什么是TISAX：概念

(资料图片)

Trusted Information Security Assessment Exchange

（德国汽车行业的通用信息安全评估）

最早起源于大众内部对其合作伙伴的信息安全审计，目的是对敏感信息的共享和保护，目前已逐渐扩展到所有的德国汽车主机厂（戴姆勒、宝马等），成为一种通用的评估和交换机制，目的是为了实现德国汽车行业（VDA）信息安全评估的相互接受，该项评估的流程和标准在2017年开始成为强制性要求，全球所有供应商（包括零部件厂商、外围服务商等）均应建立和维持信息安全管理体系，并通过与之相应级别的TISAX审计，作为准入条件。

TISAX的审计内容：与ISO27001的区别

TISAX的审计主体框架来源于ISO27001，除了在信息安全主体审计部分增加了一些关于云安全等

审计内容以外，还包括了第三方连接、原型保护、数据安全这3个部分。其中信息安全主体部分为

审计必须包含项，第三方连接、原型保护、数据安全则需要根据主机厂的要求和实际业务情况作为可选部分。

TISAX的审计标准：ISA

TISAX的审计标准ISA经历了多个版本的变更，目前最新版本4.1。与最初版本项目，从审计标准和审计要求方面都进行了很多人性化的改变，有助于客户更好的通过审计。

TISAX的审计条款格式

13.4 To what extent is information protected during exchange or transfer?

在传输交换过程中信息受到何种程度的保护？

Objective: During exchange and transfer of information, the information security requirements must be

considered. For this purpose, it must be defined which services within the organization may be used

for which type of data and which protective measures are to be taken when using those services.

在传输交换信息期间，必须考虑信息安全要求。为此，必须确定组织内的服务使用哪种类型的数据以及

在使用这些服务时应采取哪些保护措施。

This must include:

+ The services (e.g. email, EDI, voice over IP) used for transfer are identified. 识别服务（例如，电子

邮件，EDI，IP语音）

+ Rules and procedures in accordance with the classification for the use of services are defined and

implemented. 定义和实施根据服务使用分类的规则和程序

+ Measures for the protection of transferred contents against unauthorized access are implemented.

实施保护传输内容免受未授权访问的措施

This should include:

+ Measures for ensuring correct addresses and correct transport of the message are implemented. 实

施确保正确地址和正确传输消息的措施

+ A process for approving the use of external services (e.g. instant messaging, web meeting, webmail)

is established. 建立批准使用外部服务（例如即时消息，网络会议，网络邮件）的流程。

+ Electronic data exchange is carried out according to the classification by means of content

encryption and/or via encrypted transmission paths (e.g. VPN, encrypted connections (HTTPS, SFTP,

TLS)). 通过内容加密和/或通过加密传输路径（例如VPN，加密连接（HTTPS，SFTP，TLS））根据分

类进行电子数据交换。

This may include:

+ Digital signatures are used in accordance with legal provisions. 使用符合法律规定的数字签名技术

Additionally in case of high protection needs:

+ Emails are transmitted by means of transport encryption (e.g. TLS). 通过传输加密（例如TLS）传输

电子邮件。

+ A suitable encryption is in use during data transfers to externally hosted IT systems (see Controls

10.1, 15.1). 在向外部托管的IT系统传输数据期间使用了合适的加密（参见控制10.1,15.1）。

Additionally in case of very high protection needs:

+ Emails are transmitted by means of end-to-end encryption (e.g. PGP, S/MIME, ZIP encryption).

通过端到端加密（例如PGP，S / MIME，ZIP加密）传输电子邮件。

TISAX的评分标准：CMM

不适用N/A：由于客户的实际业务情况中不存在此项安全控制，导致该审计条款不适用。

0分：需求的实现是不完整的。流程不存在，或者现有流程没有实现所需的结果。

1分：已经执行信息保护需求所需的要求。已经有流程并且正常运转。然而，它并没有完全形成文档。

因此不能保证其始终工作。

2分：管理实现目标的过程。它被记录下来，并且可以得到证明（例如，文档）。

3分：建立了明确的流程，流程之间相互交接并显示其已经充分融合。同时，相关的制度、策略或流程

被定期的维护以保证适用性。

4分：除了3分的要求外，明确考核指标使得流程的质量可控。

5分：第4级的要求以及额外资源（如人员和财务）正在以优化的方式实施。这个过程仍在不断改进。

TISAX的CMM成熟度模型分为0~5这6个级别，同时也考虑了不适用的情况。最终分数会根据各审

计项的分数进行综合计算，满分为3分，通过分数（获得认证）为2.7分。值得注意的是不同的审计

项最高分值会有所区别，大部分以3分为满分，部分会以2分或4分为满分，超出部分的将不会被记

入总分的计算中。另外，审计的最终结果中不能出现轻微/重大不符合项。

通过TISAX审计的几个关键成功要素

1. 建立完整的信息安全制度文件（文档）

2. 提供明确的执行记录以体现控制的有效性（证据）

3. 明确TISAX审计条款的具体要求，理解风险把控的原则

4. 进行有针对性的应审准备，包括明确应审人员、应审材料的准备、时间的合理安排

5. 有效的整改计划，并积极对整改措施的执行情况进行追踪

关键词： 信息安全 审计标准 电子邮件