TISAX采用“成熟度等级”的概念用于评估控制项的完成质量,在实际审核过程中,分为6个成熟度等级:
不完整的成熟度为0,表示没有流程或流程未运行(没做),属于重大不符合;
已执行的成熟度为1,表示有运行的流程,但是流程没有被记录(做了没记录),属于重大不符合/轻微不符合;
已管理的成熟度为2,表示运行且有记录的流程,但是同一目标有多个不同的流程(流程不统一),属于轻微不符合/观察项;
已建立的成熟度为3,表示有运行的流程,也有实时更新的运行记录,且流程是在一个统一的信息安全框架下管理的(有流程有记录,但是没测量),属于观察项/无偏差;
可预测的成熟度为4,表示在成熟度3的基础上有运行的流程并可以测量,属于无偏差;
在优化的成熟度为5,表示在成熟度4的基础上有专人负责持续提升优化,属于无偏差。
在评分0-5分的基础上,TISAX还使用了cut back机制,每个大控制点的目标成熟度都是3分,为了确保低分项不会被高分项拉高最终评分,实际得分超过目标成熟度的分数均会被折算为目标成熟度。具体操作如下图所示,当实际成熟度评分为4分或5分时,将调整为3分;实际成熟度评分为1-3分的将维持原分数不变。