TISAX审核内容:
1、信息安全制度与组织:内容涉及信息安全策略的创建、发布或分发及定期审查,资产管理,信息安全风险管理。
2、人力资源安全:内容涉及内外部员工遵循信息安全规定的程度,内外部员工遵守信息安全策略的程度。
3、物理环境安全:内容涉及对敏感信息处理设施的安全区域的定义、保护和监测,对自然灾害、故意袭击或事故产生影响的应对,信息安全要求和危机事件下的ISMS的连续性的界定、实施、核实和评估。
4、访问控制:内容涉及访问IT系统政策和程序的适用性,特权用户和技术账户的分配和使用的监督审查,用户遵守创建和处理机密信息约束性政策的情况,授权人员的信息和应用程序的获取,与其他组织共享的环境中的数据分离。
5、信息安全与网络安全:内容涉及密码学,操作安全,系统采购、需求管理和开发。
6、供应商关系:内容涉及供应商获得公司信息资产时的风险控制,供应商服务的定期检测、审查和审计。
7、合规:内容涉及相关法律(特定国家)法规和合同要求的符合情况,个人身份信息的保护,独立第三方定期或发生重大变化时对ISMS的审核。
8、样件保护:除物理及环境要求、组织架构要求外,内容还涉及整车及零配件处理(车辆或部件在运输过程中根据客户要求的保护情况,停放/存放需要保护车辆或部件的实施情况),测试车要求(预先定义的伪装法规的实施情况,测试场地的保护措施,公开批准试驾的保护措施),活动拍摄及拍照要求(涉及车辆、部件或配件的演示和活动的安全要求,涉及车辆、部件或配件的胶片和照片拍摄的保护措施)。
9、数据保护:内容涉及数据保护的实施程度,个人身份数据处理的合法性保障措施,内部或工作流程在数据保护法规下进行,有关处理流程在何种程度上记录了其可受理性。
