摘要：在TISAX（可信信息安全评估交换）认证中，Support Assets（支持资产）是指为实现信息安全目标而提供支持的关键资源或基础设施。这些资产通常是信息安全管理体系（ISMS）运行的基础，确保机密性、完整性和可用性要求的实现。具体来说，支持资产可分为以下几

信息安全中的支持资产类别

在TISAX（可信信息安全评估交换）认证中，Support Assets（支持资产）是指为实现信息安全目标而提供支持的关键资源或基础设施。这些资产通常是信息安全管理体系（ISMS）运行的基础，确保机密性、完整性和可用性要求的实现。具体来说，支持资产可分为以下几类：

- 包括数据中心、服务器、网络设备、存储设备等物理资源。这些资产需要符合TISAX对物理安全的要求，例如访问控制、环境监控（如防火、防水）以及设备维护记录等。

- 例如，生产设施或研发实验室中的硬件设备若涉及敏感数据（如车辆原型设计），需通过物理隔离或加密技术保护其安全。

- 涵盖支持信息处理与传输的软件系统，如ERP系统、协同开发平台（如大众的KVS平台）、云服务等。这些系统需满足TISAX对数据加密、访问权限控制和日志审计的要求。

- 例如，使用云计算服务的企业需确保云平台已通过TISAX认证（如阿里云、AWS等），以符合主机厂对数据跨境传输的安全性要求。

- 包括信息安全团队、培训体系及职责分配。TISAX要求企业明确信息安全角色（如CISO），并定期对员工进行安全意识培训，确保其具备处理敏感信息的能力。

- 例如，在审核过程中，第三方机构会通过访谈和文档检查验证员工是否理解并执行安全策略。

- 涉及信息安全政策、风险评估报告、应急预案等文件。这些文档需符合VDA ISA目录的要求，并定期更新以反映实际运营变化。

- 例如，针对勒索软件攻击的应急预案需明确数据备份与恢复流程，以保障信息可用性。

- 包括供应商的安全评估与监控机制。TISAX要求企业对供应链中的二级、三级供应商进行安全审核，确保其符合相同级别的信息安全标准。

- 例如，芯片供应商需通过TISAX认证，以证明其数据传输和存储过程的安全性，从而获得主机厂的合作资格。

支持资产的管理直接影响TISAX认证的评估结果。在审核中，第三方机构（如TÜV莱茵）会通过现场检查、技术测试和文档审查，验证这些资产是否符合以下要求：

- 保密性：如数据加密、访问权限分级；

- 完整性：如防篡改机制和版本控制；

- 可用性：如冗余设计和灾难恢复计划。

未达标项需在整改期内完成改进，否则可能影响认证结果。

在TISAX框架下，“Support Assets”是保障信息安全的核心要素，覆盖从硬件设施到人员管理的全链条。企业需通过系统化的管理和持续改进，确保这些资产满足汽车行业对信息安全的严苛要求，从而通过认证并维持供应链的准入资格。

来源：法律联讯