德國汽車工業(yè)協(xié)會 (VDA) 多年前開始推動成員企業(yè)符合信息安全標準，并建立VDA-ISA信息安全評估標準，于2017年聯(lián)合ENX協(xié)會推出Trusted Information Security Assessment Exchange (TISAX) 這一信息安全的評估和交換機制。

由汽車行業(yè)安全專家所開發(fā)，TISAX提供包含了針對汽車行業(yè)的虛擬、物理以及社會方面的信息安全需求目錄，該目錄被稱為信息安全評估ISA）。

博凌管理認證公司為您解讀TISAX與ISO/IEC 27001的關系，并總結(jié)要點。收藏這一篇，就已足夠！

1、TISAX與ISO/IEC 27001之間有何聯(lián)系

TISAX認證采用的VDA ISA評估標準與ISO/IEC 27001信息安全管理體系源遠流長，TISAX認證審核（基于VDA協(xié)會的ISA-Information Security Assessment安全評估標準）以ISO/IEC 27001為基礎，遵循其主要管理思路與原則，內(nèi)容也覆蓋了ISO/IEC 27001標準的基本要求。

2、標準的適用范圍

ISO/IEC 27001適用產(chǎn)業(yè)的范圍較TISAX廣。

TISAX安全審計聚焦在汽車行業(yè)相互接受信息安全評估，由ENX認可的第三方審核機構進行，并為專業(yè)交流提供共同的評估機制。

3、兩個標準之間是否有共同點？

TISAX可信信息安全評估與交換標準是基于ISO/IEC 27001信息安全管理體系標準擴展到包括汽車特定要求，所以二者之間的管理思路基本一致，同樣也按照控制域評估方式。

如ISO/IEC 27001:2013共有14個控制域114個控制項，TISAX ISA 5.0.3分為3個模塊（信息安全、數(shù)據(jù)安全、原型保護）和67個控制項，且二者之間也保持了一定的映射關系。

同樣，為保證審核的客觀、獨立性、公正性和證書或標簽的權威性，TISAX和ISO/IEC 27001都要求認證機構和咨詢機構為不同的單位。

4、兩個標準之間的不同點

TISAX以ISO/IEC 27001為基礎，遵循其主要原則，但也有一些不同之處。最重要的區(qū)別是TISAX定義了信息安全在汽車行業(yè)場景下的特定含義，包含有一些關于原型車輛、零部件、測試車輛的處理以及在活動期間保護信息的具體章節(jié)，而ISO/IEC 27001則是允許在不同場景下對信息安全定義有一定程度的不同解讀。

ISO/IEC 27001共包含兩部分，除了條文第四章至第十章，另外還有附錄 A的114個信息安全控制措施，通過ISO/IEC 27001認證代表企業(yè)已建立、實施及維持及持續(xù)改善ISMS要求之事項。

TISAX VDA-ISA 參考 ISO 27001、ISO 27002等規(guī)范外，并參照法規(guī)（例如: 通用數(shù)據(jù)保護法 GDPR）及汽車產(chǎn)業(yè)之要求作為管制項目。

不同點還體現(xiàn)在級別機制方面，ISO/IEC 27001無級別制，TISAX則采用級別制，共有三種審核等級 (Assessment level (AL)，企業(yè)可以自行選擇其需要通過的認證等級，AL1一般是自評，AL2和 AL3需要第三方稽核員對公司進行現(xiàn)場稽核，一般獲得 AL2和 AL3才能夠獲得TISAX的認可。ISO/IEC 27001證書是意味著通過審核和評審的結(jié)果，基本可理解對應TISAX的AL2。

TISAX證書的內(nèi)容根據(jù)不同對象劃分為若干等級，可在TISAX官方網(wǎng)站上查詢。對于普通大眾有四個等級。對于不同的合作伙伴可劃分為五個等級，其中最詳細的等級允許合作伙伴查看詳細的審核結(jié)果和成熟度等級描述等內(nèi)容。

兩者的另一個不同之處是評估方法。例如，ISO/IEC 27001要求進行年度審計，而TISAX則需要一次評估，有效期為三年。在一致性確認方面，ISO/IEC 27001頒發(fā)證書，而TISAX頒發(fā)標簽。對ISO/IEC 27001的認證是通過滿足標準的要求來實現(xiàn)的，而實現(xiàn)TISAX標簽的基礎是滿足VDA評估目錄中的評估目標的要求。

ISO/IEC 27001的證書內(nèi)，包含評估的基本信息，例如企業(yè)名稱、審核范圍和證書有效期等簡單描述等，不公布不符合項的數(shù)量和報告內(nèi)容等整體評估結(jié)果描述。ISO/IEC 27001的證書的內(nèi)容相當于TISAX 證書中面對普通大眾的等級。此外，ISO/IEC 27001的證書通常由獲證企業(yè)自愿、自行在網(wǎng)站上張貼并進行宣傳，或者認證機構的網(wǎng)站或監(jiān)管機構備案信息平臺上進行查詢。

5、TISAX的價值

行業(yè)內(nèi)的相互認可：所有VDA成員和OEM都需要獲得TISAX認證，以證明其能夠滿足外部需求方的直接要求，TISAX認證為汽車行業(yè)內(nèi)的信息安全評估提供了統(tǒng)一且有約束力的標準，評估結(jié)果得到其他TISAX參與者的共同認可，從而實現(xiàn)行業(yè)企業(yè)之間的安全互信；

避免多次檢查降低管理成本：TISAX認證基于統(tǒng)一的VDA-ISA安全評估目錄和標準，獲得TISAX標簽后，通常每三年只需要進行一次TISAX評估；

提升安全意識：員工的行為對公司內(nèi)部安全有重大影響，通過TISAX能夠有效提高員工安全意識與能力；

TIXSA認證與互信領域延伸

2021年，TISAX的審核對象一從傳統(tǒng)汽車產(chǎn)業(yè)鏈零部件供應商以及汽車市場研究、保險配套服務公司，擴展到自動駕駛、互聯(lián)網(wǎng)、車聯(lián)網(wǎng)研發(fā)類的高科技公司以及提供ICT支持相關服務（云計算、大數(shù)據(jù)分析和運營）的公司。

如阿里云在2019年10月10日正式通過了汽車行業(yè)TISAX，成為了亞洲第一家通過該認證的云廠商，2019年11月28日，華為稱其一次性通過了車載終端的TISAX認證。

通過TISAX認證，成為了組織滿足汽車行業(yè)乃至Mobility領域特定信息安全需求的強有力證明。