在TISAX认证流程的第二步中,我们对TISAX认可的审计供应商之一将进行实际的信息安全评估。 他需要知道从哪里开始以及在哪里停止, 这就是为定义“评估范围”的原因。
TISAX评估范围描述了信息安全评估的覆盖范围。简化后,贵公司处理汽车行业业务合作伙伴机密信息的每个部分都是评估范围的一部分。可以将其视为审计提供者任务描述的主要元素,因为它决定了审计供应者需要评估什么.
评估范围很重要的原因有两个:
a)如果相应的评估范围涵盖处理业务合作伙伴信息的贵公司的所有部分,则评估结果只会满足你的业务伙伴的要求。
b)准确定义的评估范围是我们对TISAX认证审核提供商进行适当成本计算的基本先决条件
这里给大家一个重要提示:
如果贵公司已经获得 ISO 27001 认证,请不要混淆“TISAX评估范围”与 ISO 27001 认证所要求的范围定义。
标准范围包括以下定义的所有过程和相关资源,这些资源受到汽车行业合作伙伴的安全要求,涉及的流程和资源包括信息收集,信息存储和信息处理。
涉及资源的示例:工作设备,员工,IT系统(包括云服务,如基础架构/平台/软件即服务),物理站点,相关承包商,车间(车辆原型处理)等。
标准范围描述是 TISAX 评估的基础,其他 TISAX参与者仅接受基于标准范围描述的评估结果,但扩展范围基于标准范围。
标准范围描述是预定义的,不能更改。如果出于任何原因想要使用自定义范围描述,则可以选择扩展或缩小评估范围。
