TISAX汽车信息安全审核流程及标准精要介绍

开场

• 商业秘密
• 个人数据
• 信息安全

第一部分 TISAX简介

• TISAX简介

• VDA、TISAX、ENX关系及起源
• 评估目标AO
• 评估级别AL
• 注册、认证审核流程
• TISAX打分说明（成熟度水平）
• 可信交换共享级别说明

第二部分 TISAX要求

• TISAX信息安全

• 1 信息安全方针和组织（信息安全方针、信息安全组织、资产管理、信息安全风险管理、评审、信息安全事件管理）

              +信息安全风险管理方法论简介            

• 2 人力资源安全（人力资源安全、远程办公）
• 3 物理安全（物理和环境安全、介质管理）
• 4 身份和访问管理（访问控制）
• 5 IT安全和网络安全（密码学、通信安全、操作安全、系统获取开发和维护）

              +信息安全业务连续性管理方法论简介

• 6供应关系（供应关系、通信安全）
• 7符合性（合规、隐私保护）

• TISAX原型保护

• 8.1物理和环境安全（外围和出入口安全、访问保护、抗拆/防盗、视野保护、安全区域、物理进入控制、访客制度、分离）
• 8.2组织（保密协议、供应关系信息安全、培训、项目安全、访问安全区域、图像管理、摄像设备管理）
• 8.3车辆、零部件管理（安全传输、安全存放）
• 8.4试验车辆管理（伪装、试验保护、试驾保护）
• 8.5活动和影像管理（公开活动安全、影像管理）

• TISAX数据保护

• 9.1策略
• 9.2组织（数据保护官（DPO）要求）
• 9.3记录（GDPR处理活动的记录）
• 9.4措施（PbD、数据保护影响评估（DPIA）、处理安全、数据主体权利）
• 9.5数据传输（EDPB流程、标准合同条款（SCCs）、公司约束规则（BCRs））
• 9.6处理请求和事件
• 9.7人力资源
• 9.8指令

结语

• 伦理安全
• TISAX与27001、GDPR的关系
• 供应商分类 参考

注：TISAX 28个模块、80项要求精解（结合应用场景、展示示例、解读must、should、high和very high）