审核注意事项:
在执行TISAX审核之前需要企业与授权认证审核服务机构确定TISAX的审核对象,审核范围和审核级别。
审核对象:是指企业组织范围,部门范围,物理地点等范围;
审核范围:是指标准范围,压缩范围还是扩展范围;
审核级别:分为3个级别,不同的审核级别是由参与方期望达到的保护级别所决定的,TISAX区分三个不同的“保护级别”(正常,高和非常高),其对应AL1,AL2和AL3的审核级别;
如果只是AL1级别的审核,不需要外部审核方参与企业执行自我评估即可,但注意此级别无法获得TISAX标签;企业通常都需要外部认证审核方执行AL2或AL3级别审核从而实现高和非常高的保护级别;
TISAX的审核级别:
对于TISAX审核时的具体技术标准的依据是VDA-ISA标准,这个标准是VDA组织基于ISO/IEC27不同信息安全相关标准定制而来,其中主要包括信息安全体系,第三方联系,数据保护,原型保护等四个方面,包括多个控制检查点组成。
TISAX的主要内容:
评估的基础是VDA信息安全评估(ISA)调查问卷,由VDA信息安全委员会创建和维护。它可以从VDA网站下载德语或英语。
对于拥有多个地点的公司,常规TISAX评估流程可能非常广泛。在某些条件下,我们提供了另一种选择“简化群体评估”(SGA)。简化的小组评估是TISAX评估过程的一个特例。如果满足前提条件,与常规TISAX评估过程相比,它可以减少工作量。这种特殊的TISAX评估流程专为拥有至少三个地点和集中,高度发达的信息安全管理系统(ISMS)的公司而设计。
