課程介紹:
? ? ?汽車(chē)行業(yè)的供應(yīng)商和服務(wù)提供商經(jīng)常需要處理高度敏感的客戶(hù)信息����。汽車(chē)主機(jī)廠在產(chǎn)品開(kāi)發(fā)的整個(gè)階段與供應(yīng)商密切合作�����,這就要求所有的利益相關(guān)方確保高度的信息安全和網(wǎng)絡(luò)安全���。
? ?可信信息安全評(píng)估交換(TISAX),是由德國(guó)汽車(chē)工業(yè)協(xié)會(huì)和歐洲網(wǎng)絡(luò)交換協(xié)會(huì)年推出的評(píng)估和交換機(jī)制���,旨在減少可能發(fā)生的重復(fù)評(píng)估����。
指定的網(wǎng)絡(luò)在線平臺(tái)����,為汽車(chē)行業(yè)跨企業(yè)信息安全評(píng)估交換提供支持。ENX協(xié)會(huì)負(fù)責(zé)管理TISAX���,包括平臺(tái)的運(yùn)營(yíng)����。申請(qǐng)者可以通過(guò)該平臺(tái)分享其評(píng)估信息���,向直接的業(yè)務(wù)合作伙伴或參與TISAX項(xiàng)目的任何其他公司確認(rèn)其信息安全級(jí)別符合TISAX的要求
? ?本培訓(xùn)課程以TISAX 6.0 標(biāo)準(zhǔn)要求為基礎(chǔ)���,讓學(xué)員在短時(shí)間內(nèi)了解到TISAX6.0 版的重點(diǎn)和難點(diǎn)�����,結(jié)合TISAX 6.0 標(biāo)準(zhǔn)并通過(guò)案例和互動(dòng)練習(xí)的方式���,進(jìn)行情景化的學(xué)習(xí)和練習(xí),課程重點(diǎn)在于如何幫助學(xué)員實(shí)操性掌握標(biāo)準(zhǔn)及審核方法�。
2)課程對(duì)象:
企業(yè)管理人員、汽車(chē)行業(yè)網(wǎng)絡(luò)管理體系管理人員���、汽車(chē)行業(yè)網(wǎng)絡(luò)管理體系審核人員���、汽車(chē)供應(yīng)商企業(yè)人員、希望學(xué)習(xí)汽車(chē)行業(yè)網(wǎng)絡(luò)管理體系的專(zhuān)業(yè)人士等
3)課程大綱:
核心課程模塊
TISAX背景與行業(yè)要求TISAX起源與發(fā)展:由德國(guó)汽車(chē)工業(yè)聯(lián)合會(huì)(VDA)與ENX協(xié)會(huì)推動(dòng)�����,旨在實(shí)現(xiàn)信息安全評(píng)估結(jié)果的互認(rèn)�。
汽車(chē)行業(yè)信息安全挑戰(zhàn):敏感數(shù)據(jù)處理、供應(yīng)鏈安全���、主機(jī)廠準(zhǔn)入要求
TISAX與ISO 27001的差異:TISAX聚焦行業(yè)定制化需求�����,ISO 27001為通用管理體系���;TISAX標(biāo)簽有效期3年且無(wú)年度監(jiān)督審核���,ISO 27001需年度審核。
VDA ISA 6.0標(biāo)準(zhǔn)解讀新變化與核心要求:
信息安全風(fēng)險(xiǎn)管理流程的強(qiáng)化;
業(yè)務(wù)連續(xù)性保障中的信息安全控制;原型保護(hù)與數(shù)據(jù)保護(hù)的最低要求
控制點(diǎn)解析:基于ISO 27001和27002框架�,結(jié)合汽車(chē)行業(yè)特點(diǎn)調(diào)整的審計(jì)控制項(xiàng)(如資產(chǎn)分類(lèi)、訪問(wèn)控制、事件管理。
TISAX評(píng)估流程與等級(jí)評(píng)估等級(jí):AL1:僅需自評(píng)估;AL2(高):電話訪談+合理性證據(jù)審核���;AL3(極高):
現(xiàn)場(chǎng)評(píng)估(人員訪談、實(shí)地檢查)
實(shí)施步驟:
ENX平臺(tái)注冊(cè)與審核機(jī)構(gòu)選擇���;自評(píng)估報(bào)告提交���;現(xiàn)場(chǎng)/非現(xiàn)場(chǎng)審核;整改與報(bào)告確認(rèn)���;標(biāo)簽發(fā)布(有效期為3年)�����。
信息安全管理體系(ISMS)建設(shè)制度文件編制:安全策略��、風(fēng)險(xiǎn)處置計(jì)劃���、適用性聲明(SoA)
執(zhí)行記錄與證據(jù)管理:確?����?刂拼胧┑挠行裕ㄈ缭L問(wèn)日志��、培訓(xùn)記錄)
第三方風(fēng)險(xiǎn)管理:合同約束、訪問(wèn)控制���、供應(yīng)鏈安全評(píng)估
案例分析與實(shí)踐演練典型失敗案例解析(如文件缺失���、執(zhí)行記錄不足);
角色扮演模擬審核場(chǎng)景(訪談應(yīng)對(duì)�����、證據(jù)提交);整改計(jì)劃制定與跟蹤
浙公網(wǎng)安備 33010802003509號(hào)