TISAX 审计级别、范围和具体要求:
TISAX按照信息安全保护程度,一共分为三个级别:AL1,AL2 (High), AL3 (VeryHigh)。
除AL1只需要供应商进行自评估外,其余等级均需要通过第三方审计。中国国内的供应商,无论是AL2还是AL3,都需要(对每个涉及的工作场所)进行现场评估,包括人员访谈、实地查看、取证确认等。从具体的评估内容来看,至少包括信息安全评估(ISA)共计52个控制点,这些控制点主要参照ISO/IEC27001和27002标准体系,并根据德国汽车行业特点进行相应的调整。不同的供应商根据与主机厂的业务合作,还可能包括对原型保护、第三方连接、数据保护的额外控制点的审计。每一项控制点按照信息安全保护能力成熟度,得分范围在0-5之间,蕞终得分由各项汇总后,按照偏差百分比决定是否通过TISAX审计(供应商可以根据偏差发现进行及时整改,并在规定时间内寻求审计确认)。
