围都会经历一个工作周期。在目前阶段,您的评估范围的状态应当为“已批准(Approved)”或“已完成注册(Registered)”。 关于评估范围状态的更多信息,请参见 章节 7.5.5, “Assessment scope status “Awaiting your payment” ( |
5.3.1. 联系人信息
注册 TISAX 评估范围后,您就可以联系所有 TISAX 认证机构并请求报价。后者的联系人信息会随注册确认邮件一并发送给您[16](请参见 章节 4.5.8, “确认邮件”)。
|
|
请注意: 请确保仅在注册完成后,才向 TISAX 认证机构请求报价。认证机构将相应检查是否有注册记录,如无,则会拒绝您的请求。 这也是为什么您仅在注册确认邮件中才会收到认证机构的联系人信息,而不是通过我们的公共网站获得。 |
5.3.2. 地域限制
目前,虽然许多认证机构的联系人都常驻德国办公,但您需要明白的是,我们所有的认证机构原则上都能够在全球各地执行 TISAX 评估任务。其中,大多数甚至已在多个国家雇用本地员工开展业务。
在我们的网站上,我们设立了专门页面来供您选择国家,从而了解哪一家认证机构在本地安排了销售人员和/或审计人员( enx.com/en-US/TISAX/xap/)。
5.3.3. 请求报价
为了让我们的 TISAX 认证机构能够针对预期评估工作量进行精确计算,您应确保提供“TISAX 范围摘要(TISAX Scope Excerpt)”。
更多相关信息,请参见 章节 4.5.8, “确认邮件”。
|
|
请注意: 公正性是 TISAX 认证机构工作中的一个关键要素,旨在确保不会出现利益冲突。您在联系服务提供商的时候,应当考虑到这一点。如果您的公司与认证机构有某种程度的关系,则其将无法为您提供评估服务。 |
5.3.4. 评估执行人选择依据
您可以自由选择 TISAX 认证机构,因为他们均受相同合同的约束,且均基于相同的标准和审计方法来执行评估工作。就评估结果而言,无论您选择哪一家认证机构,都不会给结果带来影响——您的评估结果是被所有 TISAX 参与者承认的。
除了价格、声誉和喜好等外在因素,您还应当考虑以下方面:
-
时效性:
评估流程需要多久才能启动?如果您急需通过 TISAX 评估,则应重点考虑该方面。 -
与现场审计相关的差旅成本:
认证机构如在您的国家/地区设有办事处,则可相应降低差旅成本。 -
语言:
您和您公司里的每一位受约谈话人是否能够用自己的母语与审计人员交流? -
报价范围:
具体包括哪些评估内容?
更多评估相关信息,请参见 章节 5.4.3, “TISAX 评估类型”。
通常,评估内容包括“初始评估”以及“纠正行动计划评估”。由于后续评估工作量难以预测,因而通常等到其他评估工作完结后才相应提供。
最后要考虑的便是信任。由于认证机构会深入了解您公司的情况,因而您需要与其结成一种充满互信的合作关系。
|
|
请注意: |
|
|
请注意: 虽然我们很想告诉您认证机构收取多少评估费用,但我们无法提供此类信息,敬请谅解。有太多因素会影响到费用。此外,我们的认证机构提供免费的商业计算服务。 不过,我们可以粗略估算认证机构将向您收费的人工天数。对于只有一个地点的普通小公司,您应该为评估级别 2 的评估支付 3.5 到 4 个人工天数的费用,为评估级别 3 的评估支付 5 到 6 个人工天数的费用。 |
|
|
请注意: 每一项评估都会经历一个工作周期。 关于评估状态的更多信息,请参见 章节 7.6, “附录:Assessment status( |
您在选择了其中一家 TISAX 认证机构后,便可正式启动 TISAX 评估流程。
5.4. TISAX 评估流程
5.4.1. 总述
TISAX 评估流程包含多项不同类型的评估。大多数情况下,评估数量都会在一项以上。
您应将整个评估流程视为一个相互交织的步骤序列,其中:
-
您针对自己的信息安全管理体系进行准备,确保其运作良好。
-
认证机构负责检查您的信息安全管理体系,看其是否符合特定的要求,且有可能发现漏洞。
-
您需要在规定的期限内消除漏洞。
-
之后,认证机构将再次检查您是否已消除了漏洞。
上述步骤将交替进行,直到消除所有漏洞为止。
您需要明白的是,负责启动评估流程中每一个步骤的,正是您本人。整个评估流程是在您的掌控之下。当然,是否随时终止并退出评估流程,也取决于您自己。[17]
TISAX 评估流程具有以下宏观结构:
-
启动会议
您和认证机构在此时规划评估流程的细节 -
评估阶段 1
认证机构检查您的自我评估 -
评估阶段 2
认证机构开展评估
5.4.2. 启动会议
TISAX 评估流程的第一步是启动会议。这一环节的目的是规划评估流程的细节。启动会议通常采用电话会议的形式。认证机构将指引您参加会议。
会议议程包含的部分议题如下:
-
参与者有哪些?
-
哪家公司接受评估?
-
TISAX 评估流程是如何运作的?
-
评估范围是怎样的?是否合理?
-
是否不存在利益冲突?
-
优秀的自我评估是怎样的?
-
谁负责什么工作?
-
我们如何交流?
-
评估在何时开展(以及其他时间规划如何)?
-
谁需要参与评估?
-
如需投诉,您应该联系谁?
从启动会议结束到提交自我评估报告之间的时间间隔通常为一到三个月,但六个月的时间间隔也很常见。这个期间要取决于您的准备情况。TISAX 并未对此时间间隔的截止日期做出任何规定。您可以根据自己需要的时长,充分准备自我评估并为评估做好准备。
5.4.3. TISAX 评估类型
TISAX 评估流程由三大评估类型组成:
-
初始评估(
Initial assessment) -
纠正行动计划评估(
Corrective action plan assessment) -
后续工作评估(
Follow-up assessment)[18]
始终需要执行初始评估。另外两项 TISAX 评估可能在出现下列情形前反复进行多次:
-
您消除了所有漏洞
-
您退出了 TISAX 评估流程
-
或者在初始评估结项会议结束后,您达到了九个月的最长期限(此时需要重新进行初始评估)。
在以下章节中,我们将为您讲述所有类型的 TISAX 评估。
|
|
请注意: 每一项评估都会经历一个工作周期。 关于评估状态的更多信息,请参见 章节 7.6, “附录:Assessment status( |
5.4.4. TISAX 评估要素
每一项 TISAX 评估均包含以下要素:
在“结项会议”之后,认证机构会准备好更新后的“TISAX 评估报告”(草稿版)并发送给您。如果您认为,认证机构在某些事项上存在误解,则您可以提出异议。[22]之后,认证机构将签发最终版的“TISAX 评估报告”。
以上所有要素将在下文章节中进行阐述。
5.4.5. 关于符合性
在继续讲述 TISAX 评估流程之前,我们想为您解释一个重要概念,它对于理解接下来章节的内容至关重要。
TISAX 评估的目的,是确定您的信息安全管理体系是否符合特定的要求。认证机构将检查您的信息安全管理体系,看其是否“符合”( “conforms”)相关的要求。
第一步:针对每一项适用要求进行检查。
如果您的体系方法“符合”所有要求,那么您便可以通过评估,并获得与您的评估对象相匹配的 TISAX 标签。
以下各项(完全或较好符合要求)被称作“评估发现”( finding)。TISAX 共有四种类型的评估发现:
| 序号 | 类型 | 定义 | 反应 | 示例 |
|---|---|---|---|---|
1. |
重大不符合项( |
重大不符合项:
|
您必须:
|
|
2. |
轻微不符合项( |
轻微不符合项:
|
您必须:
|
|
3. |
观察意见( |
观察意见是指有违您自身的政策要求,不会立即对您的信息安全造成风险,但将来可能会造成风险的不符合项。 |
您必须:
|
不适用 |
4. |
改进建议( |
这是指不属于上述类型的偏差,虽然不会对信息安全造成风险,但有明显改进空间。 |
您可以决定是否要处理或如何处理这类评估发现。 |
不适用 |
第二步:将前述“对照要求”步骤的所有评估结果纳入整体评估结果。
整体评估结果有以下几种情形:
-
符合(
Conform)
整体评估结果为“符合”,即满足所有要求。 -
轻微不符合(
Minor non-conform)
针对某项要求,如果您至少有一处“轻微不符合项”,则整体评估结果为“轻微不符合”。 -
重大不符合(
Major non-conform)
针对某项要求,如果您至少有一处“重大不符合项”,则整体评估结果为“重大不符合”。
(如果没有相应的纠正行动计划,每一个“轻微不符合项”都会导致整体评估结果成为“重大不符合”。)
如果您的整体评估结果为:
-
“轻微不符合”,那么您可以获得 TISAX 临时标签,直到所有的轻微不符合问题得到解决为止。
-
“重大不符合”,那么您只有在解决了有关问题之后,才能获得 TISAX 标签。
如果有合适的、经过认证机构批准的整改措施和纠正行动计划,则您有可能将整体评估结果从“重大不符合”改为“轻微不符合”,因而获得 TISAX 临时标签。
您需要明白的是,在整个 TISAX 评估流程期间,您的整体评估结果是可以改进的。
简单举例说明:在初始评估之后,您获得“重大不符合”这一整体评估结果。之后,您采取措施缓解了有关风险。这一行动会将您的整体评估结果由“重大不符合”提升至“轻微不符合”,在彻底消除风险后,您的整体评估结果将变成“符合”。
相关内容将在下文中作详细阐述。有关 TISAX 标签的更多信息,请参考下文 章节 5.4.14, “TISAX 标签”。
5.4.6. TISAX 评估流程准备工作
认证机构将基于您的自我评估结果来相应准备评估工作。因此,建议您提前将自我评估结果提供给认证机构。相应的文件交付截止日期可在启动会议上进行商议。
认证机构在做好充分准备的情况下,可有助于减少评估所需要的时间。除了自我评估文件以外,认证机构在开始评估之前,还会要求您提供其他相关文件,比如您在自我评估中引用的文件,以及认证机构认为相关的其他文件。
