时代新威信息系统审计案例分享——关于 TISAX认证审计
对信息系统审计行业有接触的都知道,时代新威是从事信息安全标准与体系研究的公司,也是业内领先的信息系统审计研究与服务机构。资料显示,关于时代新威信息系统审计服务目前已积累了涉及金融、电信、能源、外企、互联网等行业(包括中国电信、华为、国家电网公司、交通银行、网易等)在内的500多家企业的信息安全及审计服务,通过丰富的项目案例,积累了较为完善的知识库,包括配置库、风险库、控制措施库等,能够为信息科技风险审计提供丰富的专业度支撑。
今天通过时代新威信息系统审计案例——TISAX认证审计相关问题(案例来源时代新威官网),了解信息系统审计对企业的帮助有多大。
首先普及关于TISAX认证审计相关信息。
问题:什么是TISAX认证审计?
时代新威信息系统审计专业人员解答:为了帮助主机厂确保其供应链的信息安全,2017年初,德国汽车工业协会(VDA)与ENX协会联合推出了可靠交换机制TISAX(可信信息安全评估交换),实现数字化汽车行业的信息安全可信评估。
同年起,该项评估的流程和标准开始成为强制性要求,在全球范围内,包括零部件厂商、外围服务供应商等在内的所有相关供应商,都被要求建立和维持基于行业互相的信息安全管理体系,并将通过与之对应级别的TISAX认证作为准入条件。
随着欧盟GDPR法规生效,全球各地对数据安全愈发重视。TISAX由德国汽车工业协会(VDA)创办,欧洲网络交换所(ENX)监管。“TISAX认证”被欧洲汽车行业相关方(主要是汽车整车制造商)用于内部评估、供应商评估,是各方相互信息交换通用的信息安全评估机制,也是为欧洲汽车行业提供服务的门槛。大众、奥迪、保时捷、宝马、戴姆勒、奔驰等欧洲众多汽车知名品牌及相关企业均是其组织成员。
问题:审计内容是什么?
时代新威信息系统审计专业人员解答:分为3个级别,不同的审核级别由参与方期望达到的保护级别所决定。TISAX区分三种不同的“保护级别”(正常、高和非常高),分别对应AL1、AL2和AL3三种审核级别。如果只是AL1级别的审核,不需要外部审核方参与,企业执行自我评估即可,但注意此级别无法获得TISAX标签。因此企业通常都需要外部认证审核方执行AL2或AL3级别审核从而实现高和非常高的保护级别。
问题:审计收益是什么?
时代新威信息系统审计专业人员解答:目前,TISAX认证都是来自于主机厂的强制要求,获得认证就是满足了外部需求方的直接要求。通过相应级别的TISAX审计,获得在TISAX官网注册的LableID,实现与客户信息的交换或查阅相关供应链其他公司信息的目的。同时提升了员工安全意识和能力,无疑能为企业增强市场竞争力。而且,作为一项极具权威性的三方认证,TISAX认证是全行业包括个人客户都极为认可和推崇的,经过一次审核后,在三年有效期内,所有主机厂都可以查到审核信息,不必重复审核,在高认可度的情况下,能避免多次检查,有效节省时间和管理成本。
项目周期:一般前期建设过程3-6个月,审计阶段周期三个月(含整改期)。
时代新威信息系统审计案例分享
XX新能源股份有限公司
此公司的客户为德国大众,客户要求其通过VDA-TISAX在Information Security、Data Protection、Connection to 3rd parties、Prototype protection四个模块AL3 High Protection保护要求的审计,选择德国OS为审计机构,通过前期ENX官网注册、现状和差距分析、技术改造、建设相应的体系文件并有效运行6个月后,经过德国OS审计并整改3个月后,高分通过审计,顺利取得LableID,并获得了德国大众客户方的高度评价。
信息系统审计是一个获取并评价证据,以判断计算机系统是否存在充分的控制,以保证资产的安全和数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程。通俗地说,就是由一个独立的第三方机构,依据各类法规、标准及规范,对组织信息化过程中的基础设施、信息系统、数据资产、管理制度、运行流程等要素进行审查和评估,以促进内部IT控制对信息化风险防范的有效性,并对企业具有风险暴露而尚未建立的内部IT控制缺失,提出有效的建立适当内部控制的建议,从而将企业面临的IT风险所带来的影响控制在一个可以接受的低水平。
信息系统审计的理论与方法来源于传统的财务审计,最早的信息系统审计萌芽于20世纪60年代,到20世纪90年代在发达国家得到了全面普及与快速发展。在建立信息系统审计制度和开展信息系审计研究方面,美国走在了前面。在中国,中国注册会计师协会于1999年2月颁布的《独立审计具体准则第20号—计算机信息系统环境下的审计》是我国最早的关于信息系统审计的规范性文件。现如今,国内金融、电信、能源等企业已经开始实施推广IT审计,政府部门也开始进行试点。总的来说,目前我国的信息系统审计工作目前还处于探索阶段,还没有建立起完备的专业规范,也没有形成一支与企业需求适应的、能独立开展信息系统审计专业队伍。
针对日益增加的信息系统风险,除了企业内部各相关部门要对信息系统风险进行控制以外,还需要由第三方对信息系统进行独立的审计,并出具权威性报告,以证实企业IT风险控制措施的存在性与有效性,揭示可能存在的IT风险隐患,促进企业及时进行整改。时代新威有18年的IT审计与信息安全管理咨询经验,是唯一一家获得国内两大权威认证机构颁发的IT审计资质的企业,且是多个信息安全权威组织的专家委员,拥有信息安全领域最专业的培训认证资质,以提供专业网络安全咨询和IT审计服务、网络安全和IT审计工具研发、网络安全和审计教育培训为使命,为使客户的IT基础设施和应用系统有效支撑其业务发展提供保障和推动力量。