一、什么是TISAX ？

Trusted Information Security Assessment Exchange（汽车行业的通用信息安全评估），最早起源于德国大众内部对其合作伙伴的信息安全审计，目的是对敏感信息的共享和保护，目前已通过德国汽车工业协会（VDA）逐渐扩展到所有的德国汽车主机厂（包括戴姆勒、宝马等），成为一种通用的对供应商信息安全能力水平的评估和交换机制，目的是为了实现德国汽车行业信息安全评估的相互接受，全球所有供应商（包括零部件厂商、外围服务商等）均应建立和维持其信息安全管理体系，并通过与之对应级别的TISAX审计，作为准入条件。

二、TISAX 审计级别、范围和具体要求

TISAX按照信息安全保护程度，一共分为三个级别：AL1,AL2 (High), AL3 (Very High)。除AL1只需要供应商进行自评估外，其余等级均需要通过第三方审计。AL3需要（对每个涉及的工作场所）进行现场评估，包括人员访谈、实地查看、取证确认等。从具体的评估内容来看，至少包括信息安全评估（ISA）控制点，这些控制点主要参照ISO/IEC27001和27002标准体系，并根据德系汽车行业特点进行相应的调整。不同的供应商根据与主机厂的业务合作，还可能包括对原型保护、数据保护的额外控制点的审计。每一项控制点按照信息安全保护能力成熟度，得分范围在0-5之间，最终得分由各项汇总后，按照偏差百分比决定是否通过TISAX审计（供应商可以根据偏差发现进行及时整改，并在规定时间内寻求审核确认）。

三TISAX服务和建议

3.1.TISAX实施建议

模式一：ISMS建设 + TISAX审计(1个月+)

·       零基础：未建立信息安全管理体系或缺乏安全管理手段；

·       除TISAX外，希望能同时通过ISO27001认证；

·       希望在TISAX审计同时，获取其他增值的咨询服务，以建立信息安全管理能力。

模式二：TISAX培训 + TISAX审计 (1个月)

·       目标明确：尽快通过TISAX审计；

·       由于不了解TISAX审计要求或信息安全管理体系不健全等原因，尚不具备直接通过TISAX审计的条件；

·       希望在TISAX审计同时，能更完整开展信息安全差距分析和获取整改建议。

模式三：直接TISAX审计(1-2个月)

·       信息安全管理体系较成熟，对自评估结果有信心；

·       某些特殊原因造成之前TISAX审计未能通过或延误的。

02.可提供的TISAX服务

培训支持：TISAX体系介绍和应审培训，协助客户进行自评估和差距分析，协助客户制定整改计划并跟进，TISAX应审准备（材料、人员等）。

现场审核：按需提供现场审核（预审、正审），包括适用性分析、差异分析、初步改进建议等。

报告确认：与客户现场沟通确认审计报告（包括整改后的再次确认），完成TISAX正式审计报告，客户最终确认后上传ENX平台。

四 为什么选择中翔证检

团队经验：拥有充足的本地化团队，对汽车行业客户长期提供专业服务。目前，已开展国内的TISAX多家培训业务，并积累了不少成功案例。

TISAX关键成功要素

·       明确信息安全风险整体把控的原则，理解TISAX审计条款的具体要求

·       建立完整的信息安全制度文件（文档）

·       提供明确的执行记录以体现控制的有效性（证据）

·       进行有针对性的应审准备，包括明确应审人员、应审材料的准备、各阶段时间的合理安排

·       根据审计发现制定合理有效的整改计划，并积极对整改措施的执行情况进行追踪

   中翔证检是标准测试和认证服务的创新者。翔标院隶属于中翔证检，经过多年的发展，翔标院逐渐发展成为一个多元化的培训与提供全面解决方案的专业服务机构。如需进一步了解详细信息，敬请登录其下网址：www.cfi-org.cn