基于这些信息,认证机构将相应制定评估程序计划。
5.4.7. 初始评估
这是首项 TISAX 评估,它标志着 TISAX 评估流程正式开始。
|
|
重要提示: “初始评估”标志着两个重要时间段的开始:
这两个期间都从初始评估的结项会议当天开始计算。 |
|
|
请注意: 除上述两个期间之外,没有其他时间限制。例如,无论是完成在线注册流程、联系我们的认证机构,甚至是召开启动会议,都不会触发其他截止期限。截止期限只取决于您开始初始评估的时间。 |
5.4.7.1. 首次正式立项会议
与所有 TISAX 评估一样,初始评估开始的标志是召开正式立项会议。正式立项会议通常以电话或视频会议的形式进行。对于小公司,尤其是有其他审计经验的公司,此过程通常不会花费太长时间。
会议的目的是:
-
检查评估前提条件
-
介绍评估项目负责人以及评估团队
-
制定评估计划
5.4.7.2. 评估程序
认证机构将依据准备工作计划,来相应执行初始评估。具体评估过程将视您的评估对象而定。评估形式主要包括电话会议、现场约谈以及现场检查,其所涉及的评估深度各不相同。[23]
在初始评估期间,认证机构将介绍所有的评估发现。
5.4.7.3. 结项会议
在结项会议上,认证机构将再次总结所有的评估发现。
5.4.7.4. TISAX 评估报告
在结项会议之后,认证机构会准备并向您发送“TISAX 评估报告”(草稿版)。如果您认为,认证机构在某些事项上存在误解,则您可以提出异议。[24]之后,认证机构将签发“TISAX 评估报告”。
在此阶段,整体评估结果的状态有可能是:
-
符合,或者
-
重大不符合
如果“(轻微)不符合项”未得到处理,则会导致整体评估结果成为“重大不符合”。然而,若您相应制定了行动计划,并采取措施来纠正不符合项,那么您的整体评估结果可确保转为“轻微不符合”。
关于如何实现这一点,更多信息请见 章节 5.4.9.4, “TISAX 临时标签”。
如果在初始评估阶段,您的整体评估结果就已经为“符合”,那么您可跳过其余评估环节,直接前往评估结果“交换”这一步。
如果您的整体评估结果为“重大不符合”,那么您接下来的任务便是相应制定计划,对照评估发现进行纠错整改,并消除认证机构所发现的漏洞。这项计划被正式称为“纠正行动计划”( “corrective action plan”)。
|
|
请注意: 如若在评估开始之前,您注意到会造成不符合的情况,而且无法在评估之前解决问题,那么您可以体现规划纠正行动(包括实施日期),并在评估期间将其呈递给认证机构。从理论上来讲,这可能导致“轻微不符合”的整体评估结果。但这种情况非常罕见。 |
5.4.8. 纠正行动计划准备
您的“纠正行动计划”( “corrective action plan”)将确定您如何相应制定计划,来针对初始评估发现中的问题进行整改。认证机构将对“纠正行动计划”的合适性进行评估(见以下章节)。
为创建“纠正行动计划”,您应当考虑下列要求:
-
评估发现
-
您需要说明纠行动对应的是哪项评估发现。
-
-
根本原因
-
您需要确定并说明评估发现的根本原因。
-
-
纠正行动
-
针对每一个不符合项,您需要制定一项或多项“纠正行动”,以确保能够采取措施来消除不符合项。
-
-
实施日期
-
您需要为每一项纠正行动确定一个实施日期。
-
具体实施期限应确保为全面落实措施留出充足的时间。
-
-
整改措施
-
对于所有带来重大风险的不符合项,您需要相应制定整改措施,来消除不符合项,直到纠正行动得到落实为止。
-
-
落实期限
-
对于所有落实期限超过三个月的纠正行动,您需要就该期限给出合理的解释。
-
对于所有落实期限超过六个月的纠正行动,您需要额外提供证据,来证明无法做到更快落实相关行动。
-
对于所有的纠正行动,其落实期限均不得超过九个月。
-
一旦您的纠正行动计划制定完毕,您便可请求执行“纠正行动计划评估”。
|
|
重要提示: 我们建议尽早启动落实相关计划,而无需等待“纠正行动计划评估”的结果。 |
|
|
请注意: TISAX 只对纠正行动计划的内容有要求,对其形式并无要求。 |
5.4.9. 纠正行动计划评估
“纠正行动计划评估”的目的,是证实您的“纠正行动计划”(如上所述)满足 TISAX 的有关要求。
您需要将“纠正行动计划”提交给认证机构,并由其根据相关要求(见下文)进行评估。如果您的计划符合要求,认证机构将签发更新后的“TISAX 评估报告”。
这项评估过程通常耗时不长,在大多数情况下,这将采用电话会议或网络会议的形式。有时甚至直接通过电子邮件完成。
5.4.9.1. 评估纠正行动计划的原因
开展“纠正行动计划评估”的原因有:
-
在以下环节后依然为“不符合”状态
-
初始评估
-
后续工作评估
-
范围扩展评估
-
-
或者一份已完成评估的“纠正行动计划”,但该计划不符合要求
-
纠正行动计划实施期限计算中依据的影响因素发生了变化
5.4.9.2. 与初始评估结合执行
“纠正行动计划评估”并非一定是一项独立进行的活动。在初始评估的结项会议上,您便已经可以选择展示您的“纠正行动计划”。在此情况下,认证机构可直接执行“纠正行动计划评估”。
如果您将“纠正行动计划评估”与初始评估结合执行,并且您的“纠正行动计划”符合要求,那么您可以与认证机构商议,无需再出具“初始评估报告”。反之,认证机构将着手准备“纠正行动计划评估报告”。该报告可让您直接获得 TISAX 临时标签。
5.4.9.3. 纠正行动计划要求
认证机构将参照以下要求来评估您的“纠正行动计划”:
-
措施合适
-
认证机构将根据纠正行动能否解决不符合项的根本原因来评估其合适性。
-
-
通过采取适当的整改措施,有效缓解了重大风险[25]
-
落实期限合适
-
落实期限的起始日期为初始评估结项之日
-
-
所有落实期限均不长于:
-
三个月(无需给出理由)
-
六个月(无需给出理由和证明)
-
九个月
-
5.4.9.4. TISAX 临时标签
如果您的整体评估结果为“轻微不符合”,则可获得 TISAX 临时标签。
TISAX 临时标签的优点是,它通常被您的合作伙伴接受;但前提是,您之后会顺利获得 TISAX 正式标签。如果您急需向合作伙伴证明,您的信息安全管理体系运作符合要求,则该标签会对您有所帮助。
获得 TISAX 临时标签的前提条件是,已出具纠正行动计划评估报告,且整体评估结果为“轻微不符合”。
临时 TISAX 标签等同于永久 TISAX 标签。 唯一的区别在于 TISAX 临时标签的有效期较短。
临时 TISAX 标签的最常有效期为初始评估结项会议后的九个月。临时 TISAX 标签的有效期由纠正行动的最长实施期限决定。
示例:
-
您只有一处不符合项。您必须进行政策审查。相关的实施期限为两个月。
然后,您的 TISAX 临时标签的有效期为两个月。 -
上述政策审查的结果是不符合。此外,您有一处不符合项,要求新建一堵外墙作为纠正行动。由于向市政府申请必要的批准需要一定时间,相关的实施期限为八个月。
然后,您的 TISAX 临时标签的有效期为八个月。
关于实施期限要求的更多信息,请参见 章节 5.4.9.3, “纠正行动计划要求”
|
|
请注意: “纠正行动计划评估”为可选项。 在下列情形下,您可直接前往“后续工作评估”:
|
一旦所有纠正行动落实完毕,您便可请求执行“后续工作评估”。
5.4.10. 后续工作评估
“后续工作评估”的目的是,评估是否已顺利解决此前发现的不符合项。通常,在您确定已消除所有的不符合项之后,便可请求执行后续工作评估。
执行后续工作评估没有次数限制。评估期间,如果认证机构发现,现有的不符合项未得到解决,或者甚至出现了新的不符合项,那么您只需相应更新纠正行动计划,并重新开始这一部分的评估流程即可。
评估具体形式可以为面对面会议、电话或视频会议。
5.4.10.1. 时限要求
您的认证机构可执行后续工作评估的最长时限为:初始评估结项后九个月内。[26]
5.4.10.2. 前提条件
如果您不需要 TISAX 临时标签,便可直接请求执行“后续工作评估”。您不一定非要先进行“纠正行动计划评估”,然后再执行“后续工作评估”。
5.4.10.3. TISAX 临时标签的时效
如果您需要 TISAX 临时标签,那么您应该希望确保在获得 TISAX 正式标签之前,不会出现什么意外。因此,我们建议您在“最迟可用日期”[27]。 这样一来,一旦在后续工作评估期间发现了轻微不符合项,您将有足够的缓冲时间来解决问题。
5.4.11. TISAX 评估流程图解
现在,我们将以上章节的内容用下列图表进行总结:
|
|
您的行动 |
|
|
认证机构的行动 |
|
|
开始 |
|
|
评估准备 |
|
|
由您触发 |
|
|
最长持续时间(九个月)的起始点 |
|
|
初始评估 |
|
|
初始评估报告 |
|
|
发现不符合项? |
|
|
否 |
|
|
e) |
|
|
是 |
|
|
制定纠正行动计划 |
|
|
d) |
|
|
由您触发 |
|
|
开始/继续实施纠正行动 |
|
|
纠正行动计划评估 |
|
|
纠正行动计划评估报告 |
|
|
否(未完成或不合适) |
|
|
纠正行动计划是否没有问题? |
|
|
c) |
|
|
b) |
|
|
a) |
|
|
可获得 TISAX 临时标签 |
|
|
c) |
|
|
b) |
|
|
a) |
|
|
否 |
|
|
纠正行动已完成? |
|
|
是,由您触发 |
|
|
后续工作评估 |
|
|
后续工作评估报告 |
|
|
e) |
|
|
评估结果是否“符合”? |
|
|
d) |
|
|
最长持续时间(九个月)的终止点 |
|
|
是 |
|
|
TISAX 标签 |
|
|
认证机构:上传结果至交换平台 |
|
|
您:在交换平台上共享结果 |
|
|
您:设置更新提醒 |
|
|
结束 |
5.4.12. Assessment ID (评估 ID)
评估范围中的每一项 TISAX 评估都是由一个“评估 ID”进行标识。该 ID 将与您的评估结果和 TISAX 评估报告相关联。
