TISAX关于“3”的那些事儿（下）

E3：TISAX评估级别AL3   

保护需求越高，组织的合作伙伴就越希望确保能够放心地让组织处理他们的信息。因此，TISAX 定义了3大“评估级别（Assessment Level，简称 AL）”。评估级别规定了 TISAX 审计服务提供商所执行的审核深度，以及其使用的审计方法。简单来说，评估级别越高，相应的评估强度就越高，使用的评估方法也就越高级。AL3为最高级别，也为目前较多组织自定义级别或被合作伙伴要求通过的级别。

F3：TISAX3座大山   

根据多年TISAX交付经验，TISAX对于所有包含原型保护域的组织，需跨过3座大山：

①资产识别 ②项目管理 ③原型保护

TISAX官方标准章节1.2.3要求实施任何项目需考虑信息安全，即除IT项目外，还需包括对生产、研发等项目的信息安全管理。

TISAX官方标准章节8共5个模块、22项要求规定了对原型的保护，这部分标准内容很容易理解，但对于组织而言做起来可能较难，涉及到基建和资源投入（如门窗玻璃坚固程度、红外预警、视野保护、伪装、存储、运输等方面具体/量化要求）。

G3：TISAX信息安全风险管理中有很多3

1、①资产识别 ②项目管理 是所有期望取得TISAX标签的组织需跨过的大山，资产识别是信息安全风险管理3个模块之一，另两个模块是风险评估、风险处置；

2、资产识别要求识别信息资产的机密性、完整性、可用性3个属性；

3、风险评估需评估威胁，威胁有3个来源：有意、无意、环境。

H3：TISAX标签3年换发   

为了在3年后依然能保住 TISAX 标签，组织需再次完成 TISAX 评估流程，而第一步，便是要重新注册评估范围，即可理解成重复A3-TISAX流程3大步骤。