贯标集团-江苏-TISAX升级版合规体系建设方案

0、内部启动

     TISAX考察的是组织内不同领域的信息安全能力，这必定是涉及多部门的合作，在TISAX合规工作启动之初，管理层的沟通、项目负责人的汇报是必不可少的。在得到管理层的支持后，应当拉通各个信息安全相关的部门，组建TISAX合规体系建设项目组，如业务部门、IT部门、内部支持性部门等。

项目组一般包含以下部门：

· 业务部门包括对车机、样车等进行项目管理，开发，测试和运维的所有职能。每个职能需指定一名同事作为对应TISAX要求的负责人；

· IT部门包括服务器，网络，信息安全等部门，作为IT基础设施和内部信息安全控制的接口；

· 内部支持性部门主要包括采购，人力资源，安保，法务，合规等部门，作为人力资源，物理安全等控制域的接口。

     值得注意的一点：企业在准备审核的过程中常常认为，只需要安全团队的核心成员参与准备，了解TISAX要求就足够应审。这是一个很危险的想法，因为TISAX考察的是企业信息安全体系的整体成熟度，包括在运行过程中与业务的结合度，在项目过程中以培训等形式对组织内所有成员进行宣贯是必要的。

现状摸底

     在确定TISAX合规体系建设项目组的部门组成后，项目负责人应召集一个内部启动会议，邀请各部门派遣代表理解项目背景、实施周期、各个部门的职责分工，并蕞好建立一个以周为单位的沟通机制，定期更新项目进展。

如条件允许，项目负责人可组织核心团队成员参加华菱咨询举办的TISAX培训，了解TISAX的标准要求与审核流程，依据TISAX的审核标准，共同进行一轮内部摸底。根据各个部门的职责，勾选对应的TISAX控制域，填写当前的安全控制成熟度，充分了解当前差距，评估后续需要开展的工作；如，是否引入的其他内部资源，购买新的软硬件设备等。基于初步评估的结果，向管理层汇报后续的工作计划，人员安排和资金投入。

体系建立

     体系建设项目需要将华菱咨询的实践经验与企业的实际情况相结合。这里强调：在项目初期，应明确各安全控制域的负责人，确保项目组成员了解TISAX的战略目标，通过统筹安排、协同作战，才能蕞终获得TISAX标签。

在确定了项目启动后，项目负责人与华菱咨询老师开始密切的交流和合作，在华菱咨询老师的配合下完成差距分析、体系建设与运行工作。

1、全面“诊断”

     根据现状摸底中各个控制域的职责分工，通过多轮访谈，使我们充分了解企业的业务需求和安全现状，逐条对应已有的制度流程或执行记录。需要老师对各个不符合项的控制要求进行解读，制定详细的整改计划，明确整改责任人，整改完成时间，整改审批人等。

2、制度流程完善

     在制度流程补足过程中，企业需要充分输出已有信息安全的制度、策略、流程。在华菱咨询的协助下，依据TISAX的要求和当前文档的差距，进行文档体系建设、成立信息安全小组。大多数企业都面临的一个常见风险是，业务流程中已经有部分安全管控措施，缺少固化流程和方案。企业需要协同辅导机构一起制定制度化、规范化、标准化的业务流程，使其能满足信息安全要求、避免信息安全风险的发生。

     体系编写完毕后，项目负责人会进行内部的评审，确保制度流程与当前的业务相契合。经过多轮评审后，就可以发布到企业的制度文档管理系统。体系发布后，通过培训在企业内部“官宣”信息安全小组、介绍文档体系并进行信息安全意识贯宣，为将信息安全体系落实到日常业务工作中奠定基础；

    依据以往的经验，企业日常运行中，常有以下不足之处，需要在体系推行过程中吸取经验：

      ·体系运行过程中，企业需要在关键的业务流程中，嵌入信息安全的要求，并且在实施过程中留下实施有效性的证明。企业往往缺少对信息资产全生命周期的管理视角，如：企业在内/外部员工账号开通、授权、权限变更、账号关闭等业务流程中，是否进行权限审批、授权是否设置有效期、是否及时关闭账号，是否定期对账号的使用状态进行审核等，在此基础上能否提供书面证据证明以上行为的有效实施；

     ·往往企业在已有管控策略的情况下，落地模式尚未成型，如未符合要求存在使用共享账号的情况，需要加强信息安全体系落实过程中加强监督。

     体系运行一段时间后，组织需要进行内部审核、管理评审，针对信息安全体系文档适用性、推行有效性进行验证，保证信息安全体系的持续有效运行。

3、技术工具加固

     TISAX对于数据，应用系统和网络等都有较高的技术保护要求，数据传输存储的加密，应用系统的高可用性，网络的冗余及带外管理等安全要求，都需要结合企业自身情况，通过技术手段或者工具进行加固。TISAX对于样件保护的物理环境、访问控制有许多安全要求，门窗安全设计、监控设备、报警装置、门禁/门锁等设施的现场情况。往往没有涉及样件生产（含有工厂）的企业，如进行车联网业务的企业，差距较大，需要结合审核条款，进行实施改造，准备专门的样件保护空间、设立门禁、门窗并做好封闭防盗处理。

4、应审准备

     针对审核条款对应的文档记录，制作清晰的证据文件目录结构，提前准备好记录，指定各领域的负责人；在应审前进行培训和演练，互相挑战和提问，考虑各种可能遇到的类似问题。在正式审计前，与选定的外审机构进行审计计划、待准备材料的沟通。一切准备就绪后，正式应审的前—天，召开全员会议，确保大家进入蕞佳状态，迎接审核！