前言
接上文:企业TISAX认证--从0到1设施指南(1) 主要讲解注册的详细过程;和评估的简介,
本文章主要讲解如何看懂ISA文件和评估详细的过程;
TISAX(全称:Trusted Information Security Assessment Exchange)是一个面向汽车行业的信息安全评估和交换的认证机制。由德国汽车工业联合会(VDA)与欧洲汽车工业通信网络协会(ENX)联合重磅推出了可供信息交换的可信平台(TISAX)上,注意的是TISAX每三年需要重新认证一次。
它的主要目的是在汽车制造商、供应商和第三方信息安全评估机构之间建立一种共同信任的机制,以便在日益复杂的全球汽车供应链环境中更好地应对信息安全风险。
评估的范围相当广泛,包括信息技术安全、数据处理和存储、人员安全等方面的评估。它不仅关注技术层面,还关注管理层面,如安全政策的制定和执行、安全培训的实施等。
简介TISAX主要流程:
官方给的流程为三个大步骤;分为为 注册、评估、交换,
注册:
我们采集公司以及评估过程所需要的信息。
评估:
参与评估流程,评估工作指定一家 TISAX 认证机构执行。
交换:
您与合作伙伴共享评估结果。
上篇文章主要讲过如何进行注册;在这就不详细讲述了,
其中最繁琐和重要的阶段就是评估阶段;评估主要分为自评估和机构评估;自评估阶段需进行自我评估满足认证各项佐证;并且将自己的信息安全管理体系(ISMS)调整到最佳状态;机构评估阶段是对提交的佐证进行验证。
自评估阶段:
1.先确认评估等级;公司开会根据企业计划或者客户需求来确认过AL2或者AL3等级;还需要确认委员会(确认委员会的主要目的是决策部门信息安全相关事宜)。
2.企业在TISAX官网进行注册;获取注册号。
3.先进行自评估;到现场进行调研;确认各部门内审员
4.根据调研结果开展内审员培训,然后开始对部门信息资产识别和风险评估;
5.根据风险评估报告对企业的管理和技术进行改造;满足审核要求;并且管理要求需要有6个月的佐证记录。
6.准备好佐证后提交到评估机构进行预评估。
机构评估:
7.机构对企业申请的审核进行核定。
8.审核机构根据申请安排审核计划
9.根据提交的佐证机构进行审核;出具审核报告;要求企业出具整改计划;
10.企业根据整改计划进行整改;并且可以拿到9个月的临时标签;
11.整改后可获得正式标签。
为了准备接受 TISAX 评估,首先,企业需要将自己的信息安全管理体系(ISMS)调整到最佳状态。为了确认ISMS是否达到预期的成熟度等级,应依据 ISA 标准来做一次自我评估。
开始自我评估之前,请先下载 ISA 文件:
当下载发现有三大“标准目录”下载下来全是英文;英文不好的建议找人翻译一下;或者直接找辅导机构要;他们一般都有翻译版。
中文 | 英文 | |
1. | 信息安全 | Information Security |
2. | 原型保护 | Prototype Protection |
3. | 数据保护 | Data Protection |
下载的Excel表格中对应有标准目录:
打开表格每个评估对象都定义了哪些要求适用哪些标准目录。还有某些评估对象只适用一个标准目录中的要求,而其他评估对象则适用多个标准目录中的要求。
表格中的评估对象与这些标准目录呈对应关系:
序号 | 评估对象(Assessment objective) | ISA 标准目录 |
1. | (信息安全)Info high | Information Security (信息安全) |
2. | (信息安全)Info veryhigh | Information Security (信息安全) |
3. | (信息安全)High availability | Information Security (信息安全) |
4. | (信息安全)Veryhigh availability | Information Security (信息安全) |
5. | (原型保护)Proto parts | Prototype Protection (原型保护) |
6. | (原型保护)Proto vehicles | Prototype Protection (原型保护) |
7. | (原型保护)Test vehicles | Prototype Protection (原型保护) |
