摘要：在TISAX认证中，支持资产（Support Assets）的详细分类需要结合信息安全管理体系（ISMS）的核心要求，并覆盖汽车行业特有的安全场景。以下是支持资产的系统化分类及具体说明：

信息安全中支持资产的种类详解

在TISAX认证中，支持资产（Support Assets）的详细分类需要结合信息安全管理体系（ISMS）的核心要求，并覆盖汽车行业特有的安全场景。以下是支持资产的系统化分类及具体说明：

包括主/备数据中心、物理服务器、存储设备等，需符合环境安全（温湿度控制、防火防水）和访问控制（生物识别、日志记录）。

示例：存储车辆测试数据的服务器需物理隔离并部署入侵检测系统（IDS）。

涵盖路由器、交换机、防火墙等网络设备，需配置安全策略（如端口过滤、VPN加密）并定期更新固件。

示例：研发网络与办公网络需通过VLAN或物理隔离实现分段。

包括员工电脑、移动设备（如测试用平板）、工业控制设备（如生产线PLC），需强制启用全盘加密和远程擦除功能。

示例：自动驾驶原型车的测试设备需禁用USB接口以防止数据泄露。

涉及门禁系统、监控摄像头、安全储物柜等，需满足TISAX的物理安全等级（如AL3要求24小时监控）。

- ERP、PLM（产品生命周期管理）、MES（制造执行系统）等，需实现角色权限最小化和审计日志留存（至少6个月）。

- 示例：大众集团要求供应商通过KVS平台传输数据时启用端到端加密。

- 防病毒软件、SIEM（安全信息与事件管理）、DLP（数据防泄露）系统等，需覆盖所有终端并定期更新规则库。

- 代码仓库（如GitLab）、自动化测试平台，需配置代码签名、漏洞扫描和沙箱隔离。

- 示例：车载软件开发的测试环境需与互联网隔离，防止远程攻击。

- IaaS/PaaS/SaaS（如AWS、Azure、Office 365），需确保云服务商通过TISAX或ISO 27001认证，并签订数据主权协议。

- 信息安全团队（如CISO、SOC分析师）、研发人员、外包员工，需通过背景调查并签署保密协议（NDA）。

- 新员工入职培训、年度安全意识培训、特定岗位（如IT管理员）专项培训，需保留培训记录和考核结果。

- 明确的角色分工（如数据所有者、处理者）、事件响应流程（如漏洞上报机制）。

- 信息安全方针、数据分类标准（如大众集团的“Confidential”标签定义）。

- 系统配置手册、应急响应计划（如勒索软件处置流程）、业务连续性计划（BCP）。

- 风险评估报告、内部审核记录、供应商安全评估表，需保存至规定年限（通常3~5年）。

- 车辆设计图纸、客户数据（如VIN码）、测试日志，需加密存储并限制跨部门访问。

- 零部件供应商、软件开发商，需通过TISAX审核或提供等效证明（如ISO 27001）。

- 芯片制造商、原材料供应商，主机厂可能要求延伸审核其子供应商。

- 云服务商、审计机构、物流公司，需在合同中明确安全责任（如数据泄露赔偿条款）。

- 专线（如主机厂与供应商的VPN通道）、无线通信（如车间5G网络），需加密并配置完整性校验。

- 离线备份磁带、异地灾备中心，需定期测试恢复流程（如每年一次灾难演练）。

- 映射至VDA ISA目录：确保每类资产的管理措施符合VDA ISA控制项（如控制项“4.2.1 物理访问控制”对应数据中心门禁系统）。

- 供应链延伸管理：对第三方资产需提供完整的风险评估报告和整改证据。

- 持续改进：资产清单需动态更新，并通过内部审计验证有效性。

通过上述分类，企业可系统化识别、评估和管理支持资产，确保满足TISAX对汽车行业信息安全的严苛要求。

来源：法律联讯