时代新威信息系统审计案例分享——关于 TISAX认证审计

痛苦的信仰

对信息系统审计行业有接触的都知道，时代新威是从事信息安全标准与体系研究的公司，也是业内领先的信息系统审计研究与服务机构。资料显示，关于时代新威信息系统审计服务目前已积累了涉及金融、电信、能源、外企、互联网等行业（包括中国电信、华为、国家电网公司、交通银行、网易等）在内的500多家企业的信息安全及审计服务，通过丰富的项目案例，积累了较为完善的知识库，包括配置库、风险库、控制措施库等，能够为信息科技风险审计提供丰富的专业度支撑。

今天通过时代新威信息系统审计案例——TISAX认证审计相关问题（案例来源时代新威官网），了解信息系统审计对企业的帮助有多大。

首先普及关于TISAX认证审计相关信息。

问题：什么是TISAX认证审计？

时代新威信息系统审计专业人员解答：为了帮助主机厂确保其供应链的信息安全，2017年初，德国汽车工业协会（VDA）与ENX协会联合推出了可靠交换机制TISAX（可信信息安全评估交换），实现数字化汽车行业的信息安全可信评估。

同年起，该项评估的流程和标准开始成为强制性要求，在全球范围内，包括零部件厂商、外围服务供应商等在内的所有相关供应商，都被要求建立和维持基于行业互相的信息安全管理体系，并将通过与之对应级别的TISAX认证作为准入条件。

随着欧盟GDPR法规生效，全球各地对数据安全愈发重视。TISAX由德国汽车工业协会（VDA）创办，欧洲网络交换所（ENX）监管。“TISAX认证”被欧洲汽车行业相关方（主要是汽车整车制造商）用于内部评估、供应商评估，是各方相互信息交换通用的信息安全评估机制，也是为欧洲汽车行业提供服务的门槛。大众、奥迪、保时捷、宝马、戴姆勒、奔驰等欧洲众多汽车知名品牌及相关企业均是其组织成员。

问题：审计内容是什么？

时代新威信息系统审计专业人员解答：分为3个级别，不同的审核级别由参与方期望达到的保护级别所决定。TISAX区分三种不同的“保护级别”（正常、高和非常高），分别对应AL1、AL2和AL3三种审核级别。如果只是AL1级别的审核，不需要外部审核方参与，企业执行自我评估即可，但注意此级别无法获得TISAX标签。因此企业通常都需要外部认证审核方执行AL2或AL3级别审核从而实现高和非常高的保护级别。

问题：审计收益是什么？

时代新威信息系统审计专业人员解答：目前，TISAX认证都是来自于主机厂的强制要求，获得认证就是满足了外部需求方的直接要求。通过相应级别的TISAX审计，获得在TISAX官网注册的LableID，实现与客户信息的交换或查阅相关供应链其他公司信息的目的。同时提升了员工安全意识和能力，无疑能为企业增强市场竞争力。而且，作为一项极具权威性的三方认证，TISAX认证是全行业包括个人客户都极为认可和推崇的，经过一次审核后，在三年有效期内，所有主机厂都可以查到审核信息，不必重复审核，在高认可度的情况下，能避免多次检查，有效节省时间和管理成本。

项目周期：一般前期建设过程3-6个月，审计阶段周期三个月（含整改期）。

时代新威信息系统审计案例分享

ＸＸ新能源股份有限公司

此公司的客户为德国大众，客户要求其通过VDA-TISAX在Information Security、Data Protection、Connection to 3rd parties、Prototype protection四个模块AL3 High Protection保护要求的审计，选择德国OS为审计机构，通过前期ENX官网注册、现状和差距分析、技术改造、建设相应的体系文件并有效运行6个月后，经过德国OS审计并整改3个月后，高分通过审计，顺利取得LableID，并获得了德国大众客户方的高度评价。

信息系统审计是一个获取并评价证据，以判断计算机系统是否存在充分的控制，以保证资产的安全和数据的完整，以及有效率地利用组织的资源并有效果地实现组织目标的过程。通俗地说，就是由一个独立的第三方机构，依据各类法规、标准及规范，对组织信息化过程中的基础设施、信息系统、数据资产、管理制度、运行流程等要素进行审查和评估，以促进内部IT控制对信息化风险防范的有效性，并对企业具有风险暴露而尚未建立的内部IT控制缺失，提出有效的建立适当内部控制的建议，从而将企业面临的IT风险所带来的影响控制在一个可以接受的低水平。

信息系统审计的理论与方法来源于传统的财务审计，最早的信息系统审计萌芽于20世纪60年代，到20世纪90年代在发达国家得到了全面普及与快速发展。在建立信息系统审计制度和开展信息系审计研究方面，美国走在了前面。在中国，中国注册会计师协会于1999年2月颁布的《独立审计具体准则第20号—计算机信息系统环境下的审计》是我国最早的关于信息系统审计的规范性文件。现如今，国内金融、电信、能源等企业已经开始实施推广IT审计，政府部门也开始进行试点。总的来说，目前我国的信息系统审计工作目前还处于探索阶段，还没有建立起完备的专业规范，也没有形成一支与企业需求适应的、能独立开展信息系统审计专业队伍。

针对日益增加的信息系统风险，除了企业内部各相关部门要对信息系统风险进行控制以外，还需要由第三方对信息系统进行独立的审计，并出具权威性报告，以证实企业IT风险控制措施的存在性与有效性，揭示可能存在的IT风险隐患，促进企业及时进行整改。时代新威有18年的IT审计与信息安全管理咨询经验，是唯一一家获得国内两大权威认证机构颁发的IT审计资质的企业，且是多个信息安全权威组织的专家委员，拥有信息安全领域最专业的培训认证资质，以提供专业网络安全咨询和IT审计服务、网络安全和IT审计工具研发、网络安全和审计教育培训为使命，为使客户的IT基础设施和应用系统有效支撑其业务发展提供保障和推动力量。