什么是TISAX：概念

(資料圖片)

Trusted Information Security Assessment Exchange

（德國汽車行業的通用信息安全評估）

最早起源于大眾內部對其合作伙伴的信息安全審計，目的是對敏感信息的共享和保護，目前已逐漸擴展到所有的德國汽車主機廠（戴姆勒、寶馬等），成為一種通用的評估和交換機制，目的是為了實現德國汽車行業（VDA）信息安全評估的相互接受，該項評估的流程和標準在2017年開始成為強制性要求，全球所有供應商（包括零部件廠商、外圍服務商等）均應建立和維持信息安全管理體系，并通過與之相應級別的TISAX審計，作為準入條件。

TISAX的審計內容：與ISO27001的區別

TISAX的審計主體框架來源于ISO27001，除了在信息安全主體審計部分增加了一些關于云安全等

審計內容以外，還包括了第三方連接、原型保護、數據安全這3個部分。其中信息安全主體部分為

審計必須包含項，第三方連接、原型保護、數據安全則需要根據主機廠的要求和實際業務情況作為可選部分。

TISAX的審計標準：ISA

TISAX的審計標準ISA經歷了多個版本的變更，目前最新版本4.1。與最初版本項目，從審計標準和審計要求方面都進行了很多人性化的改變，有助于客戶更好的通過審計。

TISAX的審計條款格式

13.4 To what extent is information protected during exchange or transfer?

在傳輸交換過程中信息受到何種程度的保護？

Objective: During exchange and transfer of information, the information security requirements must be

considered. For this purpose, it must be defined which services within the organization may be used

for which type of data and which protective measures are to be taken when using those services.

在傳輸交換信息期間，必須考慮信息安全要求。為此，必須確定組織內的服務使用哪種類型的數據以及

在使用這些服務時應采取哪些保護措施。

This must include:

+ The services (e.g. email, EDI, voice over IP) used for transfer are identified. 識別服務（例如，電子

郵件，EDI，IP語音）

+ Rules and procedures in accordance with the classification for the use of services are defined and

implemented. 定義和實施根據服務使用分類的規則和程序

+ Measures for the protection of transferred contents against unauthorized access are implemented.

實施保護傳輸內容免受未授權訪問的措施

This should include:

+ Measures for ensuring correct addresses and correct transport of the message are implemented. 實

施確保正確地址和正確傳輸消息的措施

+ A process for approving the use of external services (e.g. instant messaging, web meeting, webmail)

is established. 建立批準使用外部服務（例如即時消息，網絡會議，網絡郵件）的流程。

+ Electronic data exchange is carried out according to the classification by means of content

encryption and/or via encrypted transmission paths (e.g. VPN, encrypted connections (HTTPS, SFTP,

TLS)). 通過內容加密和/或通過加密傳輸路徑（例如VPN，加密連接（HTTPS，SFTP，TLS））根據分

類進行電子數據交換。

This may include:

+ Digital signatures are used in accordance with legal provisions. 使用符合法律規定的數字簽名技術

Additionally in case of high protection needs:

+ Emails are transmitted by means of transport encryption (e.g. TLS). 通過傳輸加密（例如TLS）傳輸

電子郵件。

+ A suitable encryption is in use during data transfers to externally hosted IT systems (see Controls

10.1, 15.1). 在向外部托管的IT系統傳輸數據期間使用了合適的加密（參見控制10.1,15.1）。

Additionally in case of very high protection needs:

+ Emails are transmitted by means of end-to-end encryption (e.g. PGP, S/MIME, ZIP encryption).

通過端到端加密（例如PGP，S / MIME，ZIP加密）傳輸電子郵件。

TISAX的評分標準：CMM

不適用N/A：由于客戶的實際業務情況中不存在此項安全控制，導致該審計條款不適用。

0分：需求的實現是不完整的。流程不存在，或者現有流程沒有實現所需的結果。

1分：已經執行信息保護需求所需的要求。已經有流程并且正常運轉。然而，它并沒有完全形成文檔。

因此不能保證其始終工作。

2分：管理實現目標的過程。它被記錄下來，并且可以得到證明（例如，文檔）。

3分：建立了明確的流程，流程之間相互交接并顯示其已經充分融合。同時，相關的制度、策略或流程

被定期的維護以保證適用性。

4分：除了3分的要求外，明確考核指標使得流程的質量可控。

5分：第4級的要求以及額外資源（如人員和財務）正在以優化的方式實施。這個過程仍在不斷改進。

TISAX的CMM成熟度模型分為0~5這6個級別，同時也考慮了不適用的情況。最終分數會根據各審

計項的分數進行綜合計算，滿分為3分，通過分數（獲得認證）為2.7分。值得注意的是不同的審計

項最高分值會有所區別，大部分以3分為滿分，部分會以2分或4分為滿分，超出部分的將不會被記

入總分的計算中。另外，審計的最終結果中不能出現輕微/重大不符合項。

通過TISAX審計的幾個關鍵成功要素

1. 建立完整的信息安全制度文件（文檔）

2. 提供明確的執行記錄以體現控制的有效性（證據）

3. 明確TISAX審計條款的具體要求，理解風險把控的原則

4. 進行有針對性的應審準備，包括明確應審人員、應審材料的準備、時間的合理安排

5. 有效的整改計劃，并積極對整改措施的執行情況進行追蹤

關鍵詞： 信息安全 審計標準 電子郵件