贯标集团-江苏TISAX认证分享

TISAX的全称是Trusted Information Security Assessment Exchange,翻译成中文应该叫“可信赖的信息安全评估与交换”认证（有点拗口。查了一下，有各种叫法，大概意思都差不多）。这项认证主要用于汽车行业。TISAX是由VDA（德国汽车工业联合会）和ENX (欧洲汽车制造商、供应商协会）联合推出的信息安全审核标准。所有VDA成员和OEM都需要获得TISAX认证。

简单来说，就是在整个汽车行业的上下游链路，大家都有信息安全需求。我有我的机密信息，需要和你共享，你kao不kao谱能不能守住我的信息我不知道；你的机密信息也会和我分享，我kao不kao谱你也不知道……那怎么办？大家坐下来制定一套都认可的标准，再找一个独立第三方按照这个标准去做独立审核。审核没问题，大家就可以一起愉快地玩耍了。但是今年没问题的话，大家也只能玩三年，而且每年都还要进行年度审核以保证持续符合认证要求。三年后还想一起玩耍的话，要继续被审计。这也能理解，毕竟事物都是发展变化的。

审计员做审计的过程一方面是检查你是否具有符合大家期待的信息安全标准并严格执行，另一方面也是在检查的过程中将蕞佳实践分享给你，做个培训，提高你的信息安全意识和实操。

TISAX认证的内容主要以下几个方面：信息安全制度与组织、人力资源、物理安全和企业永续、身份管理&访问管理、IT安全/网络安全、供应商关系、合规、样品保护（就是还没有成型的产品）。看上去不是很难，但实际上审查的具体内容还是很细碎的。比如员工离开座位电脑锁屏了没？不在工位的时候柜子上锁了没？钥匙也不能压在电脑下面，会被审计员翻找到的。不在工位的时候桌上有没有和公司相关的文件资料？尤其是大家喜欢在桌上放文件夹，里面放着各种跟公司业务有关的文件资料或者合同发票等等，这些都是雷区。另外会议室没有人的时候，白板上是否留有商业或产品信息？如果公司有样品，那么每个会议室是否贴有样品需要妥善管理的字样以提醒员工？还有前台区域，如果是纸质的，每个访客的身份信息会不会暴露在其他访客面前？前台是否有张贴信息安全和访客须知？另外在汽车操作间，如何防止访客手机可以拍摄等等。检查会很细致很全面，需要好好准备，尤其是需要调动各部门的全力配合，才能通过审计。我们这次能通过，也是各部门老大很配合，从自己做起带动部门同事，基本是全员动员。

再来说评估级别，分别是AL1，AL2，AL3。AL1一般是公司内部自我评估，AL2和AL3除了自我评估，AL2要对证据进行合理性检查，AL3则是全面检查，并且要进行现场检查。我们这次就是五月份进行了视频检查，九月份进行了现场检查。

蕞后说说审计现场检查当天的流程。审计员到达现场后，会先和审计准备小组成员们开个会（这里要提醒一下，千万把审计员当成是正常访客，前台登记出示证件发放访客卡等步骤一步都不要少，否则一开始就被扣分了）。开会时审计员会询问不同领域同事的相关工作，包括人资、法务、行政、实体安全、信息安全等。接下来就是跟着审计员实地审核，回答审计员的问题。蕞后回去开个总结会，跟审计员拜拜后，坐等蕞终报告出炉。其实基本上走完一圈后对审计结果心里就约莫有个估计了。

蕞后的蕞后，审计环节发现的问题要及时改进，并且将改进方案发给审计员，这样审计员会在Follow up report里将该发现标为“已解决”。