TISAX认证

VDA于2017年联合ENX推出新的”可信信息安全评估交换Trusted Information Security Assessment Exchange (TISAX)”机制，此机制可以实现汽车行业信息安全评估的相互认可，并提供通用的评估和交换机制。
TISAX评估流程
目前主流德国主机厂已强制要求通过TISAX认证才能够和他们交换数据。
为了通过机构的认证，企业通常需要通过以下步骤完成最终的评估工作。
评估准备
在TISAX网站注册，获取ID。并与客户确认评估范围及评估等级。选择评估机构并准备相关的自评估文件。准备过程中，也可视情况获得相应的咨询与培训服务。
评估执行
评估机构召开启动会议，开始正式的评估工作。通过文件审查，现场评估，得出企业信息安全的评估结果。
问题整改
末次会议后9个月内，需完成所有的问题整改，并视情况完成后续的现场跟踪评审。认证机构会完成最终的评估报告。
结果交互
认证机构在TISAX网站上上传最终的评估报告，并申请TISAX标签。企业可通过与客户分析评估结果，以获得与客户数据交互的权限。

TISAX认证的价值
通过TISAX认证企业，能够获取以下效益：
1、满足外部需求方直接要求，行业内相互认可：所有VDA成员和OEM都需要TISAX认证，TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力标准，评估结果得到其他TISAX参与者共同认可从而实现汽车行业企业之间安全互信；
2、避免多次检查，降低管理成本：TISAX认证基于统一的VDA-ISA安全评估目录和标准，通常每三年只需要进行一次TISAX评估；
3、提升员工安全意识，员工是公司信息安全保护的重要资源与手段，他们的行为对公司内部的安全有重大影响，通过TISAX提高员工安全意识与能力。

TISAX 评估等级

根据保护要求的不同，TISAX分为AL1、AL2、AL3三个级别。其中，AL2为高保护级别，审核方根据“高保护要求”进行审核，审核可远程进行，最终获得2级标签；AL3则为极高保护级别，通过后可获得TISAX 3级标签。若企业需要审核样件，则审核级别必须定为AL3， AL3级别的企业必须接受现场审核。

TISAX等级要求

TISAX认证审核内容

信息安全与网络安全：内容涉及密码学，操作安全，系统采购、需求管理和开发。
人力资源安全：内容涉及内外部品工遵循信息安全规定的程度，内外部品工遵守信息安全策略的程度
供应商关系：内容涉及供应商获得公司信息资产时的风险控制，供应商服务的定期检测、审查和审计。
信息安全制度与组织：内容涉及信息安全策略的创建，发布或分发及定期审查，资产管理，信息安全风险管理
物理环境安全：内容涉及对敏感信息外理设施的安全区域的定义，保护和监测，对自然灾害，故音袭击或事故产生影响的应对，信息安全要求和危机事件下的 ISMS的连续性的界定、实施、核实和评估。
访问控制：内容涉及访问IT系统政策和程序的适用性，特权用户和技术账户的分配和使用的监督审查，用户遵守创建和处理机密信息约束性政策的情况，授权人员的信息和应用程序的获取，与其他组织共享的环境中的数据分离。
数据保护：内容涉及数据保护的实施程度，个人身份数据外理的合法性保障措施，内部或工作流程在数据保护法规下进行，有关外理流程在何种程度上记录了其可受理性。
合规：内容涉及相关法律(特定国家)法规和合同要求的符合情况，个人身份信息的保护，独立第三方定期或发生重大变化时对ISMS的审核。
样件保护：除物理及环境要求、组织架构要求外，内容还涉及整车及零配件处理(车辆或部件在运输过程中根据客户要求的保护情况，停放/存放需要保护车辆或部件的实施情况)，测试车要求(预先定义的伪装法规的实施情况，测试场地的保护措施，公开批准试驾的保护措施)，活动拍摄及拍照要求(涉及车辆、部件或配件的演示和活动的安全要求，涉及车辆、部件或配件的胶片和照片拍摄的保护措施)。

IATF16949认证咨询服务中心专注TISAX认证,TISAX认证咨询,TISAX认证培训,TISAX认证标准,TISAX认证资料下载服务,老牌机构,主机厂与老牌认证机构推荐单位,值得托付与信赖。