8. | (原型保护)Proto events | Prototype Protection (原型保护) |
9. | (数据保护)Data | Information Security (信息安全) |
10. | (数据保护)Specialdata | Information Security (信息安全) |
注意:如果您选择了评估对象“数据保护”,则必须回答“信息安全”和“数据保护”这两个标准目录中的问题。而且,每个标准目录所对应的评估对象不止一个油。
ISA标准中对应的适用要求:
序号 | 评估对象(Assessment objective) | 适用要求 |
1. | (信息安全)Info high | ▪ 标准目录“Information Security”(“信息安全”) “Requirements (must)”(“要求(必须)”)列 “Requirements (should)”(“要求(应当)”)列 “Additional requirements for high protection needs”(“针对‘高’保护需求的附加要求”)列 |
2. | (信息安全)Info veryhigh | ▪ 标准目录“Information Security”(“信息安全”) “Requirements (must)”(“要求(必须)”)列 “Requirements (should)”(“要求(应当)”)列 “Additional requirements for high protection needs”(“针对‘高’保护需求的附加要求”)列 “针对‘ 极高’保护需求的附加要求”列 |
3. | (信息安全)High availability | ▪ 标准目录“Information Security”(“信息安全”) “Requirements (must)”(“要求(必须)”)列 “Requirements (should)”(“要求(应当)”)列 “Additional requirements for high protection needs”(“针对‘高’保护需求的附加要求”)列(但仅限标有“A”的内容,意为 Availability(可用性)) |
4. | (信息安全)Veryhigh availability | ▪ 标准目录“Information Security”(“信息安全”) “Requirements (must)”(“要求(必须)”)列 “Requirements (should)”(“要求(应当)”)列 “Additional requirements for high protection needs”(“针对‘高’保护需求的附加要求”)列(但仅限标有“A”的内容,意为 Availability(可用性)) “针对‘ 极高’保护需求的附加要求”列(但仅限标有“A”的内容,意为 Availability(可用性)) |
5. | (原型保护)Proto parts | ▪ 标准目录“Prototype Protection”(“原型保护”)但仅限这几章:8.1 Physical and Environmental Security (8.1 物理和环境安全) “Requirements (must)”(“要求(必须)”)列 “Requirements (should)”(“要求(应当)”)列 |
6. | (原型保护)Proto vehicles | ▪ 标准目录“Prototype Protection”(“原型保护”)但仅限这几章: “Requirements (must)”(“要求(必须)”)列 “Requirements (should)”(“要求(应当)”)列 “Additional requirements for vehicles classified asrequiring protection”(“被列为需要保护的车辆的其他要求”)列 |
7. | (原型保护)Test vehicles | ▪ 标准目录“Prototype Protection”(“原型保护”)但仅限这几章: “Requirements (must)”(“要求(必须)”)列 “Requirements (should)”(“要求(应当)”)列 |
