TISAX认证：信息安全管理体系认证标准

TISAX（Trusted Information Security Assessment Exchange）即“可信信息安全评估与交换标准”，是基于 ISO 27001 信息安全管理体系标准和 VDA-ISA（Trusted Information Security Assessment Exchange）信息安全评价检查表而建立的汽车行业专用信息安全标准。该标准于 2017 年推出，由欧洲网络交换协会（ENX）和德国汽车工业协会（VDA）制定。

TISAX 认证的目的是确保汽车行业供应链中的各组织在产品开发的整个阶段内，所有利益相关方能够保证高度的信息安全和网络安全，因为汽车行业的供应商和服务提供商经常需要处理高度敏感的客户信息。TISAX 为汽车行业内不同服务商提供了信息安全评估结果互认的模式，供应商通过了该评估，即意味着其结果得到了所有参与方的认可。

TISAX 认证目前在全球范围的汽车主机厂商中备受推崇，许多为主机厂商提供软硬件及相关服务的供应商，会被主机厂商要求建立和维持其 TISAX 管理体系并通过与之对应级别的 TISAX 认证作为其准入条件。

TISAX 的各方职责如下：

• TISAX 的拥有者和主持者：德国汽车工业联合会（VDA），VDA 同时控制 VDA－ISA 检查表。ISA 用于组织的内部控制要求，以及接触组织敏感信息的供应商（服务商）的审核要求。VDA 联合 ENX 推出成员组织认可的信息安全评估流程，将审核结果放在授权平台上以供信息查询和交换。

• TISAX 的法律实体与组织者：ENX，所有评估结果都将放在 ENX 平台上。ENX 是为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会。

• TISAX 认可的审核提供方：获得认可的第三方认证机构。ENX 协会承担 TISAX 的监管和组织角色，由其认可审核机构并且监督审核机构的审核结果以及审核的合规性。通过监管“ENX 治理三角”得到保证，包括 ENX 协会与 ENX 认可的审核机构之间以及 ENX 协会与每个参与者之间的合作。

TISAX 评估流程主要包括以下步骤：

1. 在 TISAX 平台（即 ENX 官网）上注册；

2. 选择审核提供方（认证机构）；

3. 所选标签/范围审核提供方进行初步验证；

4. 签订审核合同；

5. 企业实施自评估，并向审核提供方提交自评估报告；

6. 审核提供方实施非现场审核/现场审核；

7. 企业获得 TISAX 标签；

8. 向合作伙伴分享 TISAX 评估信息。

在现行的 TISAX 中，一共有 8 个标签，企业通过申请，通过几个，就将获得几个标签。目前标签包括：2 个信息安全标签（InfoHigh，InfoVeryHigh）、2 个数据保护标签（Data，SpecialData）、4 个原型保护标签（ProtoParts，Proto Vehicles，Test Vehicles-，EventsShootings）。认证结果不以证书的形式体现，而是不同的电子标签。标签有效期 3 年，从末次会议当天开始计算。

与 ISO/IEC 27001 相比，TISAX 具有一些不同点和共同点：

• 不同点：

  • 应用范围：ISO/IEC 27001 适用产业范围相对更广，而 TISAX 主要聚焦在汽车行业相互接受信息安全评估。

  • 级别机制：TISAX 采用级别制，共有三种审核等级（Assessment Level，AL），企业可自行选择其需要通过的认证等级，AL1 一般是自评，AL2 和 AL3 需要第三方对公司进行现场稽核，一般获得 AL2 和 AL3 才能够获得 TISAX 的认可；ISO/IEC 27001 无级别制，其证书基本对应 TISAX 的 AL2。此外，TISAX 在四大管制面向五个成熟度级别做评分，五个成熟度级别定义如下：0-不完整级别；1-已执行级别；2-已管理级别；3-已建立级别；4-可预见级别；5-持续优化。

  • 评估方法：ISO/IEC 27001 要求进行年度审计，而 TISAX 则需要一次评估，三年有效。在一致性确认方面，ISO/IEC 27001 颁发证书，而 TISAX 颁发标签。对 ISO/IEC 27001 的认证是通过满足标准的要求来实现的，而实现 TISAX 的基础是满足 VDA 评估目录中的评估目标的要求。

• 共同点：TISAX 以 ISO/IEC 27001 体系标准扩展到包括汽车特定要求，两者之间的管理思路基本一致，同样也按照控制域评估方式。例如 ISO/IEC 27001:2013 共有 14 个控制域 114 个控制项，TISAX ISA5 分为 3 个模块（信息安全、数据安全、原型保护）和 67 个控制项，且二者之间保持了一定的映射关系。

如果想申请 TISAX 认证，通常需要满足以下条件：

• 申请者资质：申请者必须为合法经营的企业单位，并能够提供与汽车行业供应链相关的证据，以证明其与汽车行业的紧密关系。

• 信息安全管理体系：申请者需要建立一套完善的信息安全管理体系，包括明确的组织结构、政策、流程和技术措施，以确保敏感数据的保密性、完整性和可用性。

• 数据分类与保护：申请者需要对其处理的数据进行详细的分类，并根据不同级别的敏感数据制定相应的保护措施。这涉及到对数据的访问控制、加密、备份和恢复等方面的管理。

• 安全措施与培训：申请者需要采取一系列技术措施（如防火墙、入侵检测系统、数据加密等）和组织措施（如安全政策、安全流程、安全培训等）来保障信息安全。此外，还需要对人员进行安全意识培训，提高他们对信息安全的认识和应对能力。

• 合作与配合：申请者需要与 TISAX 认证机构建立合作关系，并按照认证机构的要求提供必要的信息和文件。在认证过程中，申请者需要积极配合认证机构的工作，接受现场审查、测试和文档审计等。

• 持续改进：申请者需要持续关注信息安全领域的最新动态和威胁，及时对信息安全管理体系进行更新和改进，以确保其始终符合 TISAX 认证的要求。

总之，TISAX 认证为汽车行业内的信息安全评估提供了统一且有约束力的标准，有助于提升企业的信息安全能力，降低管理成本，并实现企业之间的安全互信。企业获得 TISAX 认证后，可在一定程度上增强市场竞争力，且其评估结果能在广泛的范围内获得互认。

需要注意的是，认证标准和流程可能会随时间推移而发生变化，因此企业应随时关注相关动态，确保符合最新的认证要求。同时，建议企业寻求专业的咨询机构或认证机构的帮助，以更好地理解和满足 TISAX 认证的各项要求。