评估 ID 的外观如下所示:
|
|
“评估 ID”的前缀是“A” |
|
|
“认证机构前缀”,由 ENX 协会分配 |
|
|
为唯一、任意字符串,只包含字母和数字: |
|
|
评估计数器 |
“评估 ID”主要用于认证机构与您之间的交流。
5.4.13. TISAX 评估报告
“TISAX 评估报告”( “TISAX assessment report”):
-
在每一次 TISAX 评估之后相应更新并签发。
-
记录认证机构的评估发现。
-
包含整体评估结果(符合、轻微不符合、重大不符合)。
-
包含与您的 TISAX 评估相关的所有其他信息,例如评估对象、范围、参与人员和评估地点等。
“TISAX 评估报告”有以下几种类型(视评估类型而定):
-
初始评估报告(
Initial assessment report) -
纠正行动计划评估报告(
Corrective action plan assessment report) -
后续工作评估报告(
Follow-up assessment report)[28]
“TISAX 评估报告”的框架结构总是一样的。[29] 在完成每一种类型的评估后,认证机构将仅在原来的基础上更新有关内容。也就是说,您只需参考最终版本的 TISAX 评估报告即可,因为它必然包含此前版本的内容。
“TISAX 评估报告”的第一部分是您最终要与合作伙伴共享的。
TISAX 评估报告的一个主要特点是,您希望与合作伙伴或其他参与者共享报告的哪些部分,这完全由您自己来决定。TISAX 评估报告的框架结构设计让这一“选择性分享”成为可能。报告的每一章节都包含不同程度的详细信息。
“TISAX 评估报告”的框架结构如下:
-
A.评估相关信息
公司名称、评估范围、范围 Id、评估 ID、评估级别、评估对象、评估日期、认证机构
该章节中不包含任何评估结果。 -
B.评估结果总体概述
评估结果总体概述(符合、轻微不符合、重大不符合)、发现数量、相应风险的抽象分类 -
C.评估结果汇总
每个章节(例如“9 访问控制”)和每个标准目录(例如“信息安全”)的评估结果汇总 -
D. VDA ISA 成熟度评级(结果表)
各项要求的成熟度等级 -
E.详细评估结果
所有评估发现的详细描述、相应的风险评估结果、所需措施、实施期限
在“交换”步骤(详见下文)中,您可以针对 TISAX 评估报告内容的级别,相应决定您合作伙伴的访问权限。
5.4.14. TISAX 标签
我们已在注册准备章节简要探讨过这一话题. 如此前所述,TISAX 标签是由评估对象演变而来的。
|
|
请求 |
|
|
合作伙伴 |
|
|
接收 |
|
|
输入 |
|
|
对象 |
|
|
TISAX 流程 |
|
|
输出 |
|
|
标签 |
TISAX 标签:
-
是 TISAX 评估流程的输出。
-
是对您评估结果的总结。
-
是一种声明,即您的信息安全管理体系符合特定要求。
由于 TISAX 标签代表了 TISAX 评估流程的特定输出,因此,在与您的合作伙伴以及 TISAX 认证机构交流时,使用 TISAX 标签会更加方便。
5.4.14.1. TISAX 标签的等级关系
评估对象与相应 TISAX 标签之间的对应关系十分直接。此外,某些 TISAX 标签之间存在上下级关系,这一点亦十分重要。换句话说,如果您获得了某个 TISAX 标签,您将自动获得该标签所对应等级“之下”的 TISAX 标签。
示例:如果您的评估对象是“Very high availability”,您会收到相应的 TISAX 标签“Very high availability”。但由于评估对象“Very high availability”是“High availability”的超集,您也会自动获得 TISAX 标签“High availability”。
这些 TISAX 标签目前都采用这种层次结构:
-
“Info high”是“Confidential”和“High availability”的超集。
-
“Info very high”是“Strictly confidential”和“Very high availability”的超集。
-
“Strictly confidential”是“Confidential”的超集。
-
“Very high availability”是“High availability”的超集。
-
“Special data”是“Data”的超集。
|
|
请注意: 您也可以回溯性地获得 TISAX 标签。如果我们推出的新标签是您已获得的某个 TISAX 标签的子集,您将自动获得新标签。 示例:您在标签“High availability”尚且不存在的情况下,获得了 TISAX 标签“Info high”。在我们推出 High availability 标签时,我们的系统会自动将其分配给您。 |
您可以比较适用要求,推导出这些层次关系(适用要求请参见表格 8, “要求是否适用于评估对象”。
可能并非每一位参与者都会注意到这一点。但想象一下,您的一位合作伙伴要求您出示 TISAX 标签“Very high availability”,而另一位合作伙伴则要求提供标签“High availability”。这种情况下,同时拥有两个 TISAX 标签就轻松得多,因为没有人需要明白,“High availability”是“Very high availability”的子集。对于那些要求提供 TISAX 标签来相应满足严格的采购流程要求的合作伙伴来说,这一点尤为重要。这样一来,关于“Very high availability”是否要“好于”“High availability”,您亦无需另作解释,只需出示您所有的 TISAX 标签即可。评估执行人员可以很容易发现是否有“High availability”这个“强制性”标签,从而在相应要求前打勾。
5.4.14.2. TISAX 标签的有效期
通常,TISAX 标签的有效期为三年。该有效期限自评估流程结束之时(亦有可能在 TISAX 评估报告签发之前)算起。
如果涉及 TISAX 评估范围变更等重大事宜,则上述期限有可能会缩短。
例如:公司迁址、添加地点。(关于如何应对此类情形,请参见 章节 7.9.3.2, “如何请求更改地点” 以及 章节 7.9.3.4, “如何添加额外地点”。)
|
|
请注意: 您仅能在 ENX 门户中查看自己的 TISAX 标签,TISAX 评估报告中未作记录。 |
5.4.14.3. TISAX 标签的换发
为了保证 TISAX 标签长期有效,应当每三年换发一次。[30]
为此,您需要再次完成 TISAX 评估流程(注册评估范围、接受 TISAX 评估、共享评估结果)。只不过,注册过程会更加容易,因为您无需重新将公司注册为“TISAX 参与者”。另外,您依然可以使用此前录入 TISAX 数据库的所有联系人和评估地点。
|
|
重要提示: 在联系认证机构之前,请注册一个新范围。只有您提供了新的“范围 ID”,认证机构方能启动评估流程。 大多数情况下,注册新范围十分简单,您只需分配一个新的范围名称、添加联系人、选择评估对象并添加评估地点即可。您依然可以使用系统中此前注册范围的联系人和评估地点。 |
|
|
重要提示: 请重复使用您在注册前一个范围时创建和使用的现有地点记录。不要创建具有相同地址的新地点记录。 |
|
|
重要提示: 如果您与合作伙伴之间的关系需要以拥有有效的 TISAX 标签作为前提要求,则我们强烈建议您设置日历提醒,以确保能够及时启动标签换发流程。 我们建议,至少在您的 TISAX 标签过期前一年开始着手准备换发。 |
现在,您已经获得了 TISAX 标签,可以前往下一步骤,即与合作伙伴进行共享。
6. 交换(第 三步)
阅读“交换”章节预计需要 7 分钟。
到目前为止,您已经完成了 TISAX 评估流程,但是您的合作伙伴依然未见到任何“证据”能够证明您的信息安全管理体系有能力保护自己的保密数据。本章节将阐述如何与合作伙伴共享您的评估结果,从而展示所要求的证据。
6.1. 前提条件
TISAX 流程的一个主要特点是,您的评估结果由您自己全权掌控。未经过您明确同意,所有涉及您评估的相关信息均不会与他人共享。
6.2. 交换平台
ENX 门户提供信息交换平台。
您的认证机构负责上传您的 TISAX 评估报告(前两部分,即 A 和 B). 在此阶段,相关信息仅对您可见。
您可以通过注册期间创建的账号来访问门户,并使用交换平台。
您可通过以下地址登录门户:
enx.com/en-US/SignIn
6.3. 一般性前提
只有满足以下两个前提条件,您才可与合作伙伴共享评估结果:
-
认证机构已将评估结果提交至交换平台。
评估结果通常会在 TISAX 评估报告签发后 5-10 个工作日内上传至交换平台。 -
我们已收到您的付款(如适用)。
在满足这两个前提条件后,您的评估范围状态将为“已通过评估(Active)”。
|
|
请注意: 每一项评估范围都会经历一个工作周期。在目前阶段,您的评估范围状态应当为“已通过评估(Active)”。 关于评估范围状态的更多信息,请参见 章节 7.5.5, “Assessment scope status “Awaiting your payment” ( |
为了验证您的评估结果是否已可以共享(评估范围状态 = Active),可遵循下列步骤:
-
登录 ENX 门户。
-
前往主导航栏,并选择 “MY TISAX”(
“我的 TISAX”)。 -
从下拉菜单中选择“SCOPES AND ASSESSMENTS”(
“范围与评估”)。 -
前往表格,并找到您的评估范围所在的那一行。
-
确定您的评估范围状态为“Active”(
“已通过评估”)(“Scope Status”( “范围状态”)列)。
6.4. 交换结果操作的不可逆性
|
|