8. | (原型保护)Proto events | ▪ 标准目录“Prototype Protection”(“原型保护”)但仅限这几章: “Requirements (must)”( “要求(必须)”)列 “Requirements (should)”(“要求(应当)”)列 |
9. | (数据保护)Data | ▪ 标准目录“Information Security”(“信息安全”) “Requirements (must)”(“要求(必须)”)列 “Requirements (should)”(“要求(应当)”)列 “Additional requirements for high protection needs”(“针对‘高’保护需求的附加要求”)列(但仅限标有“C”的内容,意为 Confidentiality(保密性)) ▪ 标准目录“Data Protection”(“数据保护”) “Requirements (must)”(“要求(必须)”)列 |
10. | (数据保护)Specialdata | ▪ 标准目录“Information Security”(“信息安全”) “Requirements (must)”(“要求(必须)”)列 “Requirements (should)”(“要求(应当)”)列 “Additional requirements for high protection needs”(“针对‘高’保护需求的附加要求”)列(但仅限标有“C”的内容,意为 Confidentiality(保密性)) “针对‘ 极高’保护需求的附加要求”列(但仅限标有“C”的内容,意为 Confidentiality(保密性)) ▪ 标准目录“Data Protection”(“数据保护”) “Requirements (must)”(“要求(必须)”)列 |
注意:
“针对‘高’保护需求的附加要求”和“针对‘极高’保护需求的附加要求”两列中的每项要求都标有“C”(意为 Confidentiality(保密性)或“I”(意为 Integrity(完整性)或“A”(意为Availability(可用性),或这三个字母的任意组合。
上表将这两列中的要求缩小到标有一个上述字母时,标有此字母及额外字母的要求也适用。
例如标有“(C)”、“(C、I、A)”或“(C、I)”的所有要求均适用于上表中指定“C”的位置(例如,在评估对象“Specialdata”中)。
表中的 “信息安全”标准目录中控制问题的主要元素。(其他标准目录仅包含这些元素的子集。):
翻译:1、成熟度等级 2、章节 3、“控制”问题 4、要求 5、对象 6、所有保护需求 7、“高”保护需求 8、“极高”保护需求
每个标准目录都以章节形式对问题进行分组。
针对每一个标准目录,您可在相应的 Excel 表中看到该问题。
例如:“4.1.2 用户在访问网络服务、IT 系统及 IT 应用时,其安全性保障程度如何?“控制”问题亦称作“控制点”,是“审计人员行话”。ISA 所依据的 ISO 标准使用“控制”一词。
“控制问题(Control question)”列的右侧是“目标(Objective)”列(J 列)。该栏内容描述了,为了在所提到的方面使信息安全管理符合要求,需要具体做什么。
“只有经过安全识别(验证)的用户才能访问 IT 系统。鉴于此,将通过适当的流程来确认用户的身份,从而确保访问安全。”
为了实现目标而需要满足的条件的要求主要分布四列中:1、Requirements (must) (要求 (必须)) (K 列) 2、Requirements (should) (要求 (应当)) (L 列) 3、Additional requirements for high protection needs (针对“高”保护需求的附加要求) (M 列) 4、Additional requirements for very high protection needs (针对“极高”保护需求的附加要求) (N 列)。
根据需要达到的保护需求(可参考评估对象),应当相应满足所有的要求。
针对信息安全管理体系,ISA 使用“maturity levels”(“成熟度等级”)这个概念来对其各个
方面的质量水平进行评级。信息安全管理体系越复杂,其成熟度等级就越高。
