什么是TISAX：概念

(資料圖片)

Trusted Information Security Assessment Exchange

（德國汽車行業(yè)的通用信息安全評估）

最早起源于大眾內(nèi)部對其合作伙伴的信息安全審計，目的是對敏感信息的共享和保護，目前已逐漸擴展到所有的德國汽車主機廠（戴姆勒、寶馬等），成為一種通用的評估和交換機制，目的是為了實現(xiàn)德國汽車行業(yè)（VDA）信息安全評估的相互接受，該項評估的流程和標(biāo)準(zhǔn)在2017年開始成為強制性要求，全球所有供應(yīng)商（包括零部件廠商、外圍服務(wù)商等）均應(yīng)建立和維持信息安全管理體系，并通過與之相應(yīng)級別的TISAX審計，作為準(zhǔn)入條件。

TISAX的審計內(nèi)容：與ISO27001的區(qū)別

TISAX的審計主體框架來源于ISO27001，除了在信息安全主體審計部分增加了一些關(guān)于云安全等

審計內(nèi)容以外，還包括了第三方連接、原型保護、數(shù)據(jù)安全這3個部分。其中信息安全主體部分為

審計必須包含項，第三方連接、原型保護、數(shù)據(jù)安全則需要根據(jù)主機廠的要求和實際業(yè)務(wù)情況作為可選部分。

TISAX的審計標(biāo)準(zhǔn)：ISA

TISAX的審計標(biāo)準(zhǔn)ISA經(jīng)歷了多個版本的變更，目前最新版本4.1。與最初版本項目，從審計標(biāo)準(zhǔn)和審計要求方面都進行了很多人性化的改變，有助于客戶更好的通過審計。

TISAX的審計條款格式

13.4 To what extent is information protected during exchange or transfer?

在傳輸交換過程中信息受到何種程度的保護？

Objective: During exchange and transfer of information, the information security requirements must be

considered. For this purpose, it must be defined which services within the organization may be used

for which type of data and which protective measures are to be taken when using those services.

在傳輸交換信息期間，必須考慮信息安全要求。為此，必須確定組織內(nèi)的服務(wù)使用哪種類型的數(shù)據(jù)以及

在使用這些服務(wù)時應(yīng)采取哪些保護措施。

This must include:

+ The services (e.g. email, EDI, voice over IP) used for transfer are identified. 識別服務(wù)（例如，電子

郵件，EDI，IP語音）

+ Rules and procedures in accordance with the classification for the use of services are defined and

implemented. 定義和實施根據(jù)服務(wù)使用分類的規(guī)則和程序

+ Measures for the protection of transferred contents against unauthorized access are implemented.

實施保護傳輸內(nèi)容免受未授權(quán)訪問的措施

This should include:

+ Measures for ensuring correct addresses and correct transport of the message are implemented. 實

施確保正確地址和正確傳輸消息的措施

+ A process for approving the use of external services (e.g. instant messaging, web meeting, webmail)

is established. 建立批準(zhǔn)使用外部服務(wù)（例如即時消息，網(wǎng)絡(luò)會議，網(wǎng)絡(luò)郵件）的流程。

+ Electronic data exchange is carried out according to the classification by means of content

encryption and/or via encrypted transmission paths (e.g. VPN, encrypted connections (HTTPS, SFTP,

TLS)). 通過內(nèi)容加密和/或通過加密傳輸路徑（例如VPN，加密連接（HTTPS，SFTP，TLS））根據(jù)分

類進行電子數(shù)據(jù)交換。

This may include:

+ Digital signatures are used in accordance with legal provisions. 使用符合法律規(guī)定的數(shù)字簽名技術(shù)

Additionally in case of high protection needs:

+ Emails are transmitted by means of transport encryption (e.g. TLS). 通過傳輸加密（例如TLS）傳輸

電子郵件。

+ A suitable encryption is in use during data transfers to externally hosted IT systems (see Controls

10.1, 15.1). 在向外部托管的IT系統(tǒng)傳輸數(shù)據(jù)期間使用了合適的加密（參見控制10.1,15.1）。

Additionally in case of very high protection needs:

+ Emails are transmitted by means of end-to-end encryption (e.g. PGP, S/MIME, ZIP encryption).

通過端到端加密（例如PGP，S / MIME，ZIP加密）傳輸電子郵件。

TISAX的評分標(biāo)準(zhǔn)：CMM

不適用N/A：由于客戶的實際業(yè)務(wù)情況中不存在此項安全控制，導(dǎo)致該審計條款不適用。

0分：需求的實現(xiàn)是不完整的。流程不存在，或者現(xiàn)有流程沒有實現(xiàn)所需的結(jié)果。

1分：已經(jīng)執(zhí)行信息保護需求所需的要求。已經(jīng)有流程并且正常運轉(zhuǎn)。然而，它并沒有完全形成文檔。

因此不能保證其始終工作。

2分：管理實現(xiàn)目標(biāo)的過程。它被記錄下來，并且可以得到證明（例如，文檔）。

3分：建立了明確的流程，流程之間相互交接并顯示其已經(jīng)充分融合。同時，相關(guān)的制度、策略或流程

被定期的維護以保證適用性。

4分：除了3分的要求外，明確考核指標(biāo)使得流程的質(zhì)量可控。

5分：第4級的要求以及額外資源（如人員和財務(wù)）正在以優(yōu)化的方式實施。這個過程仍在不斷改進。

TISAX的CMM成熟度模型分為0~5這6個級別，同時也考慮了不適用的情況。最終分數(shù)會根據(jù)各審

計項的分數(shù)進行綜合計算，滿分為3分，通過分數(shù)（獲得認證）為2.7分。值得注意的是不同的審計

項最高分值會有所區(qū)別，大部分以3分為滿分，部分會以2分或4分為滿分，超出部分的將不會被記

入總分的計算中。另外，審計的最終結(jié)果中不能出現(xiàn)輕微/重大不符合項。

通過TISAX審計的幾個關(guān)鍵成功要素

1. 建立完整的信息安全制度文件（文檔）

2. 提供明確的執(zhí)行記錄以體現(xiàn)控制的有效性（證據(jù)）

3. 明確TISAX審計條款的具體要求，理解風(fēng)險把控的原則

4. 進行有針對性的應(yīng)審準(zhǔn)備，包括明確應(yīng)審人員、應(yīng)審材料的準(zhǔn)備、時間的合理安排

5. 有效的整改計劃，并積極對整改措施的執(zhí)行情況進行追蹤

關(guān)鍵詞： 信息安全 審計標(biāo)準(zhǔn) 電子郵件