verified_user
Standardful
首頁chevron_right標準chevron_rightTISAX
現行有效國際標準update 標準更新:2024年4月fact_check 事實核查:2026年6月28日

TISAX

可信資訊安全評估交換——VDA 資訊安全評估

apartment發布組織:德國汽車工業協會(VDA)/ ENX 協會

標準簡介

TISAX(可信資訊安全評估交換)是由德國汽車工業協會(VDA)開發、由 ENX 協會管理的資訊安全評估標準。該標準基於 VDA 資訊安全評估(ISA)問卷,為汽車供應鏈中的資訊安全評估提供了標準化方法。

TISAX 使汽車製造商與供應商之間能夠相互認可安全評估結果,消除了高成本的重複稽核。目前已有超過 10,000 家公司在 ENX 入口網站註冊,TISAX 已成為歐洲汽車產業資訊安全的事實標準,並在全球範圍內被 OEM 及其供應鏈日益採用。

directions_car

汽車產業專屬

專為汽車供應鏈打造,基於 VDA ISA(資訊安全評估)問卷,該問卷改編自 ISO 27001/27002,並納入汽車產業特有的要求。

swap_horiz

互認機制

評估結果透過 ENX 入口網站共享,實現汽車 OEM 與供應商之間的互認——消除供應鏈中重複的稽核工作。

verified

三級評估等級

第 1 級(自我評估)、第 2 級(針對高保護需求的遠端驗證)以及第 3 級(針對原型資料等極高保護需求的現場檢查)。

list_alt VDA ISA 評估模組

  • 資訊安全——基於 ISO 27001/27002 控制措施
  • 原型保護——原型的實體與組織性保護
  • 資料保護——符合 GDPR 的個人資料處理要求
  • 可用性——IT 與 OT 系統可用性要求(ISA 6.0 新增)
  • 第三方連線安全
  • 事件與危機管理
  • 人力資源安全與意識
  • 資產管理與分類

誰需要合規?

groups

處理來自福斯、BMW、戴姆勒等 VDA 成員 OEM 機密資訊的汽車供應商、工程合作夥伴與服務提供者。參與大多數歐洲汽車供應鏈的必備條件。

關鍵要求

1

VDA ISA 自我評估

完成涵蓋所有適用模組的 VDA 資訊安全評估問卷。針對每項控制目標評估成熟度等級(0-5 級)並識別差距。

2

評估機構稽核

委託 ENX 認可的稽核機構依所需級別開展評估。第 3 級評估須進行全面的現場檢查和面對面訪談。

3

原型保護

如處理原型部件、車輛或設計資料,須實施特定的實體安全措施,包括限制區域、訪客管控、禁止拍攝以及物流安全等。

4

標籤維護

TISAX 標籤有效期為三年。組織必須在到期前接受重新評估,以維持其標籤及供應鏈參與資格。

實施路線圖

1
階段 1schedule 預計週期: 2-4 周

准备範圍、標籤和評估等級

在 ENX 入口網站註冊,定義地點和評估範圍,識別客戶要求的 TISAX 標籤,并确定是否需要二級或三級評估。確認是否適用原型保護、資料保護或可用性模組。

2
階段 2schedule 預計週期: 4-8 周

按 VDA ISA 做差距分析

完成 VDA ISA 自評,評估適用控制成熟度,并識別資訊安全、供應商管理、HR 安全、實體安全、原型保護、資料保護和可用性方面的差距。

3
階段 3schedule 預計週期: 8-16 周

實施控制和稽核證據

整改差距,收集證據,更新政策,培训負責人,限制原型區域,并驗證供應商和第三方控制。聘请 ENX 認可稽核机构,并让受訪人員为正式評估做准备。

4
階段 4schedule 預計週期: 持續進行

稽核、共享標籤并維護成熟度

完成評估,整改發現項,取得 TISAX 標籤,并通过 ENX 入口網站与客戶共享結果。維護控制,并在三年標籤有效期结束前規劃重新評估。

合規檢查清單

0 / 12

checklist 範圍与評估设置

checklist VDA ISA 控制

checklist 評估与標籤維護

TISAX 与 ISO 27001、SOC 2 对比

TISAX 针对汽車供應鏈信任和結果交換進行了优化。

方面TISAXISO 27001SOC 2
主要受众汽車 OEM 和供應商寻求 ISMS 認證的全球組織服務組織客戶
基础基于 ISO 27001/27002 并加入汽車要求的 VDA ISAISO 管理體系要求AICPA 信任服務准则
輸出通过 ENX 共享的 TISAX 標籤認可证书獨立鉴证報告
特別關注原型、機密資訊、供應商交換和汽車資料基于風險的資訊安全与服務承诺相關的控制

常見誤區

cancel
誤區

TISAX 只是改名的 ISO 27001。

check_circle
事實

TISAX 使用汽車產業特定的 VDA ISA 要求、標籤共享和評估等級,与 ISO 27001 認證不同。

cancel
誤區

只有工廠需要 TISAX。

check_circle
事實

工程、軟體、物流、IT、行銷和服務商只要處理汽車機密資訊,也可能需要 TISAX。

cancel
誤區

標籤核發后就不需要維護。

check_circle
事實

控制必须持續維護,標籤到期或範圍重大变化前需要重新評估。

處罰與執行

warning

無直接法律處罰——TISAX 屬於產業驅動的要求。然而,未能取得或維持有效的 TISAX 標籤,實質上將使供應商失去與歐洲主要汽車 OEM 合作的資格,導致業務關係和合約的喪失。

常見問題解答

TISAX 是什么?

expand_more

TISAX 是汽車產業的可信資訊安全評估交換機制,由 ENX 營運,基于 VDA 資訊安全評估,使参与客戶和供應商之间可以認可并共享評估結果。

谁需要 TISAX?

expand_more

汽車供應商、工程公司、原型處理方、IT 提供者、物流夥伴和其他服務商,在 OEM 或一级供應商要求后,可能需要 TISAX 才能接收機密資訊或取得業務。

TISAX 標籤是什么?

expand_more

標籤代表參與方可在 ENX 入口網站共享的保護目标和評估結果,例如資訊安全目标,以及適用时的原型保護或資料保護等附加目标。

TISAX 与 ISO 27001 有何不同?

expand_more

TISAX 借鑑 ISO 27001/27002 理念,但使用汽車產業特定的 VDA ISA 問卷、標籤交換模型,以及原型、資料保護和汽車供應鏈協作要求。

TISAX 標籤有效期多久?

expand_more

TISAX 標籤通常有效三年。組織应在到期前提前規劃重新評估,因为標籤失效可能影響客戶资格。

三級評估是什么?

expand_more

三級評估是最嚴格的評估,通常包括現場檢查和訪談。它常用于非常高保護需求,例如敏感原型或高度機密客戶資訊。

評估結果可以複用吗?

expand_more

可以。TISAX 的目的就是受控交換和互认評估結果。參與方可在 ENX 入口網站選擇哪些客戶能够檢視結果。

如果发现问题会怎样?

expand_more

發現項必须通过矯正措施整改。根據严重程度,稽核机构可能要求後續證據或重新評估后才核發或维持標籤。

官方文件

查看全部

實施時間線

new_releases
2017年
TISAX established by VDA and ENX Association
update
2020年
VDA ISA 5.0 released with expanded controls
sync
2022年10月
VDA ISA 5.1 aligned with ISO 27001:2022
check_circle
2024年4月
VDA ISA 6.0 effective with new availability module
verified
2025年
All assessments conducted under VDA ISA 6.0

相關分類