TISAX審核內容:
1�����、信息安全制度與組織:內容涉及信息安全策略的創(chuàng)建、發(fā)布或分發(fā)及定期審查�,資產管理�,信息安全風險管理�。
2�����、人力資源安全:內容涉及內外部員工遵循信息安全規(guī)定的程度��,內外部員工遵守信息安全策略的程度���。
3、物理環(huán)境安全:內容涉及對敏感信息處理設施的安全區(qū)域的定義��、保護和監(jiān)測���,對自然災害�、故意襲擊或事故產生影響的應對��,信息安全要求和危機事件下的ISMS的連續(xù)性的界定、實施���、核實和評估����。
4����、訪問控制:內容涉及訪問IT系統政策和程序的適用性��,特權用戶和技術賬戶的分配和使用的監(jiān)督審查���,用戶遵守創(chuàng)建和處理機密信息約束性政策的情況�����,授權人員的信息和應用程序的獲取,與其他組織共享的環(huán)境中的數據分離�����。
5���、信息安全與網絡安全:內容涉及密碼學�����,操作安全�����,系統采購�、需求管理和開發(fā)���。
6���、供應商關系:內容涉及供應商獲得公司信息資產時的風險控制�,供應商服務的定期檢測��、審查和審計����。
7����、合規(guī):內容涉及相關法律(特定國家)法規(guī)和合同要求的符合情況���,個人身份信息的保護���,獨立第三方定期或發(fā)生重大變化時對ISMS的審核。
8����、樣件保護:除物理及環(huán)境要求����、組織架構要求外,內容還涉及整車及零配件處理(車輛或部件在運輸過程中根據客戶要求的保護情況�����,停放/存放需要保護車輛或部件的實施情況),測試車要求(預先定義的偽裝法規(guī)的實施情況��,測試場地的保護措施����,公開批準試駕的保護措施)���,活動拍攝及拍照要求(涉及車輛���、部件或配件的演示和活動的安全要求��,涉及車輛����、部件或配件的膠片和照片拍攝的保護措施)。
9����、數據保護:內容涉及數據保護的實施程度���,個人身份數據處理的合法性保障措施,內部或工作流程在數據保護法規(guī)下進行��,有關處理流程在何種程度上記錄了其可受理性�����。
