TISAX-信息安全的评估和交换机制-第二章

TISAX-信息安全的评估和交换机制-第二章

序言：
我们继续讲解TISAX相关的内容，由于最近客户比较多，一直出差，更新也都是在机场等待的时候更新的。
上次讲到第3点，现在我们继续向下面讲解。
4、注册
4.1总述
注册是完成Tisax流程的第一步，并且该过程类似在云平台购买子账户，用于公司内部日后Label的展示。
4.2注册准备
该阶段主要是用于收集公司的基本信息，包括公司名称/审核范围地址/人员分布/公司主要营业内容以及评估范围等。在这个过程一般公司内部针对有些信息填写不太清楚，会造成独自申请的时候会出现信息错误和偏差，因此在注册前期咨询方会有专人进行陪同注册，（因为之前一个客户自己注册信息不对，我还打电话联系德国ENX官网，主要的是他们对接人印度人，英语口语忒重。）
5、TISAX体系建立
前期的准备，无论是注册还是其他什么我们这边简化描述，主要对整个TISAX体系建立过程进行详细的讲解。
TISAX体系建立，根据个人经验分为几大步骤：

1. 启动和评估
2. 风险评估及改造
3. 制度及记录
4. 审计支持和整改

5.1启动和评估
在一个项目的实施过程中我个人任务最重的一个环节是项目成员的建立，无论是甲方项目成员和乙方项目成员，该团队的建立直接影响到项目的开展方向和过程的难易程度。
在整个启动和评估的过程中可以细化几个步骤，前期准备工作：也就是注册、各部门的职能表等一些甲方信息的收集；启动会：主要是全公司宣讲，并且需要得到公司领导明确的认可和实施自身的领导力；最后就是现场的访谈和评估，包括各部门的现场问答和现场物理环境的走访，最后就是出具相应的差距分析报告。
在前期我会花费的时间比较长，因为我个人做项目有个习惯，在访谈的过程中我喜欢把整个公司所有的部门的业务流程以及TIsax涉及到的内容我都要详细的了解，并且一轮/二轮甚至三轮的访谈和解答，最终出具相应的任务表清单。
做项目一定要前期基调定好，后期不用来回反复横纵跳，重复过多的工作，最近一直在研究，并且在新的客户这边已经在做，因为Tisax是OEM要求的，因此我在项目访谈结束后，让公司的销售、采购、项目、膜具、试制等一些部门和厂区的厂长坐在一起，画出一个《客户数据流转图》和《样品的流转图》，并且在每个环节无论是内部/外部的流转，是通过什么方式、使用什么通道涉及到的人员/电脑/权限、以及数据的存储等有哪些防护措施都需要明确的标注，其次针对样件也是一样，怎么流转/销毁的都标注，真个大的流转图下来以后每个节点各部门都了解需要做哪些，哪些还没有做，确保后面整体建设的时候有遗漏。
反正我的风格是，在项目开启阶段一定要把所有的东西定稿，不影响整个项目方向的可以相应调整，在我看来项目的公式是项目=框架+线条+面+修饰+成品

5.2风险评估和改造
风险评估的话可以根据我前面的文章针对ISO27001的风险评估所讲解的内容。
改造主要是物理环境和网络环境，这个是公司内部建立Tisax体系花费金额最大的两块，内部包括，购买核心交换、Inter防火墙、存储、加密软件、监控、门禁系统、闭门器等一些设备，因此这些都是一笔不小的花销，为了后面数量的确认，因此在前期需要人事行政确定好敏感岗位和安全区域的划分。
因为在在Tisax的标准里面明确的说明，针对敏感岗位和安全区域都需要有严格的物理防护。

先不说了，今天更新的有点多，后面有时间再讲解剩下的内容，针对整个项目建设的流程需要很多文件工具，这边也不太方便展示，可以私信沟通交流，see you next time- Jason