TISAX汽车行业信息安全认证条件和流程(可信信息安全评估交换).pdfVIP

TISAX汽车行业信息安全认证条件和流程(可信信息安全评估交换)--第1页

一、什么是TISAX？

随着信息化的普及，信息系统的基础性、全局性日益突出，信息资源已成为重要的战略资源之一。

汽车行业也是一样，每日产生着大量的交互数据。供应链中的任何一家机密信息被泄露，都会对整个供

应链照成巨大损失。这就要求整车制造商及其上游所有企业都能协调一致采取共同行动应对日趋严峻的

网络安全威胁。

德国汽车工业协会(VDA)多年前就推动成员企业符合信息安全标准，很多年前建立VDA-ISA信息安

全评估标准，通常被用于组织的内部控制要求。从供需双方的角度，不同的客户以及供方审核导致众多

资源的浪费。为此，VDA联合ENX推出了信息安全评估流程，并将其审核结果放在一个可供信息交换的可

信平台(TISAX)上，其评估结果能够进一步相互认可，交换和信任，从而减少不同整车制造商的频繁审核。

图片来自于BeschreibungTISAXundVDA-ISAfürVDA，通过监管“ENX治理三角”得到保证，

包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。

二、通过TISAX认证的好处：

1

TISAX汽车行业信息安全认证条件和流程(可信信息安全评估交换)--第1页

TISAX汽车行业信息安全认证条件和流程(可信信息安全评估交换)--第2页

2.1能够满足外部需求方的直接要求，行业内的相互认可:所有VDA成员和OEM都需要获得TISAX认证,

TISAX认证为汽车行业内的信息安全评估提供了统-且有约束力标准,评估结果得到其他TISAX参与者

共同认可从而实现汽车行业企业之间安全互信；

2.2避免多次检查降低了管理成本:TISAX认证基于统-的VDA-ISA安全评估目录和标准，通常每年只需

要进行次TISAX评估；

2.3提升员工安全意识，员工的行为对公司内部的安全有重大影响,通过TISAX提高员工安全意识与能力。

三、申请认证条件：

3.1申请者必须为合法经营的企业单位；

3.2能够提供汽车行业供应链的证据；

四、认可流程：

4.1.去ENX官网注册，确定好审核的信息安全范围等级和地点。注册完成后和审核公司约好审核的时间

和地点，确定好费用。

4.2.内部自查，根据VDA-ISA_EN_4-1-0里面的详细要求，找到目前公司的信息安全体系和标准之间的

差距。

4.3.内部整改，根据评审出的差异点进行内部整改，同时开展内部信息安全培训。

4.4.文件编写和信息安全的运行。根据标准要求，编写和实施相关的信息安全文件，让相应的部门执行

文件。同时，对于缺少的软硬件都必须到位。

4.5.公司内部再次根据VDAISA评估目前公司的信息安全运行情况，如果评分可以达到TISAX的要求，

可以调整到最佳状态迎接TISAX审核员的外审。

4.6.外审通过，等待外审机构报告，如果未通过，根据情况，再次审核，知道审核通过为止。需要注意

的是，您必须在9个月的时间内通过全部审核，否则需要全部重新开始申请一次。

2

TISAX汽车行业信息安全认证条件和流程(可信信息安全评估交换)--第2页

TISAX汽车行业信息安全认证条件和流程(可信信息安全评估交换)--第3页

五、审核注意事项：

5.1在执行TISAX审核之前需要企业与授权认证审核服务机构确定TISAX的审核对象，审核范围和审核级

别。

审核对象：是指企业组织范围，部门范围，物理地点等范围；

审核范围：是指标准范围，压缩范围还是扩展范围；

审核级别：分为3个级别，不同的审核级别是由参与方期望达到的保护级别所决定的，TISAX区分三

个不同的“保护级别”（正常，高和非常高），其对应AL1，AL2和AL3的审核级别；如果只是AL1

级别的审核，不需要外部审核方参与企业执行自我评估即可，但注意此级别无法获得TISAX标签；因

此企业通常都需要外部认证审核方执行AL2或