課程介紹:
? ? ?汽車行業(yè)的供應(yīng)商和服務(wù)提供商經(jīng)常需要處理高度敏感的客戶信息。汽車主機廠在產(chǎn)品開發(fā)的整個階段與供應(yīng)商密切合作�,這就要求所有的利益相關(guān)方確保高度的信息安全和網(wǎng)絡(luò)安全。
? ?可信信息安全評估交換(TISAX)����,是由德國汽車工業(yè)協(xié)會和歐洲網(wǎng)絡(luò)交換協(xié)會年推出的評估和交換機制,旨在減少可能發(fā)生的重復(fù)評估���。
指定的網(wǎng)絡(luò)在線平臺�����,為汽車行業(yè)跨企業(yè)信息安全評估交換提供支持���。ENX協(xié)會負責(zé)管理TISAX,包括平臺的運營��。申請者可以通過該平臺分享其評估信息����,向直接的業(yè)務(wù)合作伙伴或參與TISAX項目的任何其他公司確認其信息安全級別符合TISAX的要求
? ?本培訓(xùn)課程以TISAX 6.0 標準要求為基礎(chǔ),讓學(xué)員在短時間內(nèi)了解到TISAX6.0 版的重點和難點�,結(jié)合TISAX 6.0 標準并通過案例和互動練習(xí)的方式,進行情景化的學(xué)習(xí)和練習(xí),課程重點在于如何幫助學(xué)員實操性掌握標準及審核方法�����。
2)課程對象:
企業(yè)管理人員��、汽車行業(yè)網(wǎng)絡(luò)管理體系管理人員��、汽車行業(yè)網(wǎng)絡(luò)管理體系審核人員��、汽車供應(yīng)商企業(yè)人員����、希望學(xué)習(xí)汽車行業(yè)網(wǎng)絡(luò)管理體系的專業(yè)人士等
3)課程大綱:
核心課程模塊
TISAX背景與行業(yè)要求TISAX起源與發(fā)展:由德國汽車工業(yè)聯(lián)合會(VDA)與ENX協(xié)會推動����,旨在實現(xiàn)信息安全評估結(jié)果的互認��。
汽車行業(yè)信息安全挑戰(zhàn):敏感數(shù)據(jù)處理��、供應(yīng)鏈安全����、主機廠準入要求
TISAX與ISO 27001的差異:TISAX聚焦行業(yè)定制化需求,ISO 27001為通用管理體系�;TISAX標簽有效期3年且無年度監(jiān)督審核,ISO 27001需年度審核���。
VDA ISA 6.0標準解讀新變化與核心要求:
信息安全風(fēng)險管理流程的強化��;
業(yè)務(wù)連續(xù)性保障中的信息安全控制����;原型保護與數(shù)據(jù)保護的最低要求
控制點解析:基于ISO 27001和27002框架�����,結(jié)合汽車行業(yè)特點調(diào)整的審計控制項(如資產(chǎn)分類、訪問控制�����、事件管理��。
TISAX評估流程與等級評估等級:AL1:僅需自評估�����;AL2(高):電話訪談+合理性證據(jù)審核���;AL3(極高):
現(xiàn)場評估(人員訪談、實地檢查)
實施步驟:
ENX平臺注冊與審核機構(gòu)選擇���;自評估報告提交����;現(xiàn)場/非現(xiàn)場審核�����;整改與報告確認���;標簽發(fā)布(有效期為3年)����。
信息安全管理體系(ISMS)建設(shè)制度文件編制:安全策略、風(fēng)險處置計劃�����、適用性聲明(SoA)
執(zhí)行記錄與證據(jù)管理:確?���?刂拼胧┑挠行裕ㄈ缭L問日志、培訓(xùn)記錄)
第三方風(fēng)險管理:合同約束��、訪問控制�、供應(yīng)鏈安全評估
案例分析與實踐演練典型失敗案例解析(如文件缺失、執(zhí)行記錄不足)���;
角色扮演模擬審核場景(訪談應(yīng)對�、證據(jù)提交)�����;整改計劃制定與跟蹤
浙公網(wǎng)安備 33010802003509號