标准简介
TISAX(可信信息安全评估交换)是由德国汽车工业协会(VDA)制定、ENX 协会运营的信息安全评估标准。基于 VDA 信息安全评估(VDA ISA)问卷,TISAX 为汽车行业提供了标准化的信息安全评估和交换机制。该标准涵盖信息安全、原型保护和数据保护三大评估目标,评估级别分为普通(AL1)、高(AL2)和非常高(AL3),其中 AL3 要求最为严格的现场审核。
TISAX 评估由 ENX 协会认可的审核服务提供商执行,评估结果通过 ENX 门户在参与者之间共享,有效期为三年。该标准已成为全球汽车供应链的事实标准,大众、宝马、奔驰等主要汽车制造商(OEM)要求其供应商和合作伙伴获得 TISAX 标签。VDA ISA 问卷基于 ISO/IEC 27001 但针对汽车行业进行了定制扩展,特别强调原型车辆和零部件的物理保护、与第三方的信息交换安全以及连接车辆的数据保护。全球已有超过 1 万家企业完成了 TISAX 评估。
汽车行业专属
专为汽车供应链打造,基于 VDA ISA(信息安全评估)问卷,该问卷改编自 ISO 27001/27002,并纳入汽车行业特有的要求。
互认机制
评估结果通过 ENX 门户共享,实现汽车 OEM 与供应商之间的互认——消除供应链中重复的审计工作。
三级评估等级
第 1 级(自我评估)、第 2 级(针对高保护需求的远程验证)以及第 3 级(针对原型数据等极高保护需求的现场检查)。
list_alt VDA ISA 评估模块
- 信息安全——基于 ISO 27001/27002 控制措施
- 原型保护——原型的物理与组织性保护
- 数据保护——符合 GDPR 的个人数据处理要求
- 可用性——IT 与 OT 系统可用性要求(ISA 6.0 新增)
- 第三方连接安全
- 事件与危机管理
- 人力资源安全与意识
- 资产管理与分类
谁需要合规?
处理来自大众、宝马、戴姆勒等 VDA 成员 OEM 机密信息的汽车供应商、工程合作伙伴与服务提供商。参与大多数欧洲汽车供应链的必备条件。
关键要求
VDA ISA 自我评估
完成涵盖所有适用模块的 VDA 信息安全评估问卷。针对每项控制目标评估成熟度等级(0-5 级)并识别差距。
评估机构审核
委托 ENX 认可的审核机构按所需级别开展评估。第 3 级评估要求进行全面的现场检查和面对面访谈。
原型保护
如处理原型部件、车辆或设计数据,需实施特定的物理安全措施,包括限制区域、访客管控、禁止拍摄以及物流安全等。
标签维护
TISAX 标签有效期为三年。组织必须在到期前接受重新评估,以维持其标签及供应链参与资格。
实施路线图
准备范围、标签和评估等级
在 ENX 门户注册,定义地点和评估范围,识别客户要求的 TISAX 标签,并确定是否需要二级或三级评估。确认是否适用原型保护、数据保护或可用性模块。
按 VDA ISA 做差距分析
完成 VDA ISA 自评,评估适用控制成熟度,并识别信息安全、供应商管理、HR 安全、物理安全、原型保护、数据保护和可用性方面的差距。
实施控制和审核证据
整改差距,收集证据,更新政策,培训负责人,限制原型区域,并验证供应商和第三方控制。聘请 ENX 认可审核机构,并让受访人员为正式评估做准备。
审核、共享标签并维护成熟度
完成评估,整改发现项,获得 TISAX 标签,并通过 ENX 门户与客户共享结果。维护控制,并在三年标签有效期结束前规划重新评估。
合规检查清单
checklist 范围与评估设置
checklist VDA ISA 控制
checklist 评估与标签维护
TISAX 与 ISO 27001、SOC 2 对比
TISAX 针对汽车供应链信任和结果交换进行了优化。
| 方面 | TISAX | ISO 27001 | SOC 2 |
|---|---|---|---|
| 主要受众 | 汽车 OEM 和供应商 | 寻求 ISMS 认证的全球组织 | 服务组织客户 |
| 基础 | 基于 ISO 27001/27002 并加入汽车要求的 VDA ISA | ISO 管理体系要求 | AICPA 信任服务准则 |
| 输出 | 通过 ENX 共享的 TISAX 标签 | 认可证书 | 独立鉴证报告 |
| 特别关注 | 原型、机密信息、供应商交换和汽车数据 | 基于风险的信息安全 | 与服务承诺相关的控制 |
常见误区
TISAX 只是换名的 ISO 27001。
TISAX 使用汽车行业特定的 VDA ISA 要求、标签共享和评估等级,与 ISO 27001 认证不同。
只有工厂需要 TISAX。
工程、软件、物流、IT、营销和服务商只要处理汽车机密信息,也可能需要 TISAX。
标签签发后就不需要维护。
控制必须持续维护,标签到期或范围重大变化前需要重新评估。
处罚与执行
无直接法律处罚——TISAX 属于行业驱动的要求。然而,未能取得或维持有效的 TISAX 标签,实质上将使供应商失去与欧洲主要汽车 OEM 合作的资格,导致业务关系和合同的丧失。
常见问题解答
TISAX 是什么?
expand_more
TISAX 是汽车行业的可信信息安全评估交换机制,由 ENX 运营,基于 VDA 信息安全评估,使参与客户和供应商之间可以认可并共享评估结果。
谁需要 TISAX?
expand_more
汽车供应商、工程公司、原型处理方、IT 提供商、物流伙伴和其他服务商,在 OEM 或一级供应商要求后,可能需要 TISAX 才能接收机密信息或获得业务。
TISAX 标签是什么?
expand_more
标签代表参与方可在 ENX 门户共享的保护目标和评估结果,例如信息安全目标,以及适用时的原型保护或数据保护等附加目标。
TISAX 与 ISO 27001 有何不同?
expand_more
TISAX 借鉴 ISO 27001/27002 理念,但使用汽车行业特定的 VDA ISA 问卷、标签交换模型,以及原型、数据保护和汽车供应链协作要求。
TISAX 标签有效期多久?
expand_more
TISAX 标签通常有效三年。组织应在到期前提前规划重新评估,因为标签失效可能影响客户资格。
三级评估是什么?
expand_more
三级评估是最严格的评估,通常包括现场检查和访谈。它常用于非常高保护需求,例如敏感原型或高度机密客户信息。
评估结果可以复用吗?
expand_more
可以。TISAX 的目的就是受控交换和互认评估结果。参与方可在 ENX 门户选择哪些客户能够查看结果。
如果发现问题会怎样?
expand_more
发现项必须通过纠正措施整改。根据严重程度,审核机构可能要求后续证据或重新评估后才签发或维持标签。