项目概述：

TISAX 专为汽车产业链打造，对标 ISO27001 信息安全体系，聚焦车企、零部件供应商、软件服务商、研发机构等上下游企业数据安全、网络安全、研发信息保密、客户数据防护，是进入大众、宝马、奔驰、奥迪等主流车企供应链必备准入门槛，评估结果全行业互认通用。

关注点（核心要素）

针对 TISAX 的汽车行业特性，建议重点关注以下核心领域：

信息安全管理体系（ISMS）‍：

虽然 TISAX 与 ISO 27001 存在重叠，但其评估标准（VDA ISA Catalog）更具行业针对性。建议企业在原有 ISO 27001 基础上，针对汽车行业的“原型保护”和“数据保护”进行补强。

原型保护（Prototype Protection）‍：

这是 TISAX 独有且核心的要求。针对涉及汽车原型、设计图纸或关键技术的部门（如研发部门），必须实施严格的访问控制和泄密防护机制。

供应链安全协同：

TISAX 的优势在于结果共享。企业需要评估不仅是自身的安全水平，还要评估供应链合作伙伴的安全成熟度，确保“安全链条”闭环。

版本合规性（Version 6.0）‍：

2024 年 4 月起，TISAX 正式执行新版 ISA 6.0 标准。新版本强调了 IT/OT 的连续性（Continuity）和对 ISO/IEC 27001:2022 以及 NIST CSF 1.1 的引用。

TISAX评估级别（Assessment Levels）

标签不仅代表“通过”或“未通过”，还对应了具体的成熟度等级（AL），这直接影响标签的有效性。

AL 1（Standard）‍

状态：仅用于内部自评（Self-Assessment）。

结果：无法获得外部可共享的TISAX标签。通常用于准备阶段。

AL 2（High）‍

状态：对应“高保护需求”的外部审计。

结果：如果通过审计，将获得有效的TISAX标签（可以在ENX平台上共享）。适用于处理“高敏感性”信息的企业。

AL 3（Very High）‍

状态：对应“非常高保护需求”的外部审计。

结果：获得最高等级的TISAX标签，适用于处理“极其敏感”信息（如原型部件）的企业。

适合的企业类型

TISAX 认证适用于所有涉及汽车信息流转的企业，特别是以下领域：

一级供应商（Tier 1）‍：直接向 OEM（如大众、丰田）提供整车零部件（如座椅、仪表盘）或系统（如车机系统）的企业，通常是最早受到要求的对象。

二级及以下供应商（Tier 2/3）‍：虽然直接要求略低，但如果涉及到关键部件（如传感器、控制芯片）或原型保护，同样需要取得 TISAX 认证。

汽车软件与云服务提供商：随着自动驾驶和车联网的发展，提供车载软件、云平台（如 Azure、AWS）服务的企业也需要符合 TISAX 要求。

汽车电子与 IT 服务商：提供制造执行系统（MES）、供应链管理系统（SCM）等 IT 支持服务的企业。

重点合规管控要求

• 建立正式信息安全管理制度与岗位职责

• 划分内网、外网、涉密网络，实现网络物理隔离

• 员工安全培训、权限分级、离岗涉密信息回收

• 办公电脑、服务器、移动设备安全加密管控

• 云端数据备份、漏洞排查、病毒防护常态化执行

• 对外合作签订信息安全保密协议，严控数据外传

• 制定网络攻击、数据泄露、系统故障应急处置预案

• 定期开展内部自查、风险识别与安全整改

认证流程

TISAX 认证：安全分级适配 + 全链合规落地流程

1. 前期调研诊断

全面排查企业现有安全漏洞，对照 TISAX 条款梳理差距，出具整改清单。

2. 体系文件搭建

编制信息安全手册、管理制度、流程文件、记录表单，完成文件化搭建。

3. 现场落地整改

优化网络架构、加密防护、区域划分、权限管理，落实各项安全管控措施。

4. 内部自评演练

模拟正式评审全流程，查漏补缺，完善资料与现场实操规范。

5. 正式线上自评

按照官方平台完成问卷填写，如实填报企业安全管理现状。

6. 第三方现场评审

权威评审机构上门实地核查文件、现场、人员实操，出具评审意见。

7. 问题整改闭环

针对不符合项完成整改提交，直至全部满足评审要求。

8. 结果公示获证

评审通过后录入 TISAX 全球平台，发放有效评估结果，全行业可查询互认。

证书样本