一、什么是TISAX？

      TISAX的英文全稱(chēng)是“Trusted Information SecurityAssessment Exchange (TISAX)”，直譯為可信信息安全評估交換。TISAX作為汽車(chē)行業(yè)共同認可信任的一個(gè)信息安全能力的評估結果，進(jìn)一步推動(dòng)行業(yè)上下游企業(yè)（例如零部件廠(chǎng)商，供應商，服務(wù)商）在滿(mǎn)足不同相關(guān)方（主要是OEM）的VDA-ISA信息安全評估的同時(shí)，其評估結果能夠進(jìn)一步相互認可，交換和信任，從而減少不同OEM的頻繁審核。

二、獲得 TISAX 認證的價(jià)值：

1. 獲得認證就滿(mǎn)足了客戶(hù)方的直接要求；

2.通過(guò)TISAX的導入和運行，可以很好地提升員工的安全意識和能力。員工的行為對公司內部的安全有重大影響，員工的安全意識和能力的提升，無(wú)疑可以更好地增強企業(yè)的競爭力；

3. 行業(yè)內相互認可，可以蕞大程度的節省時(shí)間和管理成本:所有 VDA 成員和 OEM 都需要獲得 TISAX認證,TISAX認證為汽車(chē)行業(yè)內的信息安全評估提供了統一且有約束力的標準，評估結果得到其他TISAX參與者共同認可從而實(shí)現汽車(chē)行業(yè)企業(yè)之間的安全互信。

認可流程：

1. OEM確定評估級別，例如原型保護、數據保護等；

2. 申請企業(yè)需要在ENX網(wǎng)站進(jìn)行注冊，并獲得注冊號；

3. 第三方審核機構審查文件，然后進(jìn)行2級遠程評估或者3級現場(chǎng)評估；

4. 編制報告并向認證組織闡述評估結果；

5. 認證組織根據評估結果制定改進(jìn)方案，并在有效期內提交整改結果；

6. 在交換平臺上形成蕞終報告。

審核注意事項：

5.1 在執行 TISAX 審核之前需要企業(yè)與授權認證審核服務(wù)機構確定 TISAX 的審核對象，審核范圍和審核級別。審核對象：是指企業(yè)組織范圍，部門(mén)范圍，物理地點(diǎn)等范圍；審核范圍：是指標準范圍，壓縮范圍還是擴展范圍；如果只是 AL1級別的審核，不需要外部審核方參與企業(yè)執行自我評估即可，但注意此級別無(wú)法獲得 TISAX 標簽；因 此企業(yè)通常都需要外部認證審核方執行AL2 或 AL3 級別審核從而實(shí)現高和非常高的保護級別；

5.2 對于 TISAX 審核時(shí)的具體技術(shù)標準的依據是 VDA-ISA 標準，這個(gè)標準是 VDA 組織基于 ISO/IEC 27XXX不同信息安全相關(guān)標準定制而來(lái)，其中主要包括信息安全體系，第三方聯(lián)系，數據保護，原型保護等四個(gè)方面，包括多個(gè)控制檢查點(diǎn)組成。

評估的基礎是 VDA 信息安全評估（ISA）調查問(wèn)卷，由 VDA 信息安全委員會(huì )創(chuàng )建和維護。它可以從 VDA網(wǎng)站下載德語(yǔ)或英語(yǔ)。

5.3 對于擁有多個(gè)地點(diǎn)的公司，常規 TISAX 評估流程可能非常廣泛。在某些條件下，我們提供了另一種選擇“簡(jiǎn)化群體評估”（SGA）。簡(jiǎn)化的小組評估是 TISAX 評估過(guò)程的一個(gè)特例。如果滿(mǎn)足前提條件， 與常規 TISAX評估過(guò)程相比，它可以減少工作量。

TISAX咨詢(xún)的流程：