重要提示: 发布或共享权限一旦设定,将无法撤销。 原因是,我们希望所有的“被动参与者”均能够稳定地访问其收到的每一项评估结果。否则,他们得自己想办法去管理并存档相关的评估结果。 上述权限在您的 TISAX 评估整个有效期期间均保持有效。 若因不小心错误创建了发布或共享权限,请立即联系我们。 |
6.5. 共享级别
共享级别与 TISAX 评估报告的主要部分(A-E)是 1:1 对应的关系。
| ^ | TISAX 评估报告的主要部分^ | 与交换平台上的共享级别 |
|---|---|---|
1 |
A.评估相关信息( |
|
2 |
B.评估结果总体概述( |
|
3 |
C.评估结果汇总( |
|
4 |
D.VDA ISA 成熟度评级(结果表)( |
|
5 |
E.详细评估结果( |
|
共享级别越高,相关参与者能够看到的有关您 TISAX 评估的信息就越多。
有关 TISAX 评估报告各部分内容的更多信息,请参见 章节 5.4.7.4, “TISAX 评估报告”。
6.6. 在交换平台上发布评估结果
您可通过在交换平台上发布评估结果,来与其他 TISAX 参与者进行共享。通过该操作并相应指定共享级别,所有其他的 TISAX 参与者均能够访问您的评估结果。
只有您的整体评估结果“符合”,您才能够发布结果。
在交换平台上,针对结果发布的共享级别有以下几种执行选项:
-
Do not publish (Default) (
不发布(默认)) -
A. Assessment Related Information (
A. 评估相关信息) -
A + Labels (
A + 标签) -
A + Labels + B. Summarized Results (
A + 标签 + B. 评估结果总体概述)
通常情况下,我们建议选择 “A + Labels”(“A + 标签”)这种发布类型。
|
|
重要提示: 只有 章节 6.3, “一般性前提” 中提到的前提条件得到满足,您才能发布评估结果。 |
为在交换平台上发布评估结果,请遵循以下步骤:
-
登录 ENX 门户。
-
前往主导航栏,并选择 “MY TISAX”(
“我的 TISAX”)。 -
从下拉菜单中选择“SCOPES AND ASSESSMENTS”(
“范围与评估”)。 -
前往表格,并找到您的评估范围所在的那一行。
-
确定您的评估范围状态为“Active”(
“已通过评估”)(“Scope Status”( “范围状态”)列)。 -
前往您评估范围所在表格行的末尾,并点击向下箭头按钮
。 -
选择“Scope Information”(
“范围信息”)。 -
在新窗口(“Scope Information”(
“范围信息”))中,选择“EXCHANGE”(“交换”)选项卡。
-
前往“PUBLISHING”(
“发布”),打开下拉菜单,并选择需要的共享级别(见上述建议)。
|
|
请注意: 评估结果仅发布在交换平台上,并仅能由其他 TISAX 参与者访问。在 TISAX 公共网站上,不会对 所有 TISAX 参与者的信息进行公示,只会提及参与者的大概数量。 |
6.7. 与特定参与者共享评估结果
除了以上所述在交换平台上发布 TISAX 评估结果以外,您还可以选择性地与特定的 TISAX 参与者(更高共享级别)共享结果。
与上述提到的发布方式不同,即使您的整体评估结果为(重大/轻微)不符合,您依然可以共享评估结果。
共享评估结果是 TISAX 流程的一个重要环节。虽然您的信息安全管理体系只接受了一次评估,但现在您却可以与尽可能多的合作伙伴共享评估结果。
针对在交换平台上共享结果,有以下几种执行选项:
-
A: Assessment Related Information (
A:评估相关信息) -
A + Labels (
A + 标签) -
A + Labels + B: Assessment Summary (
A + 标签 + B:整体评估结果) -
A + Labels + B + C: Summarized Results (
A + 标签 + B + C:评估结果总结) -
A + Labels + B + C + D: Detailed Assessment Results (
A + 标签 + B + C + D:详细评估结果) -
A + Labels + B + C + D + E: Maturity Levels according to ISA (
A + 标签 + B + C + D + E:ISA 成熟度等级)
我们建议选择共享级别“A + Labels”(“A + 标签”),这足以满足大多数合作伙伴的要求。您可以随时选择更高的共享级别。
|
|
请注意: 某些 TISAX 参与者会自动处理其合作伙伴的评估结果,方法是将其系统与 ENX 门户关联同步。因此,只有与该参与者专门共享评估结果,才能使结果得到同步。而仅依照 章节 6.6, “在交换平台上发布评估结果” 所述,来相应发布的评估结果是不被承认的。 在使用 TISAX 的原型设备制造商(OEM),BMW 便是一个典型的例子。如果您是 BMW 的合作伙伴,请确保与其共享(不只是发布)您的评估结果。 |
6.7.1. 前提条件
关于同您的合作伙伴(或其他任一 TISAX 参与者)共享评估结果,前提条件如下:
-
您只能与其他 TISAX 参与者共享您的 TISAX 评估结果。
-
您的合作伙伴需要是 TISAX 参与者。
-
您需要合作伙伴的“参与者 ID”。[31]
-
您需要付款(如适用)。
|
|
重要提示: 只有 章节 6.3, “一般性前提” 中提到的前提条件得到满足,您才能共享评估结果。 |
6.7.2. 如何创建共享权限
为了与其他 TISAX 参与者共享评估结果,请遵循以下步骤:
-
登录 ENX 门户。
-
前往主导航栏,并选择 “MY TISAX”(
“我的 TISAX”)。 -
从下拉菜单中选择“SCOPES AND ASSESSMENTS”(
“范围与评估”)。 -
前往表格,并找到您的评估范围所在的那一行。
-
确定您的评估范围状态为“Active”(
“已通过评估”)(“Scope Status”( “范围状态”)列)。 -
前往您评估范围所在表格行的末尾,并点击向下箭头按钮
。 -
选择“Scope Information”(
“范围信息”)。 -
在新窗口(“Scope Information”(
“范围信息”))中,选择“EXCHANGE”(“交换”)选项卡。
-
前往“SHARING”(
“共享”)版块,并点击按钮“Share”(“共享”)。 -
在新窗口(“SHARE THIS SCOPE”(
“共享该范围”)中,输入您合作伙伴的“参与者 ID”(或从邻近搜索框的参与者列表中选择)。 -
选择所需要的共享级别。
-
点击按钮“Next”(
“下一步”)。 -
阅读并理解关于共享权限操作不可逆性的说明。
-
在两个“confirm”(
“确认”)复选框前打勾。 -
点击按钮“Submit”(
“提交”)。
其余事项将由交换平台完成。对于共享级别 A 和 B,相关信息会发布在交换平台上,您的合作伙伴可以登录 ENX 门户,并查看您共享的评估结果。[32]
对于更高共享级别(C-E),交换平台会通知您的认证机构,由其将相关信息(匹配所选择的共享级别)发送给您合作伙伴的“主要参与者联系人”。
6.8. 在 TISAX 框架之外共享评估结果
适用规则[33]是,您只能利用 TISAX 交换平台,来让其他 TISAX 参与者知晓您的评估结果。
6.8.1. 实行严格交换机制的原因
TISAX 提供一套标准化的评估结果交换机制。与其他认证体系(如 ISO)那种途径驳杂、所需信息时而不全的结果交换方式相比,TISAX 交换机制较好弥补了这一不足。
原型设备制造商(OEM)尤其青睐这种清晰明确、定义有序的标准化流程机制,而其他公司亦从中受益。
6.8.2. TISAX 公共宣传指南
虽然您无法在公共场合悉数罗列评估结果,但您却可以其他方式提及您所做的 TISAX 评估工作。在 ENX 门户上,我们针对如何进行公共宣传为您提供有关建议。另外,我们还提供 TISAX 徽标,以供您使用。
在登录 ENX 门户后,您可在此处查看相关信息:
enx.com/en-US/myenxportal/marketing/
ZIP 压缩文件下载(文档和徽标):
enx.com/en-US/myenxportal/marketing/TISAX-Trademark-and-Logos-Terms-and-Conditions.zip
或许您在想,我们是否也出具证书,可供您挂在墙上:
回答是,由于以上提到的标准化交换流程,我们不提供此类证书。
6.8.3. 与合作伙伴(非 TISAX 参与者)共享
如果您希望与之共享评估结果的合作伙伴 a) 还不是 TISAX 参与者且 b) 还未获得 TISAX 标签(通过完成评估流程),那么您可遵循下列步骤:
该方法的目的是确保,您的合作伙伴同意遵守“TISAX 参与一般条款和条件”,而该规定是管理 TISAX 评估结果交换的基础。
只有注册评估范围才会产生费用,而注册成为 TISAX 参与者则是免费的。因此,您的合作伙伴可以免费接收您的评估结果。只不过,如果没有自己的评估结果,那么合作伙伴最多只能接收五个评估结果,且无法查看任何发布内容。
6.8.4. 与合作伙伴的雇员(无法直接访问 ENX 门户)共享
对于您合作伙伴的雇员而言,只有拥有 ENX 门户的账号,才能够直接查看您的结果。如果您需要向合作伙伴的雇员(无门户访问权限)证明您已获得 TISAX 标签,那么您可使用专门的 PDF 文件。为获得该文件,请遵循以下步骤:
-
与您的合作伙伴共享评估结果,相关信息请见 章节 6.7, “与特定参与者共享评估结果”。
-
登录 ENX 门户。
-
前往主导航栏,并选择 “MY TISAX”(
“我的 TISAX”)。 -
从下拉菜单中选择“SCOPES AND ASSESSMENTS”(
“范围与评估”)。 -
前往表格,并找到您的评估范围所在的那一行。
-
