德國汽車工業(yè)協(xié)會(huì) (VDA) 多年前開始推動(dòng)成員企業(yè)符合信息安全標(biāo)準(zhǔn)，并建立VDA-ISA信息安全評估標(biāo)準(zhǔn)，于2017年聯(lián)合ENX協(xié)會(huì)推出Trusted Information Security Assessment Exchange (TISAX) 這一信息安全的評估和交換機(jī)制。

由汽車行業(yè)安全專家所開發(fā)，TISAX提供包含了針對汽車行業(yè)的虛擬、物理以及社會(huì)方面的信息安全需求目錄，該目錄被稱為信息安全評估ISA）。

博凌管理認(rèn)證公司為您解讀TISAX與ISO/IEC 27001的關(guān)系，并總結(jié)要點(diǎn)。收藏這一篇，就已足夠！

1、TISAX與ISO/IEC 27001之間有何聯(lián)系

TISAX認(rèn)證采用的VDA ISA評估標(biāo)準(zhǔn)與ISO/IEC 27001信息安全管理體系源遠(yuǎn)流長，TISAX認(rèn)證審核（基于VDA協(xié)會(huì)的ISA-Information Security Assessment安全評估標(biāo)準(zhǔn)）以ISO/IEC 27001為基礎(chǔ)，遵循其主要管理思路與原則，內(nèi)容也覆蓋了ISO/IEC 27001標(biāo)準(zhǔn)的基本要求。

2、標(biāo)準(zhǔn)的適用范圍

ISO/IEC 27001適用產(chǎn)業(yè)的范圍較TISAX廣。

TISAX安全審計(jì)聚焦在汽車行業(yè)相互接受信息安全評估，由ENX認(rèn)可的第三方審核機(jī)構(gòu)進(jìn)行，并為專業(yè)交流提供共同的評估機(jī)制。

3、兩個(gè)標(biāo)準(zhǔn)之間是否有共同點(diǎn)？

TISAX可信信息安全評估與交換標(biāo)準(zhǔn)是基于ISO/IEC 27001信息安全管理體系標(biāo)準(zhǔn)擴(kuò)展到包括汽車特定要求，所以二者之間的管理思路基本一致，同樣也按照控制域評估方式。

如ISO/IEC 27001:2013共有14個(gè)控制域114個(gè)控制項(xiàng)，TISAX ISA 5.0.3分為3個(gè)模塊（信息安全、數(shù)據(jù)安全、原型保護(hù)）和67個(gè)控制項(xiàng)，且二者之間也保持了一定的映射關(guān)系。

同樣，為保證審核的客觀、獨(dú)立性、公正性和證書或標(biāo)簽的權(quán)威性，TISAX和ISO/IEC 27001都要求認(rèn)證機(jī)構(gòu)和咨詢機(jī)構(gòu)為不同的單位。

4、兩個(gè)標(biāo)準(zhǔn)之間的不同點(diǎn)

TISAX以ISO/IEC 27001為基礎(chǔ)，遵循其主要原則，但也有一些不同之處。最重要的區(qū)別是TISAX定義了信息安全在汽車行業(yè)場景下的特定含義，包含有一些關(guān)于原型車輛、零部件、測試車輛的處理以及在活動(dòng)期間保護(hù)信息的具體章節(jié)，而ISO/IEC 27001則是允許在不同場景下對信息安全定義有一定程度的不同解讀。

ISO/IEC 27001共包含兩部分，除了條文第四章至第十章，另外還有附錄 A的114個(gè)信息安全控制措施，通過ISO/IEC 27001認(rèn)證代表企業(yè)已建立、實(shí)施及維持及持續(xù)改善ISMS要求之事項(xiàng)。

TISAX VDA-ISA 參考 ISO 27001、ISO 27002等規(guī)范外，并參照法規(guī)（例如: 通用數(shù)據(jù)保護(hù)法 GDPR）及汽車產(chǎn)業(yè)之要求作為管制項(xiàng)目。

