TISAX-信息安全的评估和交换机制-第四章(重点解答)
关注点一
在TISAX项目实施的过程中往往很多人会根据TISAX标准进行实施,但是绝大部分人很难理解整个ISA- VDA5.1标准的内容(这个是最新版的,如果做过ISA- VDA-5.0.4的标准应该知道5.1的版本针对以往的要求更加合理,并且减少了很多以前很难理解和实施的要求,还是比较好的),但是在审核过程中很多点都没有想到,因此往往会成为一个不符合项:
-
残余风险 :
今天讲一下残余风险,什么是残余风险?是指在公司风险评估的过程中识别出的风险有一部分没办法解决,并且投入的资源远远大于风险带来的影响,因此直接接受风险,并且输入到残余风险报告中,还有一种情况,针对识别出的重要资产进行风险评估时是中高风险,进行处置后风险的等级没有降低,这时候需要接受风险,作为残余风险进行接受。 -
残余风险识别的时机
1⃣️可以在未进行风险评估的时候,通过差距分析的输出,确定有哪些问题点不能够解决,可以直接作为残余风险;
2⃣️也就是通用的流程,风险评估处置以后不能降低风险等级的风险作为残余风险; -
残余风险的批准
残余风险,是现阶段无法解决的问题,因此需要管理层进行知晓和确认,并且签批。不能够是部门的领导,承担责任的层级远远不够。
其实在TISAX实施的过程中,有很多的咨询师针对TISAX的理解程度不到位,并且根据表面的意思进行辅导,有时候会造成客户整改的成本过于大,严重影响项目的推进,之前做过一些项目,某些公司的某些人,给出的整改方案购买这个,购买那个的,一会上域控,一会上态势感知,一会上数据库审计等等,这些东西有时候往往是一个累赘,可能它们可以解决一些问题,但是针对甲方后期的使用,管理等等是一个难事,遇到很多客户买了一堆设备过段时间再再看都在机房落灰,体系建设是促进公司的业务安全以及可持续,如果严重阻碍,就和建立体系的初衷相违背了,但是,如果只为了拿证获得Label,又有钱,不在乎,那无话可说……
关注点二
接下来说一下另一个方面,7.1.2的内容,有关个人信息的要求,现在针对个人信息保护的要求越来越严格,并且国家也发布了相应的个人信息保护法,还有国外的一些,比如GDPR/香港个人信息条例等等,在TISAX实施的时候该如何要求?以及如何实施?
企业有哪些涉及个人信息?
1、访客:外来访客信息登记、长期驻场访客信息登记;
2、HR招聘面试环节、员工入职环节;
现在主要是这两个环节,因此针对这些如何做?
第一点:访客登记的时候,因为较多数公司现阶段还是通过纸质的登记表进行访客信息的登记,并且收集的信息比较全面,什么姓名/手机号/公司/证件号(身份证/港澳通行证)等等时间久了,保安那边会积累大量的个人比较敏感的信息,并且都是随便堆放没有相关的保护措施,有些公司有钱买了一些访客系统,扫描身份证证件信息,然后输入公司被访者的信息等等,这个收集的信息更加全面包括整个身份证的信息包括住址等,并且好多访客系统在保安处,没有权限限制,都可以查看,并且明文展示,可导出等等,这个风险程度更大,但是往往有些公司并不在意,完全意识不到相关的风险,也是只要不出事都没有风险,这也是现在好多公司的现状,
先不说了,给新人培训了考核了,后面再说,感兴趣的可以留言遇到的问题,均会一一解答…………Your Handsome Jason
3263
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
