Tisax共有358项控制要求,41个控制目标,7个知识域。
1、信息安全政策和组织
2、人力资源
3、物理安全和业务连续性
4、身份和访问管理
5、SIT安全和网络安全
6、供应商关系
7、合规
Tisax审核内容:
01 信息安全制度与组织:内容涉及信息安全策略的创建、发布或分发及定期审查,资产管理,信息安全风险管理。
02 人力资源安全:内容涉及内外部员工遵循信息安全规定的程度,内外部员工遵守信息安全策略的程度。
03 物理环境安全:内容涉及对敏感信息处理设施的安全区域的定义、保护和监测,对自然灾害、故意袭击或事故产生影响的应对,信息安全要求和危机事件下的ISMS的连续性的界定、实施、核实和评估。
04 访问控制:内容涉及访问IT系统政策和程序的适用性,特权用户和技术账户的分配和使用的监督审查,用户遵守创建和处理机密信息约束性政策的情况,授权人员的信息和应用程序的获取,与其他组织共享的环境中的数据分离。
05 信息安全与网络安全:内容涉及密码学,操作安全,系统采购、需求管理和开发。
06 供应商关系:内容涉及供应商获得公司信息资产时的风险控制,供应商服务的定期检测、审查和审计。
07 合规:内容涉及相关法律(特定国家)法规和合同要求的符合情况,个人身份信息的保护,独立第三方定期或发生重大变化时对ISMS的审核。
08 样件保护:除物理及环境要求、组织架构要求外,内容还涉及整车及零配件处理(车辆或部件在运输过程中根据客户要求的保护情况,停放/存放需要保护车辆或部件的实施情况),测试车要求(预先定义的伪装法规的实施情况,测试场地的保护措施,公开批准试驾的保护措施),活动拍摄及拍照要求(涉及车辆、部件或配件的演示和活动的安全要求,涉及车辆、部件或配件的胶片和照片拍摄的保护措施)。
09 数据保护:内容涉及数据保护的实施程度,个人身份数据处理的合法性保障措施,内部或工作流程在数据保护法规下进行,有关处理流程在何种程度上记录了其可受理性。
扫一扫
513
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
