1. TISAX是什么

TISAX（Trusted Information Security Assessment Exchange）即可信信息安全评估交换，是一种基于汽车行业需求开发的信息安全评估和交换机制 ，旨在评估企业在信息安全、数据保护等方面的管理水平和控制措施是否有效，为汽车供应链中的数据交换和合作提供信任基础。

2. TISAX对企业的好处，为什么要做TISAX评估？

为了回答这个问题，我们首先大致思考一下商业交易的规则，尤其是涉及到信息保护这方面。

想象您有一个合作伙伴，他手握机密信息，并希望与供应商，也就是您进行共享。您与这名合作伙伴之间的合作可以创造价值，而该合作伙伴与您共享信息，则是价值创造中的一个重要环节。所以，他想要采取适当的保护措施，并希望您本人也以同样谨慎的态度来处理保密信息。

然而，他如何能保证可以放心地将自己的信息交于他人？他总不可能盲目地去“相信”您。作为合作伙伴，需要眼见为实，方可证明对方有这个能力。

那么问题来了，由谁来定义信息处理的“安全”标准？以及如何证明自己符合标准要求？因此TISAX意义就产生了：

增强信任：在汽车供应链合作中，通过TISAX认证向合作伙伴展示企业具备完善的信息安全管理体系，增强对方对本企业数据保护能力的信任，有助于建立长期稳定的合作关系。

符合法规和行业要求：随着数据安全法规日益严格，TISAX认证帮助企业满足相关法规要求，同时也符合汽车行业对信息安全的高标准要求，避免因违规而面临的法律风险和声誉损失。

提升企业竞争力：拥有TISAX认证是企业信息安全管理水平的有力证明，在市场竞争中能够脱颖而出，吸引更多优质客户和合作伙伴，开拓业务机会。

优化内部管理：认证过程促使企业对自身信息安全管理流程进行全面梳理和优化，发现潜在的安全漏洞和管理缺陷，提高企业整体运营效率和风险管理能力。

3. 哪些企业需要TISAX

汽车制造商：作为汽车供应链的核心，需要确保自身信息系统和生产运营中的数据安全，同时也需要向供应商和合作伙伴展示其信息安全管理能力。

汽车零部件供应商：为汽车制造商提供零部件产品和服务，在合作过程中涉及大量敏感数据交换，如设计图纸、技术规格、生产计划等，需要通过TISAX认证来保障数据安全，满足主机厂的要求。

汽车行业的服务提供商：包括物流企业、信息技术服务公司、咨询公司等，这些企业在为汽车行业客户提供服务时，会接触到客户的关键信息，通过TISAX认证可以证明其具备保护客户数据的能力。

