精选！什么是TISAX评审

2017年底，德国汽车工业协会VDA和ENX联合为VDA ISA创建TISAX（Trusted Information SecurityAssessment Exchange）:信息安全的评估和交换机制， 可以实现汽车行业信息安全评估的相互认可，并提供 通用的评估和交换机制。 ISA: 用于组织的内部控制要求， 接触组织敏感信息的 供应商（服务商）的审核要求。 VDA联合ENX推出成员组织认可的信息安全评估流程， 将审核结果放在授权的平台上以供信息查询和交换。 ENX:为欧洲汽车工业提供开发、采购和生产控制安全 交换关键数据解决方案的协会 ENX协会：TISAX的监管和组织的角色。由ENX认可 审核机构并且监督审核机构的审核结果以及审核的合规性。

(资料图)

申请TISAX有如下4个步骤：

注册

寻找合适的审核方

接受审核评估

与现有和潜在客户交换评估结果 (TISAX Label)

TISAX在国内目前的现状：

大众，奥迪和保时捷要求供应商必须通过TISAX ，未来其他德国车企奔驰，宝马可能也会跟 进要求供应商通过TISAX。目前主要是德国主机厂强制要求通过TISAX才能够和他们交换数 据，所以国内汽车配件公司都被通知要求通过TISAX。因为2018年中大众奥迪等公司才提出 TISAX的要求，国内大部分公司处于准备阶段。

如何审核：

对于TISAX审核时的具体技术标准依据是VDA-ISA标准，这个标准是VDA组织基于ISO/IEC 27XXX不同信息安 全相关标准定制而来，主要包括信息安全体系，第三方联系，数据保护，原型保护等四个领域，包括多个控制检查点组成。审核对象：是指企业组织范围，部门范围，物理地点等范围；审核范围：是指标准范围，压缩范围还是扩展范围；请注意压缩范围是无法获得TISAX审核标签的；

审核级别：

分为3个级别，不同的审核级别是由参与方期望达到的保护级别所决定的，TISAX区分三种不同的 “保护级别”（正常，高和非常高），其对应AL1，AL2和AL3的审核级别；如果只是AL1级别的审核，不需要外 部审核方参与企业执行自我评估即可，但注意此级别无法获得TISAX标签；因此企业通常都需要外部认证审核 方执行AL2或AL3级别审核从而实现非常高的保护级别；

通过TISAX认证企业，能够获取以下效益：

满足外部需求方直接要求，行业内相互认可：所有VDA成员和OEM都需要TISAX认证，TISAX认证为汽车行 业内的信息安全评估提供了统一且有约束力标准，评估结果得到其他TISAX参与者共同认可从而实现汽车行业 企业之间安全互信；-避免多次检查,降低管理成本：TISAX认证基于统一的VDA-ISA安全评估目录和标准，通常每三年只需要进行 一次TISAX评估；-提升员工安全意识，员工是公司信息安全保护的重要资源与手段，他们的行为对公司内部的安全有重大影响， 通过TISAX提高员工安全意识与能力；

第三方评审流程：

客户在线注册获得TISAX 参与者ID和范围ID。-首先要成为一个TISAX参与者才能开始TISAX评审和认可。希望得到TISAX认可的公司需要填妥一个注册问卷 表对评审的范围和深度进行界定。-一旦获得了“参与者ID”，审核机构的评审过程就可以开始。必维在2019年开始可以在全球实施TISAX审核， 拥有TISAX认可的审核员。

TISAX 包括哪些? -界定评审涵盖内容的第一步是范围和评审级别。（AL2高，AL3非常高）。-评审目标直接来自VDA ISA模式，包括：信息安全基础；与第三方的联系；原型和数据保护。评审级别可以 界定为高和非常高。-关于范围，可以从TISAX要求中选择三种范围（缩减，正常，扩展），缩减范围是不能获得TISAX标签的。TISAX着重于处理合作伙伴（如客户）信息并根据实际任务和相关场所对评审进行调整。

总结：

前我们碰到的客户几乎都是为了安装KVS而申请进行的TISAX审核的，而且一般有内部的时间节点。所以，是的， 你们必须回应大众的要求开始实施TISAX审核，并按照安装KVS的时间倒推什么时候必须拿到TISAX标签。而通常距 离拿到标签的时间为好几个月，平均为六个月。一般的TISAX审核步骤和流程如下：

1) 填妥申请表后发给审核机构报价；同时，你们要去TISAX官网注册，获得ScopeID等。请仔细阅读TISAXHandbook.

2) 确定审核机构并填妥自我评审表，按照Must, should, additional的要求对每个章节逐一回答并提供支持证据的索引，及写明打分（成熟度）的理由。

3) 和审核机构商定启动会议的时间(KOM)并提交自我评审结果

4) 启动会议后审核员会对自我评审表和提交的支持证据做初步的评估，并决定第二阶段的“正式”审核。通常这 个第一阶段和第二阶段之间会间隔一个月。

5) 第二阶段即正式审核开始后的跨度大概也在一个月到两个月之间，中间会有文件往返，人员电话访谈等，直到双方约定的结束日期之前审核员通知出具草稿报告，确认后上传TISAX批标签。

6) 纠正行动审核和跟进审核取决于贵司是否有不符合项，允许在九个月内关闭。

7) TISAX标签有效期为三年。审核后先有一个临时标签，关闭了所有不符合项后将有一个永久标签。