TISAX® 可信信息安全评估与交换

专业服务保障
一对一全程指导
高效快捷体验

TISAX® 可信信息安全评估与交换标准是基于ISO 27001信息安全管理体系标准和VDA-ISA信息安全评价检查表而建立的汽车行业专用信息安全标准。TISAX® 为汽车行业内不同服务商提供了信息安全评估结果互认的模式，供应商通过了该评估，即意味着其结果得到了所有参与方的认可。

在线咨询

产品介绍
办理流程
所需材料
常见问题
扩展支持服务

产品介绍

从“电动化、网联化、智能化、共享化”概念被首次提出后，汽车行业开启了前所未有的、令人惊叹的变革。在变革浪潮中，汽车已逐渐摆脱其作为“交通工具”的单一设定，演化成如同手机般的智慧产品，融入到大多数人的生活中，公交车、私家车每天都在路上飞驰着，为了让汽车人机交互系统操作更加便捷，汽车也在向智能化快速发展。然而，随之而来的信息安全问题日趋严重，受到了广泛关注。

如何解决汽车行业的信息安全问题？

为了帮助主机厂确保其供应链的信息安全，2017年初，德国汽车工业协会（VDA）与ENX协会联合推出了可靠交换机制TISAX（Trusted Information Security Assessment Exchange可信信息安全评估交换），实现数字化汽车行业的信息安全可信评估。把受多数组织成员认可的信息安全评估流程VDA ISA (Information Security Assessment) 之审核结果放上平台，供参与者在得到被审核者授权后做查询。
同年起，该项评估的流程和标准开始成为强制性要求，在全球范围内，包括零部件厂商、外围服务供应商等在内的所有相关供应商，都被要求建立和维持基于行业互通的信息安全管理体系，并将通过与之对应级别的TISAX认证作为准入条件。如今，众多国内汽车配件公司都收到了主机厂要求通过TISAX认证的通知，纷纷着手准备该认证。

111

什么是TISAX®？

TISAX 公司内部培训介绍_20220811185009_02

为什么要进行TISAX®审核？有哪些优势？

✦行业内的相互认可：所有VDA成员和OEM都需要获得TISAX认证，以证明其能够满足外部需求方的直接要求，TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准，评估结果得到其他TISAX参与者的共同认可，从而实现行业企业之间的安全互信；

✦避免多次检查降低管理成本：TISAX认证基于统一的VDA-ISA安全评估目录和标准，获得TISAX标签后，通常每三年只需要进行一次TISAX评估；

✦提升安全意识：员工的行为对公司内部安全有重大影响，通过TISAX能够有效提高员工安全意识与能力。

TISAX 公司内部培训介绍_20220811185009_06

TISAX®与ISO27001有什么区别？

TISAX®可信信息安全评估与交换标准是基于ISO 27001信息安全管理体系标准扩展到包括汽车特定要求，例如作为原型保护。获得TISAX®审核的企业并不自动获得ISO 27001认证。此外，无论是从审核频率、结果证明、适用范围、还是从不符合项处理规则来看，TISAX®和ISO 27001都存在着显著的差异。
例如评估方法，ISO 27001要求进行年度审计，而TISAX则是一次评估，有效期为三年。在一致性确认方面，ISO 27001颁发证书，而TISAX是标签。对ISO 27001的认证是通过满足标准的要求来实现的，而实现TISAX标签的基础是满足VDA评估目录中的评估目标的要求。

TISAX 公司内部培训介绍_20220811185009_08

TISAX®评估流程与周期

TISAX®评估分为三个阶段：初始评估，纠正措施计划评估和后续评估。整个评估过程最长不能超过9个月。如果在此规定时间内，没有完成评估流程，则必须重新申请。具体流程和周期安排可参考下图。

TISAX 公司内部培训介绍_20220811185009_20

TISAX 公司内部培训介绍_20220811185009_21

TISAX®注册注意事项

1、评估范围一旦被注册，TISAX参与者无法自行修改；
2、ENX批准后，应在收到发票后30天内，使用ENX在相应发票中传达的付款详情信息进行付款；
3、TISAX标签需每三年更换一次，因此要注意在标签过期前一年着手准备。再次进行评估之前，需要注册一个新的范围。新范围只需分配一个新的范围名称、添加联系人、选择评估对象并添加评估地点即可。

TISAX-公司内部培训介绍_20220811185009_24

TISAX®评估范围和评估对象

评估范围指的是信息安全评估工作的范围，它规定了审核提供方需要评估的内容。其主要分为标准范围，压缩范围及扩展范围三大类。需要注意的是，压缩范围是无法获得TISAX审核标签的。
评估对象作为TISAX认证的关键输入，它规定了参与者信息安全管理体系应当满足的有关要求。评估对象的确定是咨询和评估工作开展的必要前提。