4. TISAX认证流程

选择评估机构：企业需选择经认可的TISAX评估机构，这些机构具备专业的评估能力和资质。

提交申请：向选定的评估机构提交TISAX认证申请，并提供相关企业信息和申请评估的范围等资料。

文件审查：评估机构对企业提交的文件进行审查，主要检查企业的信息安全管理体系文件是否符合TISAX的要求，包括政策、流程、制度等方面。

现场评估：评估机构安排评估人员到企业进行现场评估，通过访谈员工、检查系统和记录等方式，验证企业信息安全管理措施的实际执行情况。

不符合项整改：如果现场评估发现不符合项，企业需要根据评估机构提出的整改要求，在规定时间内完成整改，并提交整改报告。

评估报告出具与认证授予：评估机构根据文件审查和现场评估结果，出具评估报告。如果企业满足TISAX要求，将被授予相应等级的TISAX认证证书。

5. TISAX认证周期

首次认证周期：从提交申请到获得认证证书，整个过程通常需要3 - 6个月左右，具体时间取决于企业的规模、复杂程度以及准备情况等因素。

持续认证周期：TISAX认证证书有效期一般为三年，在有效期内，企业需要接受监督审核，通常每年进行一次，以确保企业持续保持符合TISAX要求的信息安全管理水平。

6. TISAX认证的办理条件

TISAX（可信信息安全评估交换平台）认证是汽车行业信息安全管理的核心标准，其办理条件主要涵盖企业资质、管理体系、整改能力及合规准备等方面：

1）. 行业资质要求

汽车产业链企业：必须属于汽车行业供应链相关企业，包括汽车制造商、零部件供应商、IT服务商、物流公司、原材料供应商等。

若涉及敏感数据处理（如设计图纸、客户信息等），需进一步满足特定保护要求（如原型保护、数据保护模块）。

合法经营证明：需提供营业执照、组织机构代码证等合法经营资质文件。

需证明与汽车行业客户的合作关系（如合同、订单等）以符合供应链要求。

2）. 信息安全管理体系（ISMS）

体系搭建：建立符合ISO/IEC 27001标准的信息安全管理体系，覆盖政策、流程、技术控制措施等。

需制定信息安全政策、风险评估机制、访问控制流程等核心文件。

风险评估能力：定期开展信息安全风险评估，识别潜在威胁（如数据泄露、网络攻击），并制定应对措施。

提供近期的风险评估报告及整改记录3 6。

3）. 技术与管理基础

技术资产要求：具备与业务规模匹配的IT基础设施，包括网络架构、数据存储设备、安全防护工具（如防火墙、加密系统）。

提供网络拓扑图、设备清单等技术文档4 9。

人员配置：设立专门的信息安全团队或指定负责人，确保体系有效运行。

员工需接受定期信息安全培训，并提供培训记录（如培训计划、签到表、考核结果）。

4）. 整改与合规准备

自查与整改：根据VDA-ISA标准进行内部自查，识别与TISAX要求的差距，并制定整改计划（如更新流程、优化技术措施）。

提交整改措施报告及实施证据（如系统升级记录、流程修订文件）。

合规性证明：遵守相关法律法规（如GDPR、中国《数据安全法》）及行业规范。

若已获得ISO 27001等认证，可提供证书作为辅助材料4 9。

5）. 注册与审核流程

ENX平台注册：在TISAX官网（ENX平台）完成注册，获取“TISAX参与者ID”，确定审核范围（如信息安全等级、涉及模块）。

选择认证机构：需选择ENX认可的第三方审核机构（如TÜV、DEKRA），提交申请并签署服务协议。

申报材料清单

根据要求，企业需准备以下材料：

企业基本信息：营业执照、组织架构图、邓氏编码（D-U-N-S）。

管理体系文件：信息安全政策、风险评估报告、内部审核报告。

技术文档：IT基础设施清单、网络拓扑图、安全事件处理记录。

培训与整改记录：员工培训档案、整改计划及实施证据。

合规证明：过往认证证书（如ISO 27001）、法律合规声明。

7. TISAX评估的标签级别又是什么？

TISAX标签级别根据信息保护需求的不同进行分级，涵盖评估等级、标签类型及适用场景，以下是综合整理的关键信息：

一、评估级别（Assessment Level, AL）

TISAX定义了三个评估等级，对应不同的保护需求与审核强度：

AL1（正常保护级别）：

特点：仅需企业自评估，无需外部审核，结果仅限内部使用，无法获得TISAX标签。

适用场景：适用于基础信息安全要求，如检查是否建立基本制度（如信息安全方针、访问控制策略）。

AL2（高保护级别）：

特点：需第三方审核机构进行文件审查和非现场访谈（如电话/网络），通常不包含现场检查（除非涉及原型保护模块）。

标签类型：通过后可获得“高保护级别”标签（如“Info high”）。

AL3（极高保护级别）：

特点：必须由第三方机构进行现场审核，审核范围更广、强度更高，包含面对面访谈和系统检查。

适用场景：处理高度敏感数据（如原型样件、核心设计）或主机厂强制要求（如大众、宝马要求供应商必须通过AL3）。

二、标签类型与层次结构

TISAX标签分为必选和可选模块，现行版本（6.0）共定义了10类标签：

。

三、标签有效期与适用范围

有效期：通过审核后，标签有效期为3年，但若企业发生重大变更（如搬迁、业务扩展），有效期可能缩短。

适用企业：必选：汽车制造商、零部件供应商、IT服务商等涉及敏感数据交换的企业。

可选：自动驾驶技术商、地图服务商等需原型或数据保护的企业5。

四、选择建议

主机厂要求：若客户（如大众、宝马）明确要求AL3，则必须申请包含原型保护模块的AL3认证。

成本与效率：AL2适合远程审核，周期短、成本低。

AL3需现场审核，费用更高，但满足更高安全需求和市场竞争优势。

通过TISAX认证的标签体系，企业可灵活匹配客户需求，提升供应链信任度与合规竞争力。如需具体评估范围规划或审核机构选择，可参考相关流程指南。

8. TISAX评估的费用会是多少？

费用明细包含如下：官网注册费405欧元、审核费，咨询费，整改费、咨询差旅费等合计约数万至数十万元，具体取决于企业规模及审核复杂度。具体可以电话联系我们13524162964 孟先生