TISAX关于“3”的那些事儿（上）

A3：TISAX流程3大步骤 

 

Step1注册：

TISAX有别于常见体系的地方之一，可以把TISAX看成个论坛、朋友圈，注册过程需明确范围、业务场景、评估级别（即E3）、信息安全管理现状（如ISMS建设或认证）等信息，注册成功后可以与业务伙伴在网站上分享相关信息。

Step2 评估：

TISAX用Assessment这个词，作用上与常见体系的Audit相差不大，有自评估、初始评估、后续评估的说法，自评估可视为内审，初始评估、后续评估可视为外审，但TISAX中后续评估不是外审的二次审核，也不是必经项，组织可以在初始评估中完全符合，进而一次性通过TISAX审核评估，获取标签。

Step3交换：

是TISAX关键功能之一，TISAX中文可翻译为可信信息安全交换，而最后的X来自Exchange，交换的是TISAX审核评估的结果。

B3：TISAX标准分3个管理域   

 

信息安全必选，原型保护和数据保护根据组织业务场景可选，即上述A3步骤step2需满足工作。

信息安全域聚焦信息资产的安全保障，与ISO27001:2013的对应关系如下：

 

原型保护域聚焦原型的安全保障，原型定义：被归类为需要保护但尚未向公众展示和/或OEM以适当形式发布的车辆、部件和零件。可以简单理解为组织为客户定制研发或被客户明确要求保护的车辆、部件和零件，即对“实物”的信息安全保护。

数据保护域聚焦个人数据的安全保障。定义了对组织、措施、流程、记录四个方面的要求，并援引了GDPR的相关条款，对合规性提出明确要求，但不参与成熟度打分。

C3：TISAX目标成熟度3分   

 

综合顶多扣掉0.3分，即2.7分以上且没有不符合，才有可能获取TISAX标签。

D3：TISAX体系3方面见证   

期望不用进入后续评估，而在初始评估中一次性高分或满分通过TISAX评估并拿到标签的组织，即满足C3，可以从【②组织执行流程和/或工具】满足【①规章制度要求】产生【③完整且可持续更新的记录】方面着手建立TISAX见证。