TISAX 公司内部培训介绍_20220811185009_10

TISAX 公司内部培训介绍_20220811185009_11

VDA- ISA结构

VDA-ISA 检查表共有3个模块（信息系统安全、原型保护、数据保护）和67个控制项，它是TISAX 审核提供商颁发 TISAX 标签的依据。
VDA-ISA问卷的评估结果最终会以蜘蛛图的样式呈现，通过此图，我们可以清楚地了解到每个审核领域的绩效。

TISAX 公司内部培训介绍_20220811185009_19

TISAX 公司内部培训介绍_20220811185009_18

TISAX®能力成熟度等级划分

TISAX采用“成熟度等级”的概念用于评估控制项的完成质量，在实际审核过程中，分为6个成熟度等级：

1、不完整的成熟度为0：表示没有流程或流程未运行（没做），属于重大不符合；
2、已执行的成熟度为1：表示有运行的流程，但是流程没有被记录（做了没记录），属于重大不符合/轻微不符合；
3、已管理的成熟度为2：表示运行且有记录的流程，但是同一目标有多个不同的流程（流程不统一），属于轻微不符合/观察项；
4、已建立的成熟度为3：表示有运行的流程，也有实时更新的运行记录，且流程是在一个统一的信息安全框架下管理的（有流程有记录，但是没测量），属于观察项/无偏差；
5、可预测的成熟度为4：表示在成熟度3的基础上有运行的流程并可以测量，属于无偏差；
6、在优化的成熟度为5：表示在成熟度4的基础上有专人负责持续提升优化，属于无偏差。

TISAX 公司内部培训介绍_20220811185009_18

TISAX®评估级别

保护需求越高，您的合作伙伴就越希望确保能够放心地让您处理他们的信息。因此，TISAX定义了三大“评估级别（Assessment Level, 简称AL）”。
评估级别 1（AL 1）：
评估级别 1 主要针对公司内部用途，是真正意义上的自我评估(self-assessment)。
评估级别 2（AL 2）：
为确认是否符合级别2，审计服务提供商会对您的自我评估结果（针对评估范围内的所有地点）执行合理性检查。此外，审计服务提供商通常会以电话会议的形式完成谈话过程。
该级别一般不包含现场检查。但如果您选择了其中一个“原型”评估对象，则评估过程将总是包含一次现场检查。
评估级别 3（AL 3）：
为确认是否符合级别3，审计服务提供商会执行评估级别 2 所要求的所有检查，只不过，相关检查的范围会更广，并且审计服务提供商将通过深入开展现场检查以及面对面谈话等形式，来全面核查您的自我评估结果。
评估级别规定了我们的TISAX审计服务提供商所执行的审核深度以及使用的审计方法。简单来说，评估级别越高，相应的评估强度就越高，使用评级方法也就越高级。大部分情况下，建议企业选择级别AL3。

TISAX 公司内部培训介绍_20220811185009_12

TISAX®标签的获得与结果分享

就TISAX®标签而言，企业通过申请，通过几个，就将获得几个标签，可以同时发起申请。
认证结果不以证书的形式体现，而是不同的电子标签。标签有效期3年，从末次会议当天开始计算。

TISAX 公司内部培训介绍_20220811185009_13

TISAX 公司内部培训介绍_20220811185009_08

TISAX 公司内部培训介绍_20220811185009_25

办理流程

所需材料

具体请联系在线客服。

常见问题

扩展支持服务

全生命周期保障服务 1. 建立基于项目制的PMO工作组，由客户经理和项目经理联合负责跟进项目进度、交付物、满意度等质量活动。
2. 项目生命周期过程中的任何不满，均可以通过公司400电话和在线方式进行投诉反馈。
3. 周期性的回访，以确保项目交付验收后的任何变更、年审、升级或续证等提醒事项。

服务指标 全天候擎标在线，7×12小时的400电话和线上支持，提供现场/远程服务。我们承诺服务响应速度不超过60分钟。我们注重服务效率，在目标时间内保质保量的交付每一次服务。

工具支持 可提供ITSM运维工具、终端保密管理工具、风险评估工具、漏洞扫描工具、BUG管理工具、评估用PIID表、软件建模工具、项目管理工具、知识库管理工具等系列解决方案。

知识中心 1. 通过咨询顾问和培训老师，可获取各类业务相关的标准库、知识库、文档库。
2. 标新领异，我们可提供部分国际最新标准的中文译本和业内的政策动态资讯。

培训增值 1. 擎标每年不定期的举办培训公开课，签约客户均可享受优惠折扣和部分免费名额。
2. 部分基于线上的培训方式，受邀客户可以免费不计人数的参与研讨学习。