确定您的评估范围状态为“Active”(
“已通过评估”)(“Scope Status”( “范围状态”)列)。 -
前往您评估范围所在表格行的末尾,并点击向下箭头按钮
。 -
选择“Scope Information”(
“范围信息”)。 -
在新窗口(“Scope Information”(
“范围信息”))中,选择“EXCHANGE”(“交换”)选项卡。
-
前往“SHARING”(
“共享”)版块,并找到共享权限(第一步中所创建)所在的表格行。 -
前往共享权限所在表格行的末尾,并点击向下箭头按钮
。 -
选择“Edit”(
“编辑”) -
在新窗口(“SHARE THIS SCOPE”(
“共享该范围”))中,滑动至底部并选择“Request Shared Information as PDF”(“请求共享信息(PDF 格式)”)。 -
稍等片刻,直到文件生成完毕。
-
下载文件(“Copy of information shared with ACME.pdf (66.84 KB)”(
“与 ACME 共享信息副本.pdf(66.84 KB)”))
7. 附录
7.2. 附录:确认邮件示例
在线注册流程期间,一旦您完成了所有强制性步骤,我们将向您发送确认邮件。
有关发送确认邮件的更多信息,请参见 章节 4.5.8, “确认邮件”。
主题: [TISAX] 范围 S3ZY5V 已核准 尊敬的 John Doe: 感谢您完成 TISAX 评估范围注册。我们已处理您的范围注册事宜,并核准了您的评估范围。附件是“TISAX 范围摘要”,其中包括所有范围信息,以及最新版 TISAX 认证机构目录。 下一步? 利用随附的“TISAX 范围摘要”,您现在可以联系各家 TISAX 认证机构,并就您的评估范围请求报价。 需要帮助? 有关 TISAX 的其他问题,请阅读 TISAX 常见问题或 TISAX 参与者手册。如果您需要有关 TISAX 的进一步帮助,请随时通过电子邮件 (tisax@enx.com) 或电话 (+49 69 986692-777) 联系 TISAX 热线。 谨致问候 您的 TISAX 团队
7.4. 附录:Participant status( 参与者状态)
7.4.1. 概述:Participant status( 参与者状态)
“参与者状态”定义了您(作为一家公司)在 TISAX 流程中所处的阶段。
“参与者状态”有以下几种:
-
Incomplete (
未完成) -
Preliminary (
初步完成) -
Registered (
已完成注册)
以下各个状态的说明表将解释:
-
所处状况
(该状态所代表的具体含义) -
您的下一步行动
(您如何到达下一状态;如适用) -
我们的下一步行动
(我们如何帮助您到达下一状态;如适用) -
下一状态
(如适用)
以下示例图展示了,需要哪些行动才可前往下一状态:
|
|
您 |
|
|
我们 |
|
|
参与者状态 |
|
|
1.未完成 |
|
|
如果注册信息不完整 |
|
|
注册 |
|
|
2.等待批准 |
|
|
审核 + 确认 |
|
|
3.初步完成 |
|
|
已发布并共享评估结果 |
|
|
4.已完成注册 |
|
|
5.已失效 |
|
|
未付账单、合同取消 |
7.4.2. Participant status “Incomplete” ( 参与者状态“未完成”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
未完成 |
您未完成 TISAX 注册。 |
若要继续,请点击 |
我们会向您发送邮件提醒(通常在几天内)。 |
7.4.3. Participant status “Awaiting approval” ( 参与者状态“等待批准”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
等待批准 |
您已完成 TISAX 注册, |
等待我们的下一步行动。 |
通常,我们会审核并批准您的申请。 |
7.4.4. Participant status “Preliminary” ( 参与者状态“初步完成”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
初步完成 |
您已成功完成整个 TISAX 注册流程。 |
付款(如适用)。 |
无 |
7.4.5. Participant status “Registered” ( 参与者状态“已完成注册”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
已完成注册 |
您已成功完成整个 TISAX 评估流程,并获得 TISAX 标签。 |
无 |
无 |
(已失效) |
|
|
请注意: 如果您希望对您合作伙伴的评估结果进行评估: 理论上,接收其他参与者的评估结果需要符合以下前提条件:
|
7.4.6. Participant status “Expired” (参与者状态“已失效”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
已失效 |
您未付款, |
无 |
无 |
不适用 |
7.5. 附录:Assessment scope status( 评估范围状态)
7.5.1. 概述:Assessment scope status( 评估范围状态)
“评估范围状态”定义了您的评估范围所处的工作周期阶段。
请注意,“评估范围状态”不同于“评估状态”。若要进一步了解“评估状态”,请参见 章节 7.6, “附录:Assessment status( 评估状态)”。
“评估范围状态”有以下几种:
-
Incomplete (
未完成) -
Registered (
已完成注册)
以下各个状态的说明表将解释:
-
所处状况
(该状态所代表的具体含义) -
您的下一步行动
(您如何到达下一状态;如适用) -
我们的下一步行动
(我们如何帮助您到达下一状态;如适用) -
下一状态
(如适用)
以下示例图展示了,需要哪些行动才可前往下一状态:
|
|
您 |
|
|
我们 |
|
|
评估范围状态 |
|
|
1.未完成 |
|
|
如果注册信息不完整 |
|
|
信息录入 |
|
|
2.等待您的指示 |
|
|
如果注册未提交 |
|
|
注册 |
|
|
3.等待 ENX 批准 |
|
|
审核 + 确认 |
|
|
4.等待您的付款 |
|
|
付款 |
|
|
5.已完成注册 |
|
|
评估 |
|
|
6.已通过评估 |
|
|
A |
|
|
7.已失效 |
|
|
通常当评估结果过期时 |
上图中的页面外标识“A”将 评估范围状态“Active”与“评估状态”相关联。若要进一步了解“评估状态”,请参见 章节 7.6, “附录:Assessment status( 评估状态)”。
7.5.2. Assessment scope status “Incomplete” ( 评估范围状态“未完成”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
未完成 |
您未完成评估范围注册; |
若要继续,请点击 |
我们会向您发送邮件提醒(通常在几天内)。 |
要进一步了解该状态的作用,请参见 章节 4.5.7, “评估范围注册”。
7.5.3. Assessment scope status “Awaiting your order” ( 评估范围状态“等待您的指示”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
等待您的指示 |
您还未彻底完成范围注册。 |
若要继续,请点击 |
我们会向您发送邮件提醒(通常在几天内)。 |
要进一步了解该状态的作用,请参见 章节 4.5.7, “评估范围注册”。
7.5.4. Assessment scope status “Awaiting ENX approval” ( 评估范围状态“等待 ENX 批准”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
等待 ENX 批准 |
您已完成评估范围注册。 |
等待我们的下一步行动。 |
通常,我们会审核并批准您的申请。 |
要进一步了解该状态的作用,请参见 章节 4.5.7, “评估范围注册”。
7.5.5. Assessment scope status “Awaiting your payment” (评估范围状态“等待您的付款”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
等待您的付款 |
您已完成评估范围注册,且已通过审核。 |
付款(如适用)。
34. 在评估范围状态为“等待您的付款”或“已完成注册”时,“评估相关信息”包括:评估范围地点、评估范围状态和评估对象,但不包括评估结果或 TISAX 标签。
|
等待您的付款。 |
要进一步了解该状态的作用,请参见 章节 4.5.8, “确认邮件”。
7.5.6. Assessment scope status “Registered” (评估范围状态“已完成注册”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
已完成注册 |
您已注册评估范围。 |
完成 TISAX 评估流程。 |
无 |
7.5.7. Assessment scope status “Active” ( 评估范围状态“已通过评估”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
已通过评估 |
您已成功完成整个 TISAX 评估流程,并获得 TISAX 标签。 |
无 |
更多有关发布和共享评估结果的信息,请参阅 章节 6, “交换(第 三步)”。