ISA 区分六种不同的成熟度等级,您可在 Excel 表“Maturity levels”(“成熟度等级”)中查看详细定义。为了以直观的方式了解各个成熟度等级,信息安全管理体系的成熟度等级进行评估。在“Maturity level”(“成熟度等级”)(E 列)这一列中输入您的成熟度等级。
根据以上的结果得分是对自我评估结果的总结,可在 Excel 表“结果”(Results,ISA5)(D6 单元格)中查看结果得分(“回归至目标成熟度等级的结果”)。后面就是解释什么是“回归”:
为了理解并随后自我评估结果和结果得分进行解读,需要区分两种类型的分析级别:
问题级:涉及所有的问题,每个问题均对应一个目标成熟度等级和您的成熟度等级。
分数级:总体结果,它是所有问题结果的总结。也有一个最高结果得分。
下图直观展示了分析级别、ISA目标的定义以及企业的评估结果:
目标成熟度等级 | 企业成熟度等级 | |||||
问题级 | 问题级 | |||||
Q 问题 | TML 目标成熟度等级 | YHL 企业成熟度等级 | Q 问题 | TML 目标成熟度等级 | YHL 企业成熟度等级 | |
1.1.1 | 3 | 3 | 1.1.1 | 3 | 3 | |
1.2.1 | 3 | 3 | 1.2.1 | 3 | 3 | |
1.3.1 | 3 | 3 | 1.3.1 | 3 | 3 | |
最高结果得分 | 企业结果得分 | |||||
分数级 | 分数级 | |||||
Q 问题 | TML 目标成熟度等级 | YHL 企业成熟度等级 | Q 问题 | TML 目标成熟度等级 | YHL 企业成熟度等级 | |
1.1.1 | 3 | 3 | 1.1.1 | 3 | 3 | |
1.2.1 | 3 | 3 | 1.2.1 | 3 | 3 | |
1.3.1 | 3 | 3 | 1.3.1 | 3 | 3 | |
30 | 30 | 30 | 30 |
ISA 为每个问题所规定的“目标成熟度等级”为3。 在ISA的Excel 表“结果”(Results,ISA5)中(从 G 列、第 22 行开始,见下图)对目标成熟度等级进行了定义。
结果:为了获得 TISAX 标签,通常需要使每个问题的成熟度等级等于或者高于目标成熟度等级。
注意示例:如果问题 X 的目标成熟度等级为“3”,则针对该问题的成熟度等级也应当为“3”或者更高。但是,如果您的成熟度等级在“3”以下,那么就有可能无法获得 TISAX 标签。
A).这一点只适用于单个问题,比如说,如果两个问题的目标成熟度等级都是“3”,而针对其中一个问题的成熟度等级是“2”,另一个为“4”,那么,就不能采用“取高补低”的做法,让两个成熟度等级都达到“3”。
B).ISA文件会自动将您的成熟度等级从 Excel 表“信息安全”(E 列)转移到 Excel 表“结果”
(Results,ISA5)(从 H 列、第 23 行开始)中:
企业目标成熟度等级:在 ISA 文件总结成熟度等级,并将之体现在得分结果中之前,会对其进行计算。一个基本原则是,成熟度等级会“回归”到目标成熟度等级。这样做是为了防止一旦针对某些问题的成熟度等级高于目标成熟度等级,而针对另一些则低于目标成熟度等级,从而出现两者之间“取高补低”的情况。
C). 以下是 ISA 计算结果(问题级)的方式:
取您的成熟度等级,并将其与问题的目标成熟度等级进行比较。
如果您的成熟度等级高于目标成熟度等级,则其将“回归”到目标成熟度等级。
如果您的成熟度等级低于或等于目标成熟度等级,则针对该问题将不采取行动。
即使您在所有问题上都没有达到目标成熟度等级,您依然有可能通过 TISAX 评估。在这种情况下,主要问题在于您是否存在关联风险。如果您的成熟度等级低于目标值,但您自身并无风险,那么依然可能满足通过条件。
D).通过结果得分,您可以看到:
自己是否已准备好接受 TISAX 评估。
自己是否有望获得 TISAX 标签。
如果结果得分(“回归至目标成熟度等级的结果”)在“3.0”以下,则说明至少在一个问题上,您的成熟度等级未达到目标成熟度等级。在这种情况下,为做好接受 TISAX 评估的准备,或许应首先对自己的信息安全管理体系进行改进。
E).Excel 表“结果”(Results,ISA5)中的 ISA 蜘蛛网图。 绿线表示每一章对应的目标成熟度等级。如果成熟度等级 恰好达到或超过该线,则表明您已经可以接受 TISAX 评估了。反之,如果在该线以下,则说明您的条件还不足以获得 TISAX 标签。
