verified_user
Standardful
首页chevron_right标准chevron_rightTISAX
有效国际标准update 标准更新:2024年4月fact_check 事实核查:2026年6月28日

TISAX

可信信息安全评估交换——VDA 信息安全评估

apartment发布组织:德国汽车工业协会(VDA)/ ENX 协会

标准简介

TISAX(可信信息安全评估交换)是由德国汽车工业协会(VDA)制定、ENX 协会运营的信息安全评估标准。基于 VDA 信息安全评估(VDA ISA)问卷,TISAX 为汽车行业提供了标准化的信息安全评估和交换机制。该标准涵盖信息安全、原型保护和数据保护三大评估目标,评估级别分为普通(AL1)、高(AL2)和非常高(AL3),其中 AL3 要求最为严格的现场审核。

TISAX 评估由 ENX 协会认可的审核服务提供商执行,评估结果通过 ENX 门户在参与者之间共享,有效期为三年。该标准已成为全球汽车供应链的事实标准,大众、宝马、奔驰等主要汽车制造商(OEM)要求其供应商和合作伙伴获得 TISAX 标签。VDA ISA 问卷基于 ISO/IEC 27001 但针对汽车行业进行了定制扩展,特别强调原型车辆和零部件的物理保护、与第三方的信息交换安全以及连接车辆的数据保护。全球已有超过 1 万家企业完成了 TISAX 评估。

directions_car

汽车行业专属

专为汽车供应链打造,基于 VDA ISA(信息安全评估)问卷,该问卷改编自 ISO 27001/27002,并纳入汽车行业特有的要求。

swap_horiz

互认机制

评估结果通过 ENX 门户共享,实现汽车 OEM 与供应商之间的互认——消除供应链中重复的审计工作。

verified

三级评估等级

第 1 级(自我评估)、第 2 级(针对高保护需求的远程验证)以及第 3 级(针对原型数据等极高保护需求的现场检查)。

list_alt VDA ISA 评估模块

  • 信息安全——基于 ISO 27001/27002 控制措施
  • 原型保护——原型的物理与组织性保护
  • 数据保护——符合 GDPR 的个人数据处理要求
  • 可用性——IT 与 OT 系统可用性要求(ISA 6.0 新增)
  • 第三方连接安全
  • 事件与危机管理
  • 人力资源安全与意识
  • 资产管理与分类

谁需要合规?