7.5.8. Assessment scope status “Expired” ( 评估范围状态“已失效”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
已失效 |
原因:
|
重新启动评估范围注册。 |
无 |
|
|
||||
|
||||
|
||||
|
7.6. 附录:Assessment status( 评估状态)
7.6.1. 概述:Assessment status( 评估状态)
“评估状态”定义了您在评估流程中所处的阶段。随着您从一项评估前往下一项评估(如从“初始评估”前往“纠正行动计划评估”),这一状态也会相应发生改变。
请注意,“评估状态”不同于“评估范围状态”。若要进一步了解“评估范围状态”,请参见 章节 7.5, “附录:Assessment scope status( 评估范围状态)”。
“评估状态”有以下几种:
以下各个状态的说明表将解释:
-
所处状况
(该状态所代表的具体含义) -
您的下一步行动
(您如何到达下一状态;如适用) -
我们的下一步行动
(我们如何帮助您到达下一状态;如适用) -
下一状态
(如适用)
以下示例图展示了,需要哪些行动才可前往下一状态:
|
|
您 |
|
|
评估范围状态 |
|
|
评估状态 |
|
|
指定评估 |
|
|
初始评估已指定 |
|
|
开始评估 |
|
|
初始评估进行中 |
|
|
A |
|
|
完成评估 |
|
|
6.已通过评估 |
|
|
等待纠正行动计划评估 |
|
|
制定纠正行动计划 |
|
|
等待后续工作 |
|
|
请求执行后续工作评估 |
|
|
已完成 |
上图中的页面外标识“A”将 评估范围状态“Active”与 评估状态“等待纠正行动计划评估”相关联。若要进一步了解“评估范围状态”,请参见 章节 7.5, “附录:Assessment scope status( 评估范围状态)”。
7.6.2. Assessment status “Initial assessment ordered” ( 评估状态“初始评估已指定”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
初始评估已指定 |
您已选择其中一家 TISAX 认证机构,并请求执行初始评估。 |
继续 TISAX 评估流程。 |
无 |
7.6.3. Assessment status “Initial assessment ongoing” (评估状态“初始评估进行中”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
初始评估进行中 |
您的初始评估:
|
无 |
无 |
等待纠正行动计划评估(如适用) |
7.6.4. Assessment status “Waiting for corrective action plan assessment” ( 评估状态“等待纠正行动计划评估”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
等待纠正行动计划评估 |
认证机构已执行初始评估, |
制定纠正行动计划, |
无 |
等待后续工作(如适用) |
评估状态“等待纠正行动计划评估”限时九个月内完成。更多相关信息,请参见 章节 5.4.9.3, “纠正行动计划要求”。
7.6.5. Assessment status “Waiting for follow-up” ( 评估状态“等待后续工作”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
等待后续工作 |
认证机构已批准您的纠正行动计划, |
请求执行后续工作评估 |
无 |
评估状态“等待后续工作”限时九个月内完成。更多相关信息,请参见 章节 5.4.9.3, “纠正行动计划要求”。
7.6.6. Assessment status “Finished” ( 评估状态“已完成”)
| 状态 | 所处状况 | 您的下一步行动 | 我们的下一步行动 | 下一状态 |
|---|---|---|---|---|
已完成 |
认证机构已执行后续工作评估, |
发布并共享评估结果。 |
无 |
不适用 |
7.7. 附录:建议不要进行“预评估”和“差距分析”的理由
我们通常建议,不要要求认证机构开展“预评估”或“差距分析”。几乎在所有情况下,立即启动 TISAX 评估流程都要更合理。
在本不分中,我们将解答最常见的疑虑。
您是否出于以下原因考虑进行预评估:
-
您担心客户会看到可能对您不利的评估结果?
谁能看到您的评估结果可由您完全控制。任何内容是否由认证机构上传到 ENX 门户也可由您决定。如果某些内容不应该让人看到,则可以保证没有人能看到它们(当然,审计人员除外)。
此外,认证机构始终仅上传 TISAX 评估报告的前两部分,绝对不会上传详细评估结果。
-
您是否认为预评估可以节省费用?
-
您是否认为您会因未通过评估而承担永久性后果?
评估次数不限,因此您不可能永远通不过评估。如果评估结果不符合您的预期,或者您未能在规定的九个月期限内采取纠正行动来解决不符合项,只需将未通过的尝试视为预评估,然后再次开始新评估即可。而且任何人都看不到您第一次尝试的结果。您仅需分享成功评估的结果即可。
进一步的考虑事项:
-
如果评估结果好于预期,您可能会收到 TISAX 临时标签。 您可以直接与合作伙伴分享这些标签。但预评估做不到这一点。
-
如果执行预评估的认证机构也应当执行 TISAX 评估,则该认证机构不能咨询您。否则,您必须选择其他认证机构进行 TISAX 评估。
虽然大多数被审计对象无法从预评估中获益,但我们还是要指出预评估的以下好处。
审计人员:
-
可将工作重点放在对 ISMS 缺乏信心的关键方面
-
可以投入比平时更多的时间,获得更多深入见解
-
可使用不同的方式记录评估发现
在阅读 TISAX 评估流程相关章节后,您就能更轻松地理解我们的理由。
7.8. 附录:自定义范围
几乎所有 TISAX 参与者都会选择标准范围。 但是,在特定及少数情况下,您可能需要选择自定义范围。
自定义范围有两种类型:
7.8.1. 自定义扩展范围
您可以对范围进行扩展,自定义扩展范围包含的内容要“多于”标准范围。也就是说,认证机构将执行更多检查。
目的:如果您的 TISAX 评估结果将用于公司内部或非汽车行业等用途,则可考虑选择自定义扩展范围。
TISAX 标签和共享结果:自定义扩展范围总是涵盖标准范围,因此,其评估结果将印上“TISAX 标签”。[35] 而其他 TISAX 参与者亦将接受这一范围的评估结果。
描述:虽然标准范围的描述是预先定义好的,但如果您选择自定义扩展范围,则需要撰写自己的范围描述。
7.8.2. 完全自定义的范围
您可以对范围进行完全自定义。
目的:如果您有若干处公司地点,这些地点分属于不同的评估范围,且都使用某个特定场地(如数据中心)的服务,那么,便可以为这些服务选择完全自定义的范围。如此一来,可方便 TISAX 认证机构重复使用服务(完全自定义的范围)的评估结果。
示例:您有多处公司地点(可能分属于不同范围),并且在其中一处地点有一个 IT 中心部门。如果只为该 IT 部门定义一个完全自定义的范围,那么之后再将相关评估结果用于其他范围的话,便会方便得多。
TISAX 标签和共享结果:完全自定义的范围的评估结果不会印有 TISAX 标签。无论整体评估结果是“达标”还是“不达标”,都会收录在 ENX 门户中,包括日期和有效期。您亦可以共享此类评估结果。只不过,对于大多数接收者来说,一个没有 TISAX 标签的评估结果会给人一种评估“未通过”的印象,其他 TISAX 参与者通常不会接受完全自定义的范围的评估结果。
描述:与自定义扩展范围一样,如果选择完全自定义的范围,则需要撰写自己的范围描述。
|
|
重要提示: 完全自定义的范围是非常少用的:您的认证机构有 98% 的可能会将您的完全自定义的范围恢复为标准范围。没有任何一个参与者在未得到认证机构建议的情况下成功选择了完全自定义的范围。 完全自定义的范围评估结果不会获得 TISAX 标签。因此,我们通常不建议选择完全自定义的范围—主要是因为其他参与者一般不接受该范围的评估结果。 |
7.9. 附录:参与者信息工作周期管理
以下章节讲述了,如果您的参与者信息及相关事宜发生变更,您应当如何应对。
7.9.1. 无法访问参与者信息(ENX 门户)
如果您公司里无人能够访问 ENX 门户,从而导致无法查看您的参与者信息,请联系我们。 我们将帮助您重新获得您公司参与者信息的访问权限。
7.9.2. 联系人管理
对于您公司的主要参与者联系人,以及其他所有“行政事务联系人”(拥有门户账号),可随时登录 ENX 门户并:
-
添加新联系人
-
删除现有联系人
-
更改现有联系人的联系信息
7.9.2.1. 如何添加新联系人
要添加新联系人,请按照以下步骤操作:
-
登录 ENX 门户。
-
前往主导航栏,并选择 “MY TISAX”(
“我的 TISAX”)。 -
从下拉菜单中选择“ADMINISTRATORS”(
“管理员”)。 -
点击按钮“Create new TISAX Administrator”(
“新建 TISAX 管理员”)。 -
输入联系人数据。
-
点击“Save Contact”(
“保存联系人”)按钮。 -
前往表格,并找到联系人所在的那一行。
-
前往联系人所在表格行的末尾,并点击向下箭头按钮
。 -
选择“Edit TISAX Administrator”(
“编辑 TISAX 管理员”)。 -
在新窗口(“Edit TISAX Contact”(
“编辑 TISAX 联系人”))中,向下滚动到“ENX PORTAL ACCESS”(“ENX 门户访问”)不分。 -
选择“Yes”(
“是”)。 -
在显示的“WEB ROLES”(
“网络角色”)部分中,点击“Add Role”(“添加角色”)按钮。 -
选择要分配的角色(例如“TISAX Administrator”(
