时代新威信息系统审计案例分享——关于 TISAX认证审计

对信息系统审计行业有接触的都知道,时代新威是从事信息安全标准与体系研究的公司,也是业内领先的信息系统审计研究与服务机构。资料显示,关于时代新威信息系统审计服务目前已积累了涉及金融、电信、能源、外企、互联网等行业(包括中国电信、华为、国家电网公司、交通银行、网易等)在内的500多家企业的信息安全及审计服务,通过丰富的项目案例,积累了较为完善的知识库,包括配置库、风险库、控制措施库等,能够为信息科技风险审计提供丰富的专业度支撑。

今天通过时代新威信息系统审计案例——TISAX认证审计相关问题(案例来源时代新威官网),了解信息系统审计对企业的帮助有多大。

首先普及关于TISAX认证审计相关信息。

问题:什么是TISAX认证审计?

时代新威信息系统审计专业人员解答:为了帮助主机厂确保其供应链的信息安全,2017年初,德国汽车工业协会(VDA)与ENX协会联合推出了可靠交换机制TISAX(可信信息安全评估交换),实现数字化汽车行业的信息安全可信评估。

同年起,该项评估的流程和标准开始成为强制性要求,在全球范围内,包括零部件厂商、外围服务供应商等在内的所有相关供应商,都被要求建立和维持基于行业互相的信息安全管理体系,并将通过与之对应级别的TISAX认证作为准入条件。

随着欧盟GDPR法规生效,全球各地对数据安全愈发重视。TISAX由德国汽车工业协会(VDA)创办,欧洲网络交换所(ENX)监管。“TISAX认证”被欧洲汽车行业相关方(主要是汽车整车制造商)用于内部评估、供应商评估,是各方相互信息交换通用的信息安全评估机制,也是为欧洲汽车行业提供服务的门槛。大众、奥迪、保时捷、宝马、戴姆勒、奔驰等欧洲众多汽车知名品牌及相关企业均是其组织成员。

问题:审计内容是什么?

时代新威信息系统审计专业人员解答:分为3个级别,不同的审核级别由参与方期望达到的保护级别所决定。TISAX区分三种不同的“保护级别”(正常、高和非常高),分别对应AL1、AL2和AL3三种审核级别。如果只是AL1级别的审核,不需要外部审核方参与,企业执行自我评估即可,但注意此级别无法获得TISAX标签。因此企业通常都需要外部认证审核方执行AL2或AL3级别审核从而实现高和非常高的保护级别。

问题:审计收益是什么?

时代新威信息系统审计专业人员解答:目前,TISAX认证都是来自于主机厂的强制要求,获得认证就是满足了外部需求方的直接要求。通过相应级别的TISAX审计,获得在TISAX官网注册的LableID,实现与客户信息的交换或查阅相关供应链其他公司信息的目的。同时提升了员工安全意识和能力,无疑能为企业增强市场竞争力。而且,作为一项极具权威性的三方认证,TISAX认证是全行业包括个人客户都极为认可和推崇的,经过一次审核后,在三年有效期内,所有主机厂都可以查到审核信息,不必重复审核,在高认可度的情况下,能避免多次检查,有效节省时间和管理成本。

项目周期:一般前期建设过程3-6个月,审计阶段周期三个月(含整改期)。

时代新威信息系统审计案例分享

XX新能源股份有限公司

此公司的客户为德国大众,客户要求其通过VDA-TISAX在Information Security、Data Protection、Connection to 3rd parties、Prototype protection四个模块AL3 High Protection保护要求的审计,选择德国OS为审计机构,通过前期ENX官网注册、现状和差距分析、技术改造、建设相应的体系文件并有效运行6个月后,经过德国OS审计并整改3个月后,高分通过审计,顺利取得LableID,并获得了德国大众客户方的高度评价。

信息系统审计是一个获取并评价证据,以判断计算机系统是否存在充分的控制,以保证资产的安全和数据的完整,以及有效率地利用组织的资源并有效果地实现组织目标的过程。通俗地说,就是由一个独立的第三方机构,依据各类法规、标准及规范,对组织信息化过程中的基础设施、信息系统、数据资产、管理制度、运行流程等要素进行审查和评估,以促进内部IT控制对信息化风险防范的有效性,并对企业具有风险暴露而尚未建立的内部IT控制缺失,提出有效的建立适当内部控制的建议,从而将企业面临的IT风险所带来的影响控制在一个可以接受的低水平。

信息系统审计的理论与方法来源于传统的财务审计,最早的信息系统审计萌芽于20世纪60年代,到20世纪90年代在发达国家得到了全面普及与快速发展。在建立信息系统审计制度和开展信息系审计研究方面,美国走在了前面。在中国,中国注册会计师协会于1999年2月颁布的《独立审计具体准则第20号—计算机信息系统环境下的审计》是我国最早的关于信息系统审计的规范性文件。现如今,国内金融、电信、能源等企业已经开始实施推广IT审计,政府部门也开始进行试点。总的来说,目前我国的信息系统审计工作目前还处于探索阶段,还没有建立起完备的专业规范,也没有形成一支与企业需求适应的、能独立开展信息系统审计专业队伍。

