保护需求越高,您的合作伙伴就越希望确保能够放心地让您处理他们的信息。因此,TISAX定义了三大“评估级别(Assessment Level, 简称AL)”。

评估级别 1(AL 1):

主要针对公司内部用途,是真正意义上的自我评估(self-assessment)。

评估级别 2(AL 2):

为确认是否符合级别2,审计服务提供商会对您的自我评估结果(针对评估范围内的所有地点)执行合理性检查。此外,审计服务提供商通常会以电话会议的形式完成谈话过程。

该级别一般不包含现场检查。但如果您选择了其中一个“原型”评估对象,则评估过程将总是包含一次现场检查。

评估级别 3(AL 3):

为确认是否符合级别3,审计服务提供商会执行评估级别 2 所要求的所有检查,只不过,相关检查的范围会更广,并且审计服务提供商将通过深入开展现场检查以及面对面谈话等形式,来全面核查您的自我评估结果。

评估级别规定了我们的TISAX审计服务提供商所执行的审核深度以及使用的审计方法。

VDA- ISA结构

VDA-ISA 检查表共有3个模块(信息系统安全、原型保护、数据保护)和67个控制项,它是TISAX 审核提供商颁发 TISAX 标签的依据。

VDA-ISA问卷的评估结果最终会以蜘蛛图的样式呈现,通过此图,我们可以清楚地了解到每个审核领域的绩效。

TISAX汽车行业可信信息安全评估提供评估步骤:

步骤1:阅读TISAX参与者手册

步骤2:注册:进行ENX注册,包括其适用范围编号,选择哪个TISAX标签。

步骤3:创建VDA ISA目录的差距分析:哪些需求已经得到满足?缺失是什么?

步骤4:制定行动计划,制定信息安全负责人。

步骤5:注册,选择认证机构进行评估。

步骤6:报告:受评企业收到认证机构发送的报告。

步骤7:漏洞清除:受评公司消除识别的漏洞。

步骤8:报告上传:将填好的报告上传至交换平台。只有已注册的参与者且只有在受评公司明确向请求公司发布结果后才能交换这些汇总报告。