一、什么是TISAX？

      TISAX的英文全稱是“Trusted Information SecurityAssessment Exchange (TISAX)”，直譯為可信信息安全評(píng)估交換。TISAX作為汽車行業(yè)共同認(rèn)可信任的一個(gè)信息安全能力的評(píng)估結(jié)果，進(jìn)一步推動(dòng)行業(yè)上下游企業(yè)（例如零部件廠商，供應(yīng)商，服務(wù)商）在滿足不同相關(guān)方（主要是OEM）的VDA-ISA信息安全評(píng)估的同時(shí)，其評(píng)估結(jié)果能夠進(jìn)一步相互認(rèn)可，交換和信任，從而減少不同OEM的頻繁審核。

二、獲得 TISAX 認(rèn)證的價(jià)值：

1. 獲得認(rèn)證就滿足了客戶方的直接要求；

2.通過TISAX的導(dǎo)入和運(yùn)行，可以很好地提升員工的安全意識(shí)和能力。員工的行為對(duì)公司內(nèi)部的安全有重大影響，員工的安全意識(shí)和能力的提升，無疑可以更好地增強(qiáng)企業(yè)的競爭力；

3. 行業(yè)內(nèi)相互認(rèn)可，可以蕞大程度的節(jié)省時(shí)間和管理成本:所有 VDA 成員和 OEM 都需要獲得 TISAX認(rèn)證,TISAX認(rèn)證為汽車行業(yè)內(nèi)的信息安全評(píng)估提供了統(tǒng)一且有約束力的標(biāo)準(zhǔn)，評(píng)估結(jié)果得到其他TISAX參與者共同認(rèn)可從而實(shí)現(xiàn)汽車行業(yè)企業(yè)之間的安全互信。

認(rèn)可流程：

1. OEM確定評(píng)估級(jí)別，例如原型保護(hù)、數(shù)據(jù)保護(hù)等；

2. 申請(qǐng)企業(yè)需要在ENX網(wǎng)站進(jìn)行注冊(cè)，并獲得注冊(cè)號(hào)；

3. 第三方審核機(jī)構(gòu)審查文件，然后進(jìn)行2級(jí)遠(yuǎn)程評(píng)估或者3級(jí)現(xiàn)場評(píng)估；

4. 編制報(bào)告并向認(rèn)證組織闡述評(píng)估結(jié)果；

5. 認(rèn)證組織根據(jù)評(píng)估結(jié)果制定改進(jìn)方案，并在有效期內(nèi)提交整改結(jié)果；

6. 在交換平臺(tái)上形成蕞終報(bào)告。

審核注意事項(xiàng)：

5.1 在執(zhí)行 TISAX 審核之前需要企業(yè)與授權(quán)認(rèn)證審核服務(wù)機(jī)構(gòu)確定 TISAX 的審核對(duì)象，審核范圍和審核級(jí)別。審核對(duì)象：是指企業(yè)組織范圍，部門范圍，物理地點(diǎn)等范圍；審核范圍：是指標(biāo)準(zhǔn)范圍，壓縮范圍還是擴(kuò)展范圍；如果只是 AL1級(jí)別的審核，不需要外部審核方參與企業(yè)執(zhí)行自我評(píng)估即可，但注意此級(jí)別無法獲得 TISAX 標(biāo)簽；因 此企業(yè)通常都需要外部認(rèn)證審核方執(zhí)行AL2 或 AL3 級(jí)別審核從而實(shí)現(xiàn)高和非常高的保護(hù)級(jí)別；

5.2 對(duì)于 TISAX 審核時(shí)的具體技術(shù)標(biāo)準(zhǔn)的依據(jù)是 VDA-ISA 標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)是 VDA 組織基于 ISO/IEC 27XXX不同信息安全相關(guān)標(biāo)準(zhǔn)定制而來，其中主要包括信息安全體系，第三方聯(lián)系，數(shù)據(jù)保護(hù)，原型保護(hù)等四個(gè)方面，包括多個(gè)控制檢查點(diǎn)組成。

評(píng)估的基礎(chǔ)是 VDA 信息安全評(píng)估（ISA）調(diào)查問卷，由 VDA 信息安全委員會(huì)創(chuàng)建和維護(hù)。它可以從 VDA網(wǎng)站下載德語或英語。

5.3 對(duì)于擁有多個(gè)地點(diǎn)的公司，常規(guī) TISAX 評(píng)估流程可能非常廣泛。在某些條件下，我們提供了另一種選擇“簡化群體評(píng)估”（SGA）。簡化的小組評(píng)估是 TISAX 評(píng)估過程的一個(gè)特例。如果滿足前提條件， 與常規(guī) TISAX評(píng)估過程相比，它可以減少工作量。

TISAX咨詢的流程：