“TISAX 管理员”))。 -
点击“添加角色(Add Role)”按钮。
-
点击“保存联系人(Save Contact)”按钮。
7.9.2.2. 如何删除现有联系人
要删除现有联系人,请按照以下步骤操作:
-
登录 ENX 门户。
-
前往主导航栏,并选择 “MY TISAX”(
“我的 TISAX”)。 -
从下拉菜单中选择“ADMINISTRATORS”(
“管理员”)。 -
前往表格,并找到联系人所在的那一行。
-
前往联系人所在表格行的末尾,并点击向下箭头按钮
。 -
选择“Delete TISAX Administrator”(
“删除 TISAX 管理员”)。 -
在显示的确认请求中,点击“Delete”(
“删除”)按钮。
7.9.2.3. 如何更新现有联系人的详细信息
要更新现有联系人的详细信息,请按照以下步骤操作:
-
登录 ENX 门户。
-
前往主导航栏,并选择 “MY TISAX”(
“我的 TISAX”)。 -
从下拉菜单中选择“ADMINISTRATORS”(
“管理员”)。 -
前往表格,并找到联系人所在的那一行。
-
前往联系人所在表格行的末尾,并点击向下箭头按钮
。 -
选择“Edit TISAX Administrator”(
“编辑 TISAX 管理员”)。 -
更新详细信息。
-
点击“Save Contact”(
“保存联系人”)按钮。
7.9.3. 地点管理
对于您公司的主要参与者联系人,以及其他所有“行政事务联系人”(拥有门户账号),可随时登录 ENX 门户并请求:
我们将在以下部分中介绍必要的步骤。
|
|
请注意:
|
|
|
重要提示: 在 ENX 门户中点击“保存位置(Save Location)”按钮后,即无法再自行更改位置。在以下情况下,您可以请求更改。 |
7.9.3.1. 如何请求更改公司名称
所处状况: |
您的公司已更名。 |
示例: |
旧公司名称为“ACME Tires Corporation”。 |
如您希望请求更改公司名称,请按照如下步骤操作:
-
登录 ENX 门户。
-
前往主导航栏,并选择 “MY TISAX”(
“我的 TISAX”)。 -
从下拉菜单中选择“LOCATIONS”(
“地点”)。 -
前往表格,找到您的地点所在的那一行。
-
前往您的地点所在表格行的末尾,并点击向下箭头按钮
。 -
选择“Request Change”(
“请求更改”)。 -
在新窗口(“Request Change”(
“请求更改”))中,前往“Subject of the change”(“更改的主题”)表单字段,打开下拉菜单并选择“Company Name”(“公司名称”)。 -
继续填写表格
-
提交表格
我们将检查您的请求,如条件允许,则接受公司名称变更请求,并在完成后通知您。
7.9.3.2. 如何请求更改地点
所处状况: |
您的公司搬到了新地点。 |
示例: |
旧地址是“ACME Corporation, Bockenheimer Landstraße 97-99, 60325 Frankfurt, Germany”。 |
|
|
重要提示: 如果官方机构更改了您的地点的街道名称,请参见章节 7.9.3.3, “如何请求更改街道名称”了解详情。 |
如果您的某个地点迁往新址,请按照以下步骤操作:
-
创建新地点:
-
登录 ENX 门户。
-
前往主导航栏,并选择 “MY TISAX”(
“我的 TISAX”)。 -
从下拉菜单中选择“Locations”(
“地点”)。 -
点击按钮“Create TISAX Location”(
“创建 TISAX 地点”)。 -
在新窗口(“CREATE TISAX LOCATION”(
“创建 TISAX 地点”))中,填写新地点的详情。 -
点击“Save Location”(
“保存地点”)按钮。
-
-
请记住“Location ID”(
“地点 ID”)。您可以在“MY LOCATIONS”(“我的地点”)表格的第一列找到“地点 ID(Location ID)”。您的认证机构需要“地点 ID”来在 ENX 门户中更新您的评估范围。 -
将搬迁事宜告知认证机构(提供旧地点和新地点的“地点 ID”)。
您是否已完成评估?-
如果答案为“否”,那么在地点变更方面,您没有其他需要采取的行动。
-
如果答案为“是”,则您需要向认证机构请求“范围扩展评估”(
“scope extension assessment”)。更多相关信息,请参见 章节 7.10, “附录:范围扩展评估”。
-
认证机构将检查您的请求,并在 ENX 门户中更新您的评估范围。
|
|
请注意: 只有在您已向认证机构订购评估服务的情况下,认证机构才能更新您的评估范围。 |
7.9.3.3. 如何请求更改街道名称
所处状况: |
您地点的街道名称发生了变更。您公司的实际办公地点并未发生变化。 |
示例: |
旧地址址是“ACME Corporation, Bockenheimer Landstraße 97-99, 60325 Frankfurt, Germany”。 |
如果官方机构更改了您的地点的街道名称,请按照以下步骤操作:
-
登录 ENX 门户。
-
前往主导航栏,并选择 “MY TISAX”(
“我的 TISAX”)。 -
从下拉菜单中选择“Locations”(
“地点”)。 -
前往表格,找到您的地点所在的那一行。
-
前往您的地点所在表格行的末尾,并点击向下箭头按钮
。 -
选择“Request Change”(
“请求更改”)。 -
在新窗口(“Request Change”(
“请求更改”))中,前往“Subject of the change”(“更改的主题”)表单字段,打开下拉菜单并选择“Address”(“地址”)。 -
继续填写表格
-
提交表格
我们将检查您的请求,如条件允许,则接受街道名称变更请求,并在完成后通知您。
|
|
重要提示: 这些步骤仅适用于您公司的实际办公地点并未发生变化,但官方机构更改了街道名称的情况。 |
7.9.3.4. 如何添加额外地点
在您现有 TISAX 标签的有效期内,如果您开放了一处额外的地点,则需要请求认证机构执行“范围扩展评估”( “scope extension assessment”)。
更多相关信息,请参见 章节 7.10, “附录:范围扩展评估”。
7.10. 附录:范围扩展评估
除了章节 5.4.3, “TISAX 评估类型”中描述的标准评估类型外,还有另一种特殊评估类型:“范围扩展评估”( “scope extension assessment”)。
可以对现有 TISAX 评估范围进行扩展,以添加一个或多个以下项:
-
评估对象,或
-
地点。
您不能选择另一家认证机构来执行“范围扩展评估”。这项评估与标准评估类型相似,然而,认证机构极有可能考虑重新使用来自以往评估的适用结果。
一旦完成范围扩展评估,且无不符合项,认证机构将:
-
在 ENX 门户中更新您的评估范围。
-
签发“范围扩展评估”报告。
一次“范围扩展评估”并不会延长您现有 TISAX 标签的原始有效期限。
|
|
请注意: 如果开展范围扩展评估的原因是搬迁或增加额外的位置,则必须在 ENX 门户中创建新位置。请向认证机构提供“地点摘要(Location Excerpt)”,或者至少提供“地点 ID(Location ID)”。 |
7.11. 附录:ISA 工作周期管理
信息安全评估标准(ISA)的维护工作由 ENX 工作小组负责,
您可能会对这些事实感兴趣:
-
而德国汽车工业协会(VDA)负责正式发布新版本。
-
认证机构将使用您订购初始评估时有效的 ISA 版本。
-
在双方达成共识的情况下,如果在您下达订单到初始评估开始这期间有更新的 ISA 版本发布,您可以使用该版本。
-
您可以在 Excel 表格“覆盖范围(Cover)”中找到特定 ISA 版本的发布日期。
-
示例:
版本:5.0 | 修订版次 4 | 2021-04-16
-
7.12. 附录:帮助文档
本章节列出了我们认为对您有帮助的文件。
-
“分类级别的协调化”指导手册
“此指导手册介绍了信息安全工作组有关确定一个以保密性为保护目标的方案的提案;保密性是指信息不可被未经授权的个人、组织或程序访问的能力。此外,可用性、完整性和可靠性等保护目标并非本指导手册的关注重点。”
出版方:德国汽车工业协会(VDA)
可用语言版本:英语、德语
-
“信息安全风险管理”指导手册
“该指导手册的目标是,让汽车行业的公司了解面向风险的信息安全管理,并使其能够建立一套有效的信息安全风险管理体系。它旨在协助公司准备或执行 TISAX 评估,从而满足 VDA ISA 控制问题 1.4.1 的要求。该手册内容应被视为实施建议,而非强制性要求。”
出版方:德国汽车工业协会(VDA)
可用语言版本:英语、德语
7.13. 附录:投诉管理
7.13.1. 投诉原因
我们的投诉管理将这两个方面区分开来:
-
ENX Association—管理 TISAX 的组织
-
认证机构—执行 TISAX 评估的机构
7.13.1.1. 关于 ENX Association 的投诉
如果您要投诉 ENX Association,请联系我们的“TISAX 值班经理”(联系方式见下文)。
7.13.1.2. 对认证机构的投诉
首先,您应尝试直接与审计人员配合解决问题。
下一步应该是认证机构负责 TISAX 的人员。
如未解决,您的下一个联系人是负责认证机构质量管理的人员。
如果问题仍未解决,请联系我们的“TISAX 值班经理”(联系方式见下文)。
另外还有高于“TISAX 值班经理”的联系人。如有需要,您可以与 ENX Association 的常务董事交流。
VDA 不参与投诉管理。
|
|
请注意: 认证机构必须在启动会议上告知您有投诉的权利. 未予告知本身便足以构成投诉理由。 |
7.13.1.3. 投诉要求
如果您希望我们参与,则需要提供以下信息:
-
投诉者是谁?