提示:对于许多公司而言,在接受正式评估之前,没有对自我评估结果进行适当的分析和总结是阻碍其通过评估的主要绊脚石。请不要低估这项工作——根据要求去调整改进信息安全管理体系,在这方面付出的时间和精力都是值得的。许多公司为了准备 TISAX评估,甚至需要为此专门立项,且工作量巨大。
1.先确认评估等级;公司根据企业计划或者客户的需求来确认通过AL2等级或者AL3等级;建议是通过邮件通知会议方式还需要确认委员会(确认委员会的主要目的是决策部门信息安全相关事宜)。
2.官网注册:会议通过后企业按照要求在TISAX官网进行注册;并且获取注册号。(注册流程可参考上篇文章:企业TISAX认证--从0到1设施指南(1))
3.先进行自评估;TISAX项目统筹员到各部门现场进行调研;并且沟通各部门领导确认各部门内审员。
4.根据调研结果开展内审员培训,然后开始对部门信息资产识别和风险评估;
(1)通过内部培训对各部门内审员联系人进行培训;并且记录会议内容形成培训文档。
(2)发送(Information Asset Identification Form 信息资产识别表)、(Risk Assessment Form 风险评估表)给个部门内审员;要求内审员按照要求认真填写,
资产识别表:按照财务部门举例;内容主要有:版本信息、信息资产分类说明、文档和数据、软件和系统、硬件和设施、人员资源、服务和其他,共6个sheet;根据实际情况进行填写
版本信息:
信息资产分类说明:
文档和数据:
软件和系统:
硬件和设施:
人员资源:
服务和其他:
风险评估表:资产识别表中识别为重要信息资产的项目;转入风险评估表开展风险评估工作;风险评估表有2个sheet;包括:版本信息和风险评估表。对文档数据按照描述进行评估;最终确认可能性、后果和风险等级。
版本信息:
风险评估表:
注意:TISAX项目管理人员;要求各部门内审员在规定时间上交风险评估表和信息资产识别表;并且确认两个表格的证书有效性。
5.根据风险评估报告对企业的管理和技术进行改造;
根据风险评估报告对企业管理和技术进行全方面的整改;不满足项及时补充佐证;并且按照TISAX要求管理要求相关证据需要有6个月的佐证记录。
案例(1):
按照ISA表格中的2.1.1 条举例,按照目标要求提供佐证,
2.1.1要求:
2.1.1佐证:
案例(2):
ISA章节3.1.1 要求物理相关信息安全保护佐证
条款3.1.1相关部分佐证:
6.准备好佐证后提交到评估机构进行预评估。
准备ISA文件中的各条款佐证;根据序号排列到各文件夹中:
准备好佐证后就可以联系评估公司进行审核了。
注意:只有签约认证机构才有资格执行 TISAX 评估工作;TISAX 认证机构有资格执行 TISAX评估,但前提是,他们此前从未向您提供过任何形式的咨询服务。
1.注册 TISAX 评估范围后,应当开始联系认证机构。因为他们需要一定的前期筹备时间。如完成准备工作之后再与他们联系,可能会增加不必要的延误。
2.联系TISAX认证机构并请求报价。后者的联系人信息会随注册确认邮件一并发送给注册人;
3.选择 TISAX 认证机构,且均基于相同的标准和审计方法来执行评估工作。就评估结果而言,无论选择哪一家认证机构,都不会给结果带来影响—评估结果是被所有 TISAX 参与者承认的。
4.粗略估算认证机构将向您收费的人工天数。对于只有一个地点的普通公司,应该为评估级别 AL2的评估支付 3.5 到 4 个人工天数的费用,评估级别AL3的评估支付 5 到 6 个人工天数的费用。
5.联系到评估公司后根据报价评估最终确认评估公司;签收合同后可进行评估工作。
1.机构对企业申请的审核进行核定。
选择适合自己公司的评估机构;然后评估机构会对企业进行审核核定。审核后召开正式立项会议。正式立项会议通常以电话或视频会议的形式进行。
2.审核机构根据申请安排审核计划
和评估机构签署合同后;需要提前和评估机构沟通;提前要求培训机构安排评估审核。认证机构将依据准备工作计划,来相应执行初始评估。评估形式主要包括电话会议、现场约谈以及现场检查,其所涉及的评估深度各不相同。
3.根据提交的佐证机构进行审核;出具审核报告;要求企业出具整改计划;
评估机构会根据每一项适用要求进行检查。
序 | 类型 | 定义 | 反应 | 示例 |
