TISAX~德国汽车行业的通用信息安全评估到底是啥

VDA对汽车产业的信息安全要求再升级！

2017年初， TISAX作为ENX和VDA合作而成的交互平台，使汽车行业的信息安全评估得到相互认可，并向汽车行业供应链的各方参与者提供通用的评估和信息交换机制。TISAX推出以后，各大车厂都不遗余力地要求供应商获得TISAX认证，拿到Participant-ID, 以便信息交换。而究竟，TISAX是什么？应做什么样的准备才能够通过TISAX审核呢？

一、什么是 TISAX？

TISAX的英文全称是“Trusted Information Security Assessment Exchange (TISAX) ”，直译为可信信息安全评估交换。TISAX作为汽车行业共同认可信任的一个信息安全能力的评估结果，进一步推动行业上下游企业（例如零部件厂商，供应商，服务商）在满足不同相关方（主要是OEM）的VDA-ISA信息安全评估的同时，其评估结果能够进一步相互认可，交换和信任，从而减少不同OEM的频繁审核。

德国汽车工业协会 (VDA) 多年前就推动成员企业符合信息安全标准，很多年前就建立了VDA-ISA（ Information Security Assessment）信息安全评估标准，然后在2017年联合ENX（欧洲汽车工业安全数据交换协会）推出新的TISAX机制，同年，TISAX已成为VDA的一项信息安全强制要求，是供应商采购订单、项目合作、数据交换、资格延续的必备前提条件。简而言之，虽然当前TISAX认证的强制范围暂限定在德系车企，但欧系、美系和国内厂商也在纷纷跟进。为了确保供应链安全，很多德国主机厂（如奔驰、宝马、大众、奥迪等）都已强制要求其各个级别的供应商必须通过TISAX认证才能与他们交换数据，国内很多汽车零部件供应商公司也都收到了认证的通知。

图片来自于 "Beschreibung TISAX und VDA-ISA für VDA"，通过监管“ENX 治理三角”得到保证， 包括 ENX 协会与 ENX 认可的审核机构之间以及 ENX 协会与每个参与者之间的合作。

二、获得 TISAX 认证的价值：

1. TISAX认证都源自主机厂的强制要求，获得认证就满足了客户方的直接要求；

2. 通过TISAX的导入和运行，可以很好地提升员工的安全意识和能力。员工的行为对公司内部的安全有重大影响，员工的安全意识和能力的提升，无疑可以更好地增强企业的竞争力；

3. 行业内相互认可，可以最大程度的节省时间和管理成本: 所有 VDA 成员和 OEM 都需要获得 TISAX 认证,TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准，评估结果得到其他TISAX参与者共同认可从而实现汽车行业企业之间的安全互信。

三、哪些企业可以申请TISAX认证：

整个汽车供应链的组织均可申请TISAX认证。

四、认可流程：

1. OEM确定评估级别，例如原型保护、数据保护等；

2. 申请企业需要在ENX网站进行注册，并获得注册号；

3. 第三方审核机构审查文件，然后进行2级远程评估或者3级现场评估；

4. 编制报告并向认证组织阐述评估结果；

5. 认证组织根据评估结果制定改进方案，并在有效期内提交整改结果；

6. 在交换平台上形成最终报告。

五、审核注意事项：

5.1 在执行 TISAX 审核之前需要企业与授权认证审核服务机构确定 TISAX 的审核对象，审核范围和审核级 别。审核对象：是指企业组织范围，部门范围，物理地点等范围；审核范围：是指标准范围，压缩范围还是扩展范围；审核级别：分为 3 个级别，不同的审核级别是由参与方期望达到的保护级别所决定的，TISAX 区分三 个不同的“保护级别”（正常，高和非常高），其对应 AL1，AL2 和 AL3 的审核级别；如果只是 AL1 级别的审核，不需要外部审核方参与企业执行自我评估即可，但注意此级别无法获得 TISAX 标签；因 此企业通常都需要外部认证审核方执行 AL2 或 AL3 级别审核从而实现高和非常高的保护级别；

5.2 对于 TISAX 审核时的具体技术标准的依据是 VDA-ISA 标准，这个标准是 VDA 组织基于 ISO/IEC 27XXX 不同信息安全相关标准定制而来，其中主要包括信息安全体系，第三方联系，数据保护，原型保护 等四个方面，包括多个控制检查点组成。

评估的基础是 VDA 信息安全评估（ISA）调查问卷，由 VDA 信息安全委员会创建和维护。它可以从 VDA 网站下载德语或英语。

5.3 对于拥有多个地点的公司，常规 TISAX 评估流程可能非常广泛。在某些条件下，我们提供了另一种选 择 “简化群体评估”（SGA）。简化的小组评估是 TISAX 评估过程的一个特例。如果满足前提条件， 与常规 TISAX 评估过程相比，它可以减少工作量。这种特殊的 TISAX 评估流程专为拥有至少三个地 点和集中，高度发达的信息安全管理系统（ISMS）的公司而设计。

六、TISAX咨询的流程：

更多内容，欢迎关注：

希望更多了解TISAX及ISO26262的朋友可添加微信联系我们

ＴＨＥ　ＥＮＤ

版权声明：本微信公众号（IATF16949）所推送文章中，部分来源于网络。除非确实无法确认，我们都会注明作者和来源。部分文章推送时未能与原作者取得联系。若涉及版权问题，烦请原作者联系我们，我们会在24小时内删除处理，谢谢！内容若有误，欢迎批评指正

加群或购买线上课程以及报名线下课

扫码添加客服企业微信号咨询

点击“阅读原文”进入直播间