什么是TISAX？TISAX认证/评估的一般流程是什么？进行TISAX 审核主要都包括哪些内容？

1、什么是TISAX®？

TISAX ®是由德国汽车工业协会（VDA）基于ISO/IEC 27001的要求开发的信息安全评估（ISA）目录。ENX协会作为TISAX ®的管理组织，负责TISAX ®的改进与发展，监督TISAX®的审核供应商和评估执行以及质量保证。

TISAX®评估方案确保汽车制造商、服务提供商和供应商之间的信息安全水平一致。它通过确保制造过程中的保密性、完整性和可用性来帮助保护数据。专用的在线平台可以在汽车行业内交换信息安全评估结果。

TISAX一共有AL1，AL2，AL3三个级别。其中 AL2，AL3由授权的第三方认证机构进行评估，企业通过后可以使用TISAX标签。现行TISAX（5.1版本）目前一共定义了10个标签，包括：2个信息安全标签（必选），2个可用性标签，4个原型保护标签（可选）以及2个数据保护标签（可选），企业通过申请，通过评估后获得相应标签。

SGS的快速安全评估流程——四步法

l  通过 TISAX® 在线 平台 注册 获得注册文件——客户行为

首先，需要在TISAX®平台上注册。一旦完成，就可以选择SGS作为您的审核供应商进行评估（根据TISAX®的报价）。注册成功后获得注册文件-范围登记摘录。

l  选择 和 聘用 一个审核 供应商——客户行为

为了确保信息的安全，审核机构根据保护要求提供不同的评估等级。这些等级又根据评估程序进行细分。

l  非现场评估或 现场评估——SGS

评估：

级别 2基于文件审查与合理性检查以及非现场访谈（电话，网络）

级别 3基于文件审查，进行合理性检查，并进行现场评估

l  交流评估结果——客户行为

被评估公司通过ENX专用平台，与其他参与者交换评估结果。

2、TISAX®认证的一般流程：

• 企业在ENX网站上，注册全部信息，成为TISAX参与者；

• 企业选择TISAX审核机构，签订《认证审核合同》；

• 企业建立TISAX体系并开展自评估，填写VDA-ISA表格内容并完成成熟度的打分。必要时可由外部咨询公司提供专业支持；

• 召开kick-off meeting；

• 企业接受审核机构的初始审核；

• 制定整改行动计划提交审核机构；

• 完成纠正计划审核（可选）；

• 实施整改计划；

• 完成跟进审核（限9个月内）；

• 获得TISAX标签（Label），审核结果发布和共享。

• 三年内再次完成以上流程，标签维持。

3、第三方机构进行TISAX®评估的主要包括哪些内容

• TISAX是成熟度评估，其评估基于VDA ISA的评估表。

• VDA ISA当前版本（V5.X）一共有三个部分67个控制措施组成：

• 信息安全含可用性（41个控制点）

• 原型保护（22个控制点）

• 数据保护（4个控制点）

• 第三方认证机构将按照VDA ISA评估表所列项目对企业进行评估，综合得分达到2.7分以上且没有不符合项遗留，合格；