不同點(diǎn)還體現(xiàn)在級別機(jī)制方面，ISO/IEC 27001無級別制，TISAX則采用級別制，共有三種審核等級 (Assessment level (AL)，企業(yè)可以自行選擇其需要通過的認(rèn)證等級，AL1一般是自評，AL2和 AL3需要第三方稽核員對公司進(jìn)行現(xiàn)場稽核，一般獲得 AL2和 AL3才能夠獲得TISAX的認(rèn)可。ISO/IEC 27001證書是意味著通過審核和評審的結(jié)果，基本可理解對應(yīng)TISAX的AL2。

TISAX證書的內(nèi)容根據(jù)不同對象劃分為若干等級，可在TISAX官方網(wǎng)站上查詢。對于普通大眾有四個(gè)等級。對于不同的合作伙伴可劃分為五個(gè)等級，其中最詳細(xì)的等級允許合作伙伴查看詳細(xì)的審核結(jié)果和成熟度等級描述等內(nèi)容。

兩者的另一個(gè)不同之處是評估方法。例如，ISO/IEC 27001要求進(jìn)行年度審計(jì)，而TISAX則需要一次評估，有效期為三年。在一致性確認(rèn)方面，ISO/IEC 27001頒發(fā)證書，而TISAX頒發(fā)標(biāo)簽。對ISO/IEC 27001的認(rèn)證是通過滿足標(biāo)準(zhǔn)的要求來實(shí)現(xiàn)的，而實(shí)現(xiàn)TISAX標(biāo)簽的基礎(chǔ)是滿足VDA評估目錄中的評估目標(biāo)的要求。

ISO/IEC 27001的證書內(nèi)，包含評估的基本信息，例如企業(yè)名稱、審核范圍和證書有效期等簡單描述等，不公布不符合項(xiàng)的數(shù)量和報(bào)告內(nèi)容等整體評估結(jié)果描述。ISO/IEC 27001的證書的內(nèi)容相當(dāng)于TISAX 證書中面對普通大眾的等級。此外，ISO/IEC 27001的證書通常由獲證企業(yè)自愿、自行在網(wǎng)站上張貼并進(jìn)行宣傳，或者認(rèn)證機(jī)構(gòu)的網(wǎng)站或監(jiān)管機(jī)構(gòu)備案信息平臺(tái)上進(jìn)行查詢。

5、TISAX的價(jià)值

行業(yè)內(nèi)的相互認(rèn)可：所有VDA成員和OEM都需要獲得TISAX認(rèn)證，以證明其能夠滿足外部需求方的直接要求，TISAX認(rèn)證為汽車行業(yè)內(nèi)的信息安全評估提供了統(tǒng)一且有約束力的標(biāo)準(zhǔn)，評估結(jié)果得到其他TISAX參與者的共同認(rèn)可，從而實(shí)現(xiàn)行業(yè)企業(yè)之間的安全互信；

避免多次檢查降低管理成本：TISAX認(rèn)證基于統(tǒng)一的VDA-ISA安全評估目錄和標(biāo)準(zhǔn)，獲得TISAX標(biāo)簽后，通常每三年只需要進(jìn)行一次TISAX評估；

提升安全意識：員工的行為對公司內(nèi)部安全有重大影響，通過TISAX能夠有效提高員工安全意識與能力；

TIXSA認(rèn)證與互信領(lǐng)域延伸

2021年，TISAX的審核對象一從傳統(tǒng)汽車產(chǎn)業(yè)鏈零部件供應(yīng)商以及汽車市場研究、保險(xiǎn)配套服務(wù)公司，擴(kuò)展到自動(dòng)駕駛、互聯(lián)網(wǎng)、車聯(lián)網(wǎng)研發(fā)類的高科技公司以及提供ICT支持相關(guān)服務(wù)（云計(jì)算、大數(shù)據(jù)分析和運(yùn)營）的公司。

如阿里云在2019年10月10日正式通過了汽車行業(yè)TISAX，成為了亞洲第一家通過該認(rèn)證的云廠商，2019年11月28日，華為稱其一次性通過了車載終端的TISAX認(rèn)證。

通過TISAX認(rèn)證，成為了組織滿足汽車行業(yè)乃至Mobility領(lǐng)域特定信息安全需求的強(qiáng)有力證明。