汽车行业TISAX评估

TISAX背景

汽车行业很早就形成了一些协会，其目标是完善和定义关注他们更具体要求的标准。“汽车工业协会”(VDA)就是其中的协会之一，在涉及信息安全的协会组织内，很多汽车行业的成员认为，他们有类似的需求来定制现有的信息安全管理标准。他们共同创建了一个问卷，涵盖了汽车行业广泛认可的信息安全要求，被称为“VDA信息安全评估”（VDA-ISA）

可信任信息安全评估交易所（TISAX）允许注册的参与者交换信息安全评估的结果，该评估结果是基于ENX协会（欧洲汽车制造商和供应商协会）和VDA信息安全委员会（汽车工业协会）的要求。

TISAX概述

TRUSTED INFORMATION SECURITY ASSESSMENT EXCHANGE

TISAX可信信息安全评估与交换标准是基于ISO 27001信息安全管理体系标准和VDA-ISA信息安全评价检查表而建立的汽车行业专用信息安全标准。TISAX为汽车行业内不同服务商提供了信息安全评估结果互认的模式，供应商通过了该评估，即意味着其结果得到了所有参与方的认可。

TISAX一共有三个评估级别，其中Level 1是企业自评估，仅仅用于内部用途。Level 2与Level 3则需要由第三方认证机构进行评估，Level 3的要求最多且最严格。通过审核后，企业将获得TISAX标签。

目前现行TISAX一共定义了10个标签。企业通过申请，通过几个，就将获得几个标签。目前标签包括：2个信息安全标签（INFO HIGH，INFO VERY HIGH）、2个第三方连接标签（CON HIGH，CON VERY HIGH）、4个原型保护标签（PROTO PARTS，PROTO VEHICLES），TISAX评估分为三个阶段：初始评估，纠正措施计划评估和后续评估。整个评估过程最长不能超过9个月。如果在此规定时间内，没有完成评估流程，则必须重新申请评估流程。

TISAX流程

TISAX过程通常起于业务合作伙伴之一，要求根据“VDA信息安全评估”（VDA-ISA）的要求证明信息安全管理的规定级别。为了满足该要求，必须完成3步TISAX流程。

1.注册

收集公司的相关信息，以及需要哪些信息作为评估的一部分，及评估范围

2.评估

经过TISAX认可的审核机构进行实际评估

3.交换

与业务伙伴分享评估结果