1、什么是TISAX?？

TISAX ?是由德國汽車工業(yè)協(xié)會(huì)（VDA）基于ISO/IEC 27001的要求開發(fā)的信息安全評估（ISA）目錄。ENX協(xié)會(huì)作為TISAX ?的管理組織，負(fù)責(zé)TISAX ?的改進(jìn)與發(fā)展，監(jiān)督TISAX?的審核供應(yīng)商和評估執(zhí)行以及質(zhì)量保證。

TISAX?評估方案確保汽車制造商、服務(wù)提供商和供應(yīng)商之間的信息安全水平一致。它通過確保制造過程中的保密性、完整性和可用性來幫助保護(hù)數(shù)據(jù)。專用的在線平臺可以在汽車行業(yè)內(nèi)交換信息安全評估結(jié)果。

TISAX一共有AL1，AL2，AL3三個(gè)級別。其中 AL2，AL3由授權(quán)的第三方認(rèn)證機(jī)構(gòu)進(jìn)行評估，企業(yè)通過后可以使用TISAX標(biāo)簽。現(xiàn)行TISAX（5.1版本）目前一共定義了10個(gè)標(biāo)簽，包括：2個(gè)信息安全標(biāo)簽（必選），2個(gè)可用性標(biāo)簽，4個(gè)原型保護(hù)標(biāo)簽（可選）以及2個(gè)數(shù)據(jù)保護(hù)標(biāo)簽（可選），企業(yè)通過申請，通過評估后獲得相應(yīng)標(biāo)簽。

?

SGS的快速安全評估流程——四步法

l? 通過 TISAX? 在線 平臺 注冊 獲得注冊文件——客戶行為

首先，需要在TISAX?平臺上注冊。一旦完成，就可以選擇SGS作為您的審核供應(yīng)商進(jìn)行評估（根據(jù)TISAX?的報(bào)價(jià)）。注冊成功后獲得注冊文件-范圍登記摘錄。

?

l? 選擇 和 聘用 一個(gè)審核 供應(yīng)商——客戶行為

為了確保信息的安全，審核機(jī)構(gòu)根據(jù)保護(hù)要求提供不同的評估等級。這些等級又根據(jù)評估程序進(jìn)行細(xì)分。

?

l? 非現(xiàn)場評估或 現(xiàn)場評估——SGS

評估：

級別 2基于文件審查與合理性檢查以及非現(xiàn)場訪談（電話，網(wǎng)絡(luò)）

級別 3基于文件審查，進(jìn)行合理性檢查，并進(jìn)行現(xiàn)場評估

?

l? 交流評估結(jié)果——客戶行為

被評估公司通過ENX專用平臺，與其他參與者交換評估結(jié)果。

?

2、TISAX?認(rèn)證的一般流程：

• 企業(yè)在ENX網(wǎng)站上，注冊全部信息，成為TISAX參與者；

• 企業(yè)選擇TISAX審核機(jī)構(gòu)，簽訂《認(rèn)證審核合同》；

• 企業(yè)建立TISAX體系并開展自評估，填寫VDA-ISA表格內(nèi)容并完成成熟度的打分。必要時(shí)可由外部咨詢公司提供專業(yè)支持；

• 召開kick-off meeting；

• 企業(yè)接受審核機(jī)構(gòu)的初始審核；

• 制定整改行動(dòng)計(jì)劃提交審核機(jī)構(gòu)；

• 完成糾正計(jì)劃審核（可選）；

• 實(shí)施整改計(jì)劃；

• 完成跟進(jìn)審核（限9個(gè)月內(nèi)）；

• 獲得TISAX標(biāo)簽（Label），審核結(jié)果發(fā)布和共享。

• 三年內(nèi)再次完成以上流程，標(biāo)簽維持。

?

3、第三方機(jī)構(gòu)進(jìn)行TISAX?評估的主要包括哪些內(nèi)容

• TISAX是成熟度評估，其評估基于VDA ISA的評估表。

• VDA ISA當(dāng)前版本（V5.X）一共有三個(gè)部分67個(gè)控制措施組成：

• 信息安全含可用性（41個(gè)控制點(diǎn)）

• 原型保護(hù)（22個(gè)控制點(diǎn)）

• 數(shù)據(jù)保護(hù)（4個(gè)控制點(diǎn)）

• 第三方認(rèn)證機(jī)構(gòu)將按照VDA ISA評估表所列項(xiàng)目對企業(yè)進(jìn)行評估，綜合得分達(dá)到2.7分以上且沒有不符合項(xiàng)遺留，合格；