TISAX®汽车可信信息安全评估和互认机制

TISAX®汽车可信信息安全评估和互认机制——您进入德系OEM主机厂供应商体系的第一步

TISAX®是什么？

2017年底，德国汽车工业协会 VDA和ENX联合为VDA ISA创建TISAX®（Trusted Information Security Assessment Exchange）:信息安全的评估和交换机制，可以实现汽车行业信息安全评估的相互认可，并提供通用的评估和交换机制。

TISAX®的国内现状 ？

从2017年开始，全球40多个国家2500家公司按照VDA ISA进行了信息安全审核。
大众，奥迪和保时捷要求供应商必须通过TISAX®，另外，德国车企奔驰、宝马也开始提出要求供应商通过TISAX®。目前，主要是德国主机厂强制要求通过TISAX®才能够和他们交换数据获取供应商KVS账号，所以国内零部件供应商及服务商都被通知要求通过TISAX®。

TISAX®标签获取流程？

根据要求，企业首先需要依据与 OEMs 确定的 TISAX®审计的范围 Scope、模块 Objective 和级别 Assessment Level，在 ENX 平台上完成注册。第三方审计机构，将为客户开展基于注册信息的信息安全评估，出具 TISAX®审计并签字上传 ENX 平台，企业将获取 TISAX®Label（有效期 3 年），作为供应商和 OEMs 申请采购订单、项 目合作、系统开账号、供应商资格延续的必要条件。

TISAX®的评估对象、保护级别、成熟度评分？

TISAX® 审计的内容除了通用的信息安全（基于 ISO/IEC 27001 和27002）之外，根据客户与 OEMs 的业务合作特点，还可能包括原型保护、数据保护两个模块。按照客户获取、处理和存储的信息敏感度，其保护级别可以分为 High（AL2）和 Very High（AL3） 。需要注意的是，AL3、或带有原型保护的AL2，均必须（对每个涉及的工作场所）进行现场审计。
通常的审计方法包括人员访谈、现场检查、取证确认等。审计结论将严格按照 VDA ISA 成熟度级别的方法，采用成熟度得分来表示。每一项控制点的成熟度得分范围在 0-5 之间（可以包括不适用项），由审计方来评价。
取得 TISAX® 标签的前提是：需要达到规定的成熟度水平，并且没有任何偏差项（被审计方必须基于发现和偏差进行及时整改，并在规定时间内由审计方进行跟进评估和确认）。

TISAX®的优势

1、能够满足外部需求方的直接要求，行业内的相互认可:所有VDA成员和OEM都需要获得TISAX®认证, TISAX®认证为汽车行业内的信息安全评估提供了统一且有约束力标准,评估结果得到其他TISAX®参与者共同认可从而实现汽车行业企业之间安全互信；
2、避免多次检查降低了管理成本: TISAX®认证基于统-的VDA-ISA安全评估目录和标准，通常每3年只需要进行1次TISAX®评估；
3、提升员工安全意识，员工的行为对公司内部的安全有重大影响,通过TISAX®提高员工安全意识与能力。
4、TISAX®标签， 是企业信息安全及体系管理方面实力的充分体现，尤其在参与竞标时，可以作为有利附加条件。