-
公司名称
-
TISAX 参与者 ID
-
联系人(姓名、电子邮件地址、电话号码)
-
-
具体是哪项评估?
-
评估 ID
-
如果评估尚未记录在 ENX 门户中:范围 ID
-
-
认证机构是哪家?
-
认证机构公司名称
-
审计人员姓名
-
-
投诉事项是什么?
-
对认证机构表现的一般投诉
-
对审计人员工作方法的投诉
-
对评估内容的投诉
-
-
对于评估内容的投诉:您对哪项评估发现有异议?
-
控制措施(例如 1.6.1 "信息安全事件的处理程度如何?")
-
评估发现(全文)
-
异议针对的事项:
-
控制措施的解释
-
内容的不确定性(现有证据未得到正确评估)
-
风险评估(不考虑适当性)
-
-
解释您为何对事物给出不同的评估
-
8. 文档历史
版本 2.7
-
添加了四种语言(https://www.enx.com/handbook/tph-jp.html[日语]、https://www.enx.com/handbook/tph-pt.html[巴西葡萄牙语]、https://www.enx.com/handbook/tph-it.html[意大利语]、https://www.enx.com/handbook/tph-kr.html[韩国语])
-
添加了用于 HTML 版本的语言切换器(在右上角)
-
改进了 PDF 版本的布局
-
根据两个新的保密性评估对象更新了多个章节
-
更新了“评估对象列表”章节(纠正了估对象“Special data”;添加了标签转换的注释)
-
纠正打字错误
版本 2.6
-
关于我们在本版本中添加的评估对象和标签的一般说明:在先前版本中,评估对象和标签具有一个较长的“正式名称”和一个“简短名称”(例如:“处理保护需求较高的信息”和“‘高’需求信息”)。大多数人几乎只使用简短名称,因此简短名称现已成为“正式名称”。旧版较长的名称现在称为“说明”。 此外,在 ENX 门户和 TISAX 参与者手册的所有译文中,我们仅使用英文版正式名称。
-
更新“评估对象列表”章节,添加了“高可用性”和“极高可用性”两个评估对象,并且“图 6.TISAX 评估对象(图表展示、全称及简称)”已删除
-
更新“评估对象和信息安全标准”章节,体现以下事实,即信息安全标准目录中只有一个子集适用于“高可用性”和“极高可用性”这两个评估对象
-
删除“评估对象及其依存关系”章节
-
更新“评估对象选择”章节,添加了“高可用性”和“极高可用性”这两个评估对象
-
更新“保护需求和评估级别”章节,添加了“高可用性”和“极高可用性”两个评估对象,并且“表 5.ISA 标准目录和保护需求与 TISAX 评估对象的对照”已删除
-
更新“标准目录”章节,添加了“高可用性”和“极高可用性”两个评估对象
-
更新“要求”章节,体现以下事实,即信息安全标准目录中只有一个子集适用于“高可用性”和“极高可用性”这两个评估对象
-
更新“TISAX 标签的等级关系”章节,体现以下事实,即现在仅在少数情况下才会存在等级关系,并且“图 36.TISAX 评估对象和 TISAX 标签(依存关系和等级关系)”已删除
-
更新“附录:帮助文档”章节,以体现链接的变化
-
各种细节澄清和错误更正
-
纠正打字错误
版本 2.5.1
-
修复了失效的链接
版本 2.5
版本 2.4
-
从 章节 3.1, “总述” 删除了有关 TISAX 评估流程最长持续时间的不准确表述
-
将“TISAX 报告”更名为“TISAX 评估报告”
-
更新了有关 ISO 27001 和 TISAX 之间差异的说明
-
“标准范围描述”更新至 2.0 版
-
更新“发布与共享”章节,添加了有关共享评估状态的说明
-
更新“保护需求与评估级别”章节,涉及到的内容包括“评估级别 2.5”、“由视频支持的远程评估方法”、AL 2 和 AL 3 之间的区别、合理性检查与核查区别
-
更新了注册流程起点的链接
-
更新“门户账号”章节,以反映邀请流程的变更
-
更改 ISA 文件的下载链接(现在也可通过 enx.com 网站下载)
-
更新“评估执行人选择依据”章节,增加成本估算的基础
-
添加“启动会议”章节(将先前的“首次正式立项会议”章节的内容移动到此处)
-
更新“关于符合性”章节,添加了有关四种类型的评估发现的新表格
-
更新“初始评估”章节,添加了有关时间限制的说明
-
更新“TISAX 评估报告”章节,添加了有关积极纠正行动计划的说明
-
更新“纠正行动计划准备”章节,添加了“评估发现”和“根本原因”的要求,以及关于纠正行动计划模板的说明
-
更新“纠正行动计划评估”章节,添加了关于将电子邮件作为唯一通信方式的说明
-
“纠正行动计划评估的先决条件”章节更名为“评估纠正行动计划的原因”,并添加了两个原因
-
更新“TISAX 临时标签”章节,提供了有关有效期的示例和说明
-
将“TISAX 报告”章节更名为“TISAX 评估报告”
-
更新“TISAX 标签的换发”章节,添加了有关 ENX 门户重新使用地点记录的说明
-
添加“附录:自定义范围”章节(“扩展型范围”和“缩减型范围”替换为“自定义扩展范围”和“完全自定义的范围”
-
更新“附录:范围扩展评估”章节,添加了有关向参与者的 ENX 门户账号添加地点记录的原因和说明
-
更新“附录:ISA 工作周期管理”章节,以体现当前情况
-
更新“附录:帮助文档”章节,以体现链接的变化
-
添加了“附录:投诉管理”部分
-
电话号码现在为可点击格式
-
各种细节澄清和错误更正
-
纠正打字错误
-
TISAX 认证机构须知:此次更新基于 ENX 文件 ID 612 2.1 版本
版本 2.3
-
副标题名称改变
-
将手册的主要格式由 Word/PDF 改为 HTML
-
增加其他语种译文(中文和法语,见下一项目符号)
-
ENX 主页的所有链接由 "https://portal.enx.com" 改为 "https://enx.com"(原来的链接依然有效)
-
“VDA ISA”改为“ISA”
-
更新章节 章节 5.2, “基于 ISA 的自我评估”,以反映 ISA(版本 5)所引入的变化
-
针对列出评估对象的所有表格,对表格行进行重新排序,以匹配 ISA 5 中更改后的标准目录顺序
-
对列出评估对象的图表进行更新,以匹配 ISA 5 中更改后的标准目录顺序
-
章节“范围调整” 更新(图 6,更正了打字错误,并更新了评估对象)
-
章节“费用”更新,增加了信用卡付款信息
-
章节“TISAX 评估流程图解”更新(图 34,删除引述管理服务提供商的部分)
-
章节“附录:帮助文档”更新(增加“信息安全风险管理”指导手册部分)
版本 2.2.1
-
纠正打字错误
版本 2.2
-
解决封面印刷问题
-
调整所有主页和下载链接
-
增加了意大利语服务
-
扩展章节“自定义范围”
-
更新章节“评估范围地点”
-
删除评估对象“Connection to 3rd parties”(与第三方的关联);更新图 7、9 和 38;更新表 4、5、6 和 8
-
用词“with assessment level”改为“in assessment level”
-
删除章节“保护需求与评估级别”中引用“TISAX activation list”的内容
(不再适用) -
新增章节“评估对象与您供应商之间的关系”
-
更新“参与者联系人”章节,增加关于公共邮箱地址,以及邀请联系人使其能够在 ENX 门户中管理参与者信息的内容
-
更新“评估范围注册”章节,增加关于评估范围变更的内容
-
更新“状态信息”章节(图 12)
-
更新“处理自我评估结果”章节,增加有关外部帮助(由第三方)的内容
-
更新“地域限制”章节,增加认证机构地域限制检索链接
-
更新“请求报价”章节
-
更新“评估执行人选择依据”章节,增加关于“预评估”的内容
-
更新“TISAX 标签的换发”章节,增加有关需要注册新范围的内容
-
更新“交换(第三步)”章节的若干子章节,以反映 ENX 门户中界面的变化
-
更新“与特定参与者共享评估结果”章节,增加关于共享级别建议,以及自动处理共享评估结果等内容
-
新增章节“ISA 工作周期管理”
-
更新“附录:评估范围状态”章节(新增状态“等待您的指示”,状态“等待批准”更名为“等待 ENX 批准”,状态“已批准”更名为“等待您的付款”,图 40)
-
更新“附录:确认邮件示例”章节
-
删除章节“Annexe: Volkswagen legacy assessments”及相关引述(不再相关)
版本 2.1.2
-
“您的评估结果得分”与“评估结果最高分”之间的“差距”限制由 25% 校正为 30%
版本 2.1.1
-
纠正打字错误
版本 2.1
-
删除章节“Managed Service Providers”
-
新增 TISAX 评估对象 / 标签(数据保护标签基于 GDPR;原型标签由两个改为四个;重命名:“保护级别”改为“保护需求”;更新选择建议内容)
-
由于ISA 版本变更(4.0 到 4.1),而更新相关内容
-
引述新文档“TISAX 快捷群体评估(TISAX Simplified Group Assessment)”——本手册的补充篇
-
“注册费”重命名为“费用”
-
新增联系代理人相关建议
返回顶部。