groups

处理来自大众、宝马、戴姆勒等 VDA 成员 OEM 机密信息的汽车供应商、工程合作伙伴与服务提供商。参与大多数欧洲汽车供应链的必备条件。

关键要求

1

VDA ISA 自我评估

完成涵盖所有适用模块的 VDA 信息安全评估问卷。针对每项控制目标评估成熟度等级(0-5 级)并识别差距。

2

评估机构审核

委托 ENX 认可的审核机构按所需级别开展评估。第 3 级评估要求进行全面的现场检查和面对面访谈。

3

原型保护

如处理原型部件、车辆或设计数据,需实施特定的物理安全措施,包括限制区域、访客管控、禁止拍摄以及物流安全等。

4

标签维护

TISAX 标签有效期为三年。组织必须在到期前接受重新评估,以维持其标签及供应链参与资格。

实施路线图

1
阶段 1schedule 预计周期: 2-4 周

准备范围、标签和评估等级

在 ENX 门户注册,定义地点和评估范围,识别客户要求的 TISAX 标签,并确定是否需要二级或三级评估。确认是否适用原型保护、数据保护或可用性模块。

2
阶段 2schedule 预计周期: 4-8 周

按 VDA ISA 做差距分析

完成 VDA ISA 自评,评估适用控制成熟度,并识别信息安全、供应商管理、HR 安全、物理安全、原型保护、数据保护和可用性方面的差距。

3
阶段 3schedule 预计周期: 8-16 周

实施控制和审核证据

整改差距,收集证据,更新政策,培训负责人,限制原型区域,并验证供应商和第三方控制。聘请 ENX 认可审核机构,并让受访人员为正式评估做准备。

4
阶段 4schedule 预计周期: 持续进行

审核、共享标签并维护成熟度

完成评估,整改发现项,获得 TISAX 标签,并通过 ENX 门户与客户共享结果。维护控制,并在三年标签有效期结束前规划重新评估。

合规检查清单

0 / 12

checklist 范围与评估设置

checklist VDA ISA 控制

checklist 评估与标签维护

TISAX 与 ISO 27001、SOC 2 对比

TISAX 针对汽车供应链信任和结果交换进行了优化。

方面TISAXISO 27001SOC 2
主要受众汽车 OEM 和供应商寻求 ISMS 认证的全球组织服务组织客户
基础基于 ISO 27001/27002 并加入汽车要求的 VDA ISAISO 管理体系要求AICPA 信任服务准则
输出通过 ENX 共享的 TISAX 标签认可证书独立鉴证报告
特别关注原型、机密信息、供应商交换和汽车数据基于风险的信息安全与服务承诺相关的控制

常见误区

cancel
误区

TISAX 只是换名的 ISO 27001。

check_circle
事实

TISAX 使用汽车行业特定的 VDA ISA 要求、标签共享和评估等级,与 ISO 27001 认证不同。

cancel
误区

只有工厂需要 TISAX。

check_circle
事实

工程、软件、物流、IT、营销和服务商只要处理汽车机密信息,也可能需要 TISAX。

cancel
误区

标签签发后就不需要维护。

check_circle
事实

控制必须持续维护,标签到期或范围重大变化前需要重新评估。

处罚与执行

warning

无直接法律处罚——TISAX 属于行业驱动的要求。然而,未能取得或维持有效的 TISAX 标签,实质上将使供应商失去与欧洲主要汽车 OEM 合作的资格,导致业务关系和合同的丧失。

常见问题解答

TISAX 是什么?

expand_more

TISAX 是汽车行业的可信信息安全评估交换机制,由 ENX 运营,基于 VDA 信息安全评估,使参与客户和供应商之间可以认可并共享评估结果。

谁需要 TISAX?

expand_more

汽车供应商、工程公司、原型处理方、IT 提供商、物流伙伴和其他服务商,在 OEM 或一级供应商要求后,可能需要 TISAX 才能接收机密信息或获得业务。

TISAX 标签是什么?

expand_more

标签代表参与方可在 ENX 门户共享的保护目标和评估结果,例如信息安全目标,以及适用时的原型保护或数据保护等附加目标。

TISAX 与 ISO 27001 有何不同?

expand_more

TISAX 借鉴 ISO 27001/27002 理念,但使用汽车行业特定的 VDA ISA 问卷、标签交换模型,以及原型、数据保护和汽车供应链协作要求。

TISAX 标签有效期多久?

expand_more

TISAX 标签通常有效三年。组织应在到期前提前规划重新评估,因为标签失效可能影响客户资格。

三级评估是什么?

expand_more

三级评估是最严格的评估,通常包括现场检查和访谈。它常用于非常高保护需求,例如敏感原型或高度机密客户信息。

评估结果可以复用吗?

expand_more

可以。TISAX 的目的就是受控交换和互认评估结果。参与方可在 ENX 门户选择哪些客户能够查看结果。

如果发现问题会怎样?

expand_more

发现项必须通过纠正措施整改。根据严重程度,审核机构可能要求后续证据或重新评估后才签发或维持标签。

官方文档

查看全部

实施时间线

new_releases
2017年
TISAX established by VDA and ENX Association
update
2020年
VDA ISA 5.0 released with expanded controls
sync
2022年10月
VDA ISA 5.1 aligned with ISO 27001:2022
check_circle
2024年4月
VDA ISA 6.0 effective with new availability module
verified
2025年
All assessments conducted under VDA ISA 6.0

相关分类