什么是TISAX（可信信息安全评估交换）认证？

大家好，欢迎来到IT知识分享网。

TISAX（汽车安全评估讯息交换平台）是2017年由德国汽车工业联合会(VDA) 联合欧洲网络交换所(ENX) 所推出的资讯交换平台，把受多数组织成员认可的资讯安全评估流程VDA-ISA ( Information Security Assessment) 之审核结果放上平台，供参与者在得到被审核者授权后做查询.TISAX是一个参考ISO/IEC 27001、ISO/IEC 27002等规范所制定的汽车行业信息安全标准。其评估结果能够进一步相互认可，交换和信任，从而减少不同整车制造商的频繁审核。

在具体执行 TISAX 审核之前需要企业与客户确定 TISAX 评估的等级，审核的范围和审核的程度。

TISAX代表可信信息安全评估Exchange，这是一种信息安全标准，专为汽车行业的需求而开发。该标准最初是由德国汽车工业协会(VDA)制定的，长期以来一直是整个欧洲的中流砥柱–TISAX一直是德国汽车工业协会的注册商标。ENX协会一个由欧洲汽车制造商和供应商组成的组织。

ENX协会负责根据VDA的信息安全评估(ISA)问题目录执行TISAX程序。不像27001国际标准化组织对信息安全管理系统的审计，TISAX很大程度上是一种自我评估。

TISAX与ISO 27001的关系如何？

这两个标准都定义了一个ISS在设计、实现和操作方面必须满足的需求。ISO 27001列出了TISAX构建的基础。就它们对信息安全的要求而言，ISO 27001和TISAX实际上是相同的。但是，TISAX需求目录还包括可选领域，特别侧重于原型保护和数据保护。因此，您可能会说，TISAX遵从性为汽车行业优化了一个ISS。根据TISAX兼容的ISIS的成熟度级别，它至少应该满足ISO 27001的要求，甚至可能远远超过它们。

ENX协会作为TISAX方案的操作者，明确界定了评估的水平和范围。TISAX区分了三个不同的“保护级别”(正常、高和非常高)，定义了所需的信息保护级别。此外，TISAX区分了定义评估深度和评估方法的三个“评估级别”：

具有正常保护级别的信息：评估级别1采用自我评估的形式.评估级别为1的评估结果通常不在TISAX中使用，但可能在计划之外被请求。

具有高度保护水平的信息：通过审计组织进行评估，以自我评估为基础，以及各种文件和电话面谈(如果需要的话，现场检查)。

具有很高保护级别的信息：由独立审计提供者根据文件和现场审计进行的评估级别3。

TISAX评估的范围和持续时间在每一种情况下基本上是根据将要处理的标准清单、保护的目标、SISs的复杂性和所涉地点的数目来确定的。

审核对象：是指企业组织范围， 部门范围，物理地点等范围；

审核范围：是指标准范围， 压缩范围还是扩展范围；请注意压缩范围是无法获得 TISAX 审核标签的；

审核级别： 分为 3 个级别，不同的审核级别是由参与方期望达到的保护级别所决定的， TISAX 区分三种不 同的“保护级别” (正常， 高和非常高) ，其对应 AL1，AL2 和 AL3 的审核级别；如果只是 AL1 级别的审核， 不需要外部审核方参与企业执行自我评估即可，但注意此级别无法获得 TISAX 标签；因此企业通常都需要 外部认证审核方(例如 DQS)执行 AL2 或 AL3 级别审核从而实现高和非常高的保护级别；比如采埃孚大众宝马要求TISAX3级认证包含原型样件怎么理解？意味着供应商必须通过如图TISAX3级认证需要模块2+模块3原型零部件保护。

哪些行业需要 TISAX ？

TISAX认证适用于汽车行业上下游供应链中的所有组织，奔驰、宝马、大众、奥迪等主机厂都已强制要求其各个级别的供应商必须通过TISAX认证，才能与之进行数据交换；国内众多零部件供应商也都接到了主机厂的通知而纷纷着手准备。如：汽车零件制造厂、汽车应用产品厂商及汽车供应链成员、自动驾驶技术提供者、自动驾驶数据服务提供者、地图服务提供商等

TISAX标签的价值

行业内的相互认可：所有VDA成员和OEM都需要获得TISAX认证，以证明其能够满足外部需求方的直接要求，TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准，评估结果得到其他TISAX参与者的共同认可，从而实现行业企业之间的安全互信；

避免多次检查降低管理成本：TISAX认证基于统一的VDA-ISA安全评估目录和标准，获得TISAX标签后，通常每三年只需要进行一次TISAX评估；