德國汽車工業(yè)協(xié)會 (VDA) 多年前開始推動成員企業(yè)符合信息安全標準，并建立VDA-ISA信息安全評估標準，于2017年聯(lián)合ENX協(xié)會推出Trusted Information Security Assessment Exchange (TISAX) 這一信息安全的評估和交換機制。

由汽車行業(yè)安全專家所開發(fā)，TISAX提供包含了針對汽車行業(yè)的虛擬、物理以及社會方面的信息安全需求目錄，該目錄被稱為信息安全評估ISA）。

博凌管理認證公司為您解讀TISAX與ISO/IEC 27001的關系，并總結要點。收藏這一篇，就已足夠！

1、TISAX與ISO/IEC 27001之間有何聯(lián)系

TISAX認證采用的VDA ISA評估標準與ISO/IEC 27001信息安全管理體系源遠流長，TISAX認證審核（基于VDA協(xié)會的ISA-Information Security Assessment安全評估標準）以ISO/IEC 27001為基礎，遵循其主要管理思路與原則，內(nèi)容也覆蓋了ISO/IEC 27001標準的基本要求。

2、標準的適用范圍

ISO/IEC 27001適用產(chǎn)業(yè)的范圍較TISAX廣。

TISAX安全審計聚焦在汽車行業(yè)相互接受信息安全評估，由ENX認可的第三方審核機構進行，并為專業(yè)交流提供共同的評估機制。

3、兩個標準之間是否有共同點？

TISAX可信信息安全評估與交換標準是基于ISO/IEC 27001信息安全管理體系標準擴展到包括汽車特定要求，所以二者之間的管理思路基本一致，同樣也按照控制域評估方式。

如ISO/IEC 27001:2013共有14個控制域114個控制項，TISAX ISA 5.0.3分為3個模塊（信息安全、數(shù)據(jù)安全、原型保護）和67個控制項，且二者之間也保持了一定的映射關系。

同樣，為保證審核的客觀、獨立性、公正性和證書或標簽的權威性，TISAX和ISO/IEC 27001都要求認證機構和咨詢機構為不同的單位。

4、兩個標準之間的不同點

TISAX以ISO/IEC 27001為基礎，遵循其主要原則，但也有一些不同之處。最重要的區(qū)別是TISAX定義了信息安全在汽車行業(yè)場景下的特定含義，包含有一些關于原型車輛、零部件、測試車輛的處理以及在活動期間保護信息的具體章節(jié)，而ISO/IEC 27001則是允許在不同場景下對信息安全定義有一定程度的不同解讀。

ISO/IEC 27001共包含兩部分，除了條文第四章至第十章，另外還有附錄 A的114個信息安全控制措施，通過ISO/IEC 27001認證代表企業(yè)已建立、實施及維持及持續(xù)改善ISMS要求之事項。

TISAX VDA-ISA 參考 ISO 27001、ISO 27002等規(guī)范外，并參照法規(guī)（例如: 通用數(shù)據(jù)保護法 GDPR）及汽車產(chǎn)業(yè)之要求作為管制項目。

不同點還體現(xiàn)在級別機制方面，ISO/IEC 27001無級別制，TISAX則采用級別制，共有三種審核等級 (Assessment level (AL)，企業(yè)可以自行選擇其需要通過的認證等級，AL1一般是自評，AL2和 AL3需要第三方稽核員對公司進行現(xiàn)場稽核，一般獲得 AL2和 AL3才能夠獲得TISAX的認可。ISO/IEC 27001證書是意味著通過審核和評審的結果，基本可理解對應TISAX的AL2。

TISAX證書的內(nèi)容根據(jù)不同對象劃分為若干等級，可在TISAX官方網(wǎng)站上查詢。對于普通大眾有四個等級。對于不同的合作伙伴可劃分為五個等級，其中最詳細的等級允許合作伙伴查看詳細的審核結果和成熟度等級描述等內(nèi)容。

兩者的另一個不同之處是評估方法。例如，ISO/IEC 27001要求進行年度審計，而TISAX則需要一次評估，有效期為三年。在一致性確認方面，ISO/IEC 27001頒發(fā)證書，而TISAX頒發(fā)標簽。對ISO/IEC 27001的認證是通過滿足標準的要求來實現(xiàn)的，而實現(xiàn)TISAX標簽的基礎是滿足VDA評估目錄中的評估目標的要求。

ISO/IEC 27001的證書內(nèi)，包含評估的基本信息，例如企業(yè)名稱、審核范圍和證書有效期等簡單描述等，不公布不符合項的數(shù)量和報告內(nèi)容等整體評估結果描述。ISO/IEC 27001的證書的內(nèi)容相當于TISAX 證書中面對普通大眾的等級。此外，ISO/IEC 27001的證書通常由獲證企業(yè)自愿、自行在網(wǎng)站上張貼并進行宣傳，或者認證機構的網(wǎng)站或監(jiān)管機構備案信息平臺上進行查詢。

5、TISAX的價值

行業(yè)內(nèi)的相互認可：所有VDA成員和OEM都需要獲得TISAX認證，以證明其能夠滿足外部需求方的直接要求，TISAX認證為汽車行業(yè)內(nèi)的信息安全評估提供了統(tǒng)一且有約束力的標準，評估結果得到其他TISAX參與者的共同認可，從而實現(xiàn)行業(yè)企業(yè)之間的安全互信；

避免多次檢查降低管理成本：TISAX認證基于統(tǒng)一的VDA-ISA安全評估目錄和標準，獲得TISAX標簽后，通常每三年只需要進行一次TISAX評估；

提升安全意識：員工的行為對公司內(nèi)部安全有重大影響，通過TISAX能夠有效提高員工安全意識與能力；

TIXSA認證與互信領域延伸

2021年，TISAX的審核對象一從傳統(tǒng)汽車產(chǎn)業(yè)鏈零部件供應商以及汽車市場研究、保險配套服務公司，擴展到自動駕駛、互聯(lián)網(wǎng)、車聯(lián)網(wǎng)研發(fā)類的高科技公司以及提供ICT支持相關服務（云計算、大數(shù)據(jù)分析和運營）的公司。

如阿里云在2019年10月10日正式通過了汽車行業(yè)TISAX，成為了亞洲第一家通過該認證的云廠商，2019年11月28日，華為稱其一次性通過了車載終端的TISAX認證。

通過TISAX認證，成為了組織滿足汽車行業(yè)乃至Mobility領域特定信息安全需求的強有力證明。