贯标集团-江苏-TISAX升级版合规体系建设方案

0、内部启动

      TISAX考察的是组织内不同领域的信息安全能力，这必定是涉及多部门的合作，因此在TISAX合规工作启动之初，管理层的沟通、项目负责人的汇报是必不可少的。在得到管理层的支持后，应当拉通各个信息安全相关的部门，组建TISAX合规体系建设项目组，如业务部门、IT部门、内部支持性部门等。

项目组一般包含以下部门：

· 业务部门包括对车机、样车等进行项目管理，开发，测试和运维的所有职能。每个职能需指定一名同事作为对应TISAX要求的负责人；

· IT部门包括服务器，网络，信息安全等部门，作为IT基础设施和内部信息安全控制的接口；

· 内部支持性部门主要包括采购，人力资源，安保，法务，合规等部门，作为人力资源，物理安全等控制域的接口。

      值得注意的一点：企业在准备审核的过程中常常认为，只需要安全团队的核心成员参与准备，了解TISAX要求就足够应审。这是一个很危险的想法，因为TISAX考察的是企业信息安全体系的整体成熟度，包括在运行过程中与业务的结合度，因此在项目过程中以培训等形式对组织内所有成员进行宣贯是必要的。

现状摸底

      在确定TISAX合规体系建设项目组的部门组成后，项目负责人应召集一个内部启动会议，邀请各部门派遣代表理解项目背景、实施周期、各个部门的职责分工，并蕞好建立一个以周为单位的沟通机制，定期更新项目进展。

如条件允许，项目负责人可组织核心团队成员参加华菱咨询举办的TISAX培训，了解TISAX的标准要求与审核流程，然后依据TISAX的审核标准，共同进行一轮内部摸底。根据各个部门的职责，勾选对应的TISAX控制域，填写当前的安全控制成熟度，充分了解当前差距，评估后续需要开展的工作；如，是否引入的其他内部资源，购买新的软硬件设备等。基于初步评估的结果，向管理层汇报后续的工作计划，人员安排和资金投入。

体系建立

      体系建设项目需要将华菱咨询的实践经验与企业的实际情况相结合。这里再次强调：在项目初期，应明确各安全控制域的负责人，确保项目组成员了解TISAX的战略目标，通过统筹安排、协同作战，才能蕞终获得TISAX标签。

在确定了项目启动后，项目负责人与华菱咨询老师开始密切的交流和合作，在华菱咨询老师的配合下完成差距分析、体系建设与运行工作。

1、全面“诊断”

      根据现状摸底中各个控制域的职责分工，通过多轮访谈，使我们充分了解企业的业务需求和安全现状，逐条对应已有的制度流程或执行记录。同时，需要老师对各个不符合项的控制要求进行解读，制定详细的整改计划，明确整改责任人，整改完成时间，整改审批人等。

2、制度流程完善

      在制度流程补足过程中，企业需要充分输出已有信息安全的制度、策略、流程。在华菱咨询的协助下，依据TISAX的要求和当前文档的差距，进行文档体系建设、成立信息安全小组。大多数企业都面临的一个常见风险是，业务流程中已经有部分安全管控措施，但是缺少固化流程和方案。因此企业需要协同辅导机构一起制定制度化、规范化、标准化的业务流程，使其能满足信息安全要求、避免信息安全风险的发生。

      体系编写完毕后，项目负责人会进行内部的评审，确保制度流程与当前的业务相契合。经过多轮评审后，就可以发布到企业的制度文档管理系统。体系发布后，通过培训在企业内部“官宣”信息安全小组、介绍文档体系并进行信息安全意识贯宣，为接下来将信息安全体系落实到日常业务工作中奠定基础；

      依据以往的经验，企业日常运行中，常有以下不足之处，需要在体系推行过程中吸取经验：

       ·体系运行过程中，企业需要在关键的业务流程中，嵌入信息安全的要求，并且在实施过程中留下实施有效性的证明。企业往往缺少对信息资产全生命周期的管理视角，如：企业在内/外部员工账号开通、授权、权限变更、账号关闭等业务流程中，是否进行权限审批、授权是否设置有效期、是否及时关闭账号，是否定期对账号的使用状态进行审核等，在此基础上能否提供书面证据证明以上行为的有效实施；

      ·往往企业在已有管控策略的情况下，落地模式尚未成型，如未符合要求存在使用共享账号的情况，需要加强信息安全体系落实过程中加强监督。

      体系运行一段时间后，组织需要进行内部审核、管理评审，针对信息安全体系文档适用性、推行有效性进行验证，保证信息安全体系的持续有效运行。

3、技术工具加固

      TISAX对于数据，应用系统和网络等都有较高的技术保护要求，数据传输存储的加密，应用系统的高可用性，网络的冗余及带外管理等安全要求，都需要结合企业自身情况，通过技术手段或者工具进行加固。TISAX对于样件保护的物理环境、访问控制有许多安全要求，门窗安全设计、监控设备、报警装置、门禁/门锁等设施的现场情况。往往没有涉及样件生产（含有工厂）的企业，如进行车联网业务的企业，在这方面差距较大，需要结合审核条款，进行实施改造，准备专门的样件保护空间、设立门禁、门窗并做好封闭防盗处理。

4、应审准备

      针对审核条款对应的文档记录，制作清晰的证据文件目录结构，提前准备好记录，指定各领域的负责人；在应审前进行培训和演练，互相挑战和提问，考虑各种可能遇到的类似问题。同时，在正式审计前，与选定的外审机构进行审计计划、待准备材料的沟通。一切准备就绪后，正式应审的前—天，再次召开全员会议，确保大家进入蕞佳状态，迎接审核！