针对日益增加的信息系统风险,除了企业内部各相关部门要对信息系统风险进行控制以外,还需要由第三方对信息系统进行独立的审计,并出具权威性报告,以证实企业IT风险控制措施的存在性与有效性,揭示可能存在的IT风险隐患,促进企业及时进行整改。时代新威有18年的IT审计与信息安全管理咨询经验,是唯一一家获得国内两大权威认证机构颁发的IT审计资质的企业,且是多个信息安全权威组织的专家委员,拥有信息安全领域最专业的培训认证资质,以提供专业网络安全咨询和IT审计服务、网络安全和IT审计工具研发、网络安全和审计教育培训为使命,为使客户的IT基础设施和应用系统有效支撑其业务发展提供保障和推动力量。

(0)

相关推荐

  • 网科堡垒机登陆运维使用

    堡垒机,运维安全审计系统(又称之为堡垒机)采用软硬件一体化设计,通过集中化运维管控.统一运维管理.身份认证与权限控制.运维访问合规性控制.运维过程实时监看.自定义应用发布等功能,为数据中心运维构建一套 ...

  • 院校毕业|2021年网络工程师

    网络工程师----在国外预测20年后最高薪的职业之一,据我国信息部门统计显示:今后5年,我国从事网络建设.网络应用和网络服务的新型网络人才尤其是网络工程师需求将达到60万-100万人,而现有符合新型网 ...

  • 网络与信息安全工程师岗位个人简历自我评价范文

    自我评价(案例一) 本人热爱信息安全技术,熟悉安全体系.渗透测试.安全风险评估.审计,了解计算机取证鉴定.逆向分析.脱壳. 熟悉编程语言C++.Visual Basic,了解Python.汇编语言.J ...

  • 欧赛斯超级品牌引擎新冠军商业实战案例分享:母婴行业龙头孩子王

    欧赛斯 品牌超级引擎™ 关注 过去的品牌是一个Logo.一句广告语.一幅画.一支广告片,品牌仅仅是品牌表现,品牌那时还是广告公司的事情:而今天的品牌是一个点.线.面.体构成的一个引擎化体系,点是指品牌 ...

  • 数十个审计项目干货总结:工程审计10大领域问题梳理与审计案例分享

    没有对工程审计项目全过程的系统性把握,就难以全面理解造价形成的过程,以及可能出现问题的环节:而没有造价专业知识的深度,就难以将发现的问题进行量化,并形成最终的审计成果.在亲历的数十个项目中,笔者从中提 ...

  • 等保测评机构,时代新威怎么样?

    时代新威是国家等保办推荐测评机构,而且是有证书编号的(DJCP2019110192),有迹可查. 时代新威在等保行业算是比较专业的,团队大多毕业于清华.北大.南开等优秀院校,具备15年以上的网络安全和 ...

  • 加强网络安全等级保护培养网安人才 时代新威积极响应

    2017 年 6 月 1 日,<中华人民共和国网络安全法>正式实施,网络安全等级保护工作正式入法,网络安全等级保护制度已成为新时期国家网络安全的基本国策和基本制度,这对网络安全人才来讲是个 ...

  • 我的采购审计案例分享:舞弊发现过程与启示

    2018年,公司派出审计小组开展分.子公司采购专项审计,除发现内部控制一般缺陷外,另外发现一起舞弊事项. 审计过程 为规范管理分.子公司采购业务,检查采购材料质量和价格.供应商选择.采购合同的订立.到 ...

  • 新农村住宅方案设计案例分享-02

    别墅因为其独特的建筑特点,它的设计跟一般的居家住宅设计有着明显的区别. 别墅设计不但要进行室内的设计,而且要进行室外的设计,这是和一般房子设计的最大区别.因为设计的空间范围大大增加,所以在别墅的设计中 ...

  • 采购审计案例分享:舞弊发现过程与启示

    2018年,公司派出审计小组开展分.子公司采购专项审计,除发现内部控制一般缺陷外,另外发现一起舞弊事项. 01 审计过程 为规范管理分.子公司采购业务,检查采购材料质量和价格.供应商选择.采购合同的订 ...

  • 完全缓解!免疫新方案治疗肝细胞癌案例分享,新方案的疾病控制率高达93.8%

    肝癌的治疗药物虽多,但整体疗效并不理想,且多以多靶点靶向药为主,药物不良反应也偏多.如果单药不行,低毒的联合便是攻破的方向.2018年,阿特珠单抗联合贝伐单抗获得FDA的突破性疗法称号,近日,K药联合 ...

  • 案例分享丨数字认证技术应用实践

    基于数字认证技术的可信电子单证服务提升了高校教务等管理部门的办事效率和治理水平,也为企业等用人单位.国内外高校提供了更加快捷.安全的服务. 目前在学生服务中,大多数高校以线下窗口.自助打印机等形式提供 ...