400-656-5059
17660958691
评估级别与评估对象
保护需求越高,您的合作伙伴就越希望确保能够放心地让您处理他们的信息。因此,TISAX 定义了三大“评估级别(Assessment Level,简称 AL)”。
评估级别规定了我们的 TISAX 审计服务提供商所执行的审核深度,以及其使用的审计方法。简单来说,评估级别越高,相应的评估强度就越高,使用的评估方法也就越高级。
评估级别与评估形式
某些合作伙伴可能会要求您接受 TISAX 特定“评估级别”的评估。您需要明白,仅仅知道评估级别,是不足以启动 TISAX 流程的。因为,只有在与某个 ISA 标准目录及其相应的保护需求结合使用时,评估级别才有意义。通常,合作伙伴会要求您获得TISAX 标签(即“标准目录(评估对象) + 保护需求”)。然而,由于保护需求同评估级别之间是 1:1 的对应关系,因此,您只需知道“标准目录(评估对象) + 评估级别”即可。
高评估等级总是包含低评估等级。例如,如果您的评估是基于评估等级 3,那么它将自动满足评估等级 2 的所有要求。
评估对象与控制目标
01
信息保护
为确定信息安全流程及其管理成熟度的基本模块。 该模块始终是必需的。
控制目标数量: 41
02
原型保护
当供应商使用有关原型的绝密信息时,此模块是 必需的。 重点是实施物理措施。
控制目标数量: 22
03
数据保护
当供应商会对客户的个人数据进行处理时,此模 块是必需的。 此模块不按成熟度水平进行评估。
控制目标数量: 4
控制目标与成熟度等级
VDA ISA使用“成熟度等级”的概念对信息安全管理体系的各个方面质量进行评级。信息安全管理体系越复杂,成熟度就越高。
在评估体系中,共设置六个成熟度等级。 对于每项控制目标,其不同的等级展示了申请组织在各信息安全管理过程中的不同能力。
成熟度等级与评估结果
在VDA ISA雷达图中, 绿色部分表示每章的目标成熟度。 如果您的成熟度达到或超过该水平,则可以进行TISAX评估了。 如果它们在该行以下,则可能不足以接收TISAX标签。
对于总体得分,在结果分数和最大成绩得分之间有一个可接受的“距离”(“削减到目标成熟度水平的结果”)的正式限制。
如果您的结果得分低于最高结果得分的幅度:
- 10%以下,总体评估结果为“轻微不符合”;
- 30%以下,总体评估结果为“重大不符合”;
结果得分(“削减至目标成熟度水平的结果”)为“3”并不能保证您将通过TISAX评估,同时又不会出现任何令人望而却步的结果。请考虑评估服务方可能与您不同地看待某些方面。
评估结果与获得标签
评估结果出来后,对于您的成熟度水平和目标成熟度水平之间的某些差距,您需要知道如何关闭它们并在规定期限内整改关闭,获取标签。
在这种情况下,我们会为您提供咨询服务。 TISAX允许企业进行咨询,但是请注意,任何为您提供咨询的公司都无法再为您进行TISAX认证审核评估。
对于许多公司而言,在正式审核评估之前未正确处理自我评估结果是一个主要的绊脚石。 请不要低估根据要求构建信息安全管理体系可能要付出的努力。 许多公司需要正式建立一个实质性的项目来为TISAX评估做好准备。我们会协助您在正是审核之前建立信息安全管控整合体系并进行自评估。
标签与评估结果共享
取得标签后在ENX与合作伙伴共享评估结果,从而展示组织自身的信息安全管控能力
仅能通过TISAX 交换平台,来让其他 TISAX 参与者知晓您的评估结果