1. | 重大不符合项(Major non-conformity) | 重大不符合项: ▪ 对信息安全构成 重大直接风险 ▪ 或者给信息安全管理 体系的整体有效性造成疑虑 | 必须: ▪ 立即处理重大不符合 项,并采取适当的整改措施 ▪ 及时采取纠正行动, 不得延误 | ▪ 系统性不符合项 ▪ 给保密信息安全造成 重大风险的实施缺陷 ▪ 未采取适当纠正行动 的实施缺陷 |
2. | 轻微不符合项(Minor non-conformity) | 轻微不符合项: ▪ 不会对信息安全 构成重大直接风险 ▪ 并且不会给信息安 全管理体系的整体有效性造成疑虑 | 必须: ▪ 及时采取纠正行动, 不得延误 | ▪ 孤立的、偶尔出现的 错误 ▪ 在实施要求或您的政 策方面的不合规或缺陷 |
3. | 观察意见(Observation) | 观察意见是指有违自身的政策要求,不会立即对信息安全造成风险,但将来可能会造成风险的不符合项。 | 必须: ▪ 认真调查、监控和评 估可能的风险 ▪ 确定如何处理观察意 见 | 不适用 |
4. | 改进建议(Room for improvement) | 这是指不属于上述类型的偏差,虽然不会对信息安全造成风险,但有明显改进空间。 | 可以决定是否要处理或如何处理这类评估发现。 | 不适用 |
“对照要求”步骤的所有评估结果纳入整体评估结果。
整体评估结果有以下几种情形:符合、轻微符合、重大不符合
最终机构审核后出具审核报告;“符合”可直接拿到证书;“轻微不符合”那么您可以获得 TISAX 临时标签,直到所有的轻微不符合问题得到解决为止。“重大不符合”,那么只有在解决了有关问题之后,才能获得 TISAX 标签。
审核机构并且要求企业对不符合项出具整改计划;
整改计划一般有下列要求:
评估发现:需要说明纠行动对应的是哪项评估发现。
根本原因:需要确定并说明评估发现的根本原因。
纠正行动:针对每一个不符合项,需要制定一项或多项“整改计划”,以确保能够采取措施来消不符合项。
实施日期:需要为每一项纠正行动确定一个实施日期。具体实施期限应确保为全面落实措施留出充足的时间。
整改措施:对于所有带来重大风险的不符合项,需要相应制定整改措施,来消除不符合项,直到纠正行动得到落实为止。
落实期限:对于所有落实期限超过三个月的纠正行动,您需要就该期限给出合理的解释。对于所有落实期限超过六个月的纠正行动,您需要额外提供证据,来证明无法做到更快落实相关行动。对于所有的纠正行动,其落实期限均不得超过九个月。
4.企业根据整改计划进行整改;并且可以拿到9个月的临时标签;
评估计划提交给认证机构,并由其根据相关要求进行评估。如果计划符合要求,认证机构将签发更新后的“TISAX 评估报告”。
如果整体评估结果为“轻微不符合”,则可获得 TISAX 临时标签。
TISAX 临时标签的优点是,通常被合作伙伴接受;但前提是,之后会顺利获得 TISAX 正式标签。临时 TISAX 标签的最常有效期为初始评估结项会议后的九个月。临时 TISAX 标签的有效期由纠正行动的最长实施期限决定。
认证机构可执行后续工作评估的最长时限为:初始评估结项后九个月内。
5.整改后可获得正式标签。
整改评估会就可以在官网上查询到证书了。
为了保证 TISAX 标签长期有效,应当每三年换发一次。如果需要续约TISAX就需要再次完成 TISAX 评估流程(注册评估范围、接受 TISAX 评估、共享评估结果)。只不过,注册过程会更加容易,因为无需重新将公司注册为“TISAX 参与者”。另外,依然可以使用此前录入 TISAX 数据库的所有联系人和评估地点。
到目前为止,已经完成了 TISAX 评估流程,但是您的合作伙伴依然未见到任何“证据”能够证明您的信息安全管理体系有能力保护自己的保密数据。
结尾
通过本文的介绍,我们希望您对TISAX认证有了更深入的理解,并且对如何从零开始准备TISAX认证有了清晰的认识。TISAX认证是一个涉及多个层面的复杂过程,它不仅需要企业在技术层面上进行投入,还需要在组织结构、流程管理和文化建设上做出努力。然而,一旦成功获得认证,企业将能够享受到更高的市场信任度、更强的竞争优势以及更广阔的合作机会。 请记住,TISAX认证是一个持续的过程,而非一次性的任务,每三年需要重新认证一次。 最后,我们祝愿所有致力于TISAX认证的企业能够顺利通过评估。