项目概述：

TISAX（可信信息安全评估交换）它由全球主流车企、零部件供应商及行业机构联合推动，适配汽车行业原型数据、工艺机密、客户信息等敏感数据的保护需求，通过统一的信息安全评估标准与结果互认机制，规范汽车供应链全链条的信息安全管理实践，降低网络攻击、数据泄露等风险，构建可信、高效、协同的汽车行业信息安全合作生态。

关注点（核心要素）

针对 TISAX 的汽车行业特性，建议重点关注以下核心领域：

信息安全管理体系（ISMS）‍：

虽然 TISAX 与 ISO 27001 存在重叠，但其评估标准（VDA ISA Catalog）更具行业针对性。建议企业在原有 ISO 27001 基础上，针对汽车行业的“原型保护”和“数据保护”进行补强。

原型保护（Prototype Protection）‍：

这是 TISAX 独有且核心的要求。针对涉及汽车原型、设计图纸或关键技术的部门（如研发部门），必须实施严格的访问控制和泄密防护机制。

供应链安全协同：

TISAX 的优势在于结果共享。企业需要评估不仅是自身的安全水平，还要评估供应链合作伙伴的安全成熟度，确保“安全链条”闭环。

版本合规性（Version 6.0）‍：

2024 年 4 月起，TISAX 正式执行新版 ISA 6.0 标准。新版本强调了 IT/OT 的连续性（Continuity）和对 ISO/IEC 27001:2022 以及 NIST CSF 1.1 的引用。

TISAX评估级别（Assessment Levels）

标签不仅代表“通过”或“未通过”，还对应了具体的成熟度等级（AL），这直接影响标签的有效性。

AL 1（Standard）‍

状态：仅用于内部自评（Self-Assessment）。

结果：无法获得外部可共享的TISAX标签。通常用于准备阶段。

AL 2（High）‍

状态：对应“高保护需求”的外部审计。

结果：如果通过审计，将获得有效的TISAX标签（可以在ENX平台上共享）。适用于处理“高敏感性”信息的企业。

AL 3（Very High）‍

状态：对应“非常高保护需求”的外部审计。

结果：获得最高等级的TISAX标签，适用于处理“极其敏感”信息（如原型部件）的企业。

适合的企业类型

TISAX 认证适用于所有涉及汽车信息流转的企业，特别是以下领域：

一级供应商（Tier 1）‍：直接向 OEM（如大众、丰田）提供整车零部件（如座椅、仪表盘）或系统（如车机系统）的企业，通常是最早受到要求的对象。

二级及以下供应商（Tier 2/3）‍：虽然直接要求略低，但如果涉及到关键部件（如传感器、控制芯片）或原型保护，同样需要取得 TISAX 认证

。

汽车软件与云服务提供商：随着自动驾驶和车联网的发展，提供车载软件、云平台（如 Azure、AWS）服务的企业也需要符合 TISAX 要求。

汽车电子与 IT 服务商：提供制造执行系统（MES）、供应链管理系统（SCM）等 IT 支持服务的企业。

认证流程

TISAX 认证：安全分级适配 + 全链合规落地流程

1. 安全等级适配与合规资料归集

等级选定：基础安全需求适配 AL1（基础级），供应链协同场景适配 AL2（进阶级），高敏数据（原型 / 核心技术）场景适配 AL3（高敏级）。

资料清单：信息安全管理体系文件、数据安全风险评估报告、网络安全拓扑图、权限管理台账、供应商安全评估记录、内部安全审计报告等。

2. 安全维度全场景核验

核验核心：AL1 聚焦基础安全合规（数据存储、访问授权），AL2 强化风险防控（漏洞治理、应急响应），AL3 侧重高敏数据全周期防护（采集 - 传输 - 销毁）。

实施路径：体系文档专项核验 + 现场安全配置核查 + 跨岗位人员访谈（IT / 研发 / 供应链） + 技术实操测试（漏洞扫描、权限校验）。

3. 安全缺陷分级处置与闭环优化

分级标准：一般安全缺陷（局部执行不到位）、重要安全缺陷（关键流程缺失）、严重安全缺陷（核心安全机制失效），严重缺陷终止认证流程。

优化要求：深挖风险根源，制定可落地的安全改进方案，明确责任主体与完成时限，提交包含优化文件、测试数据的佐证材料，待认证机构复核通过。

4. 认证资质动态维护与价值转化

维护规则：认证结果有效期 3 年，每年开展 1 次监督核验，企业业务范围、安全架构等重大变更需提前向 ENX 平台报备。

价值呈现：获取主流车企供应链准入核心凭证，ENX 平台互认免除重复审核，强化企业信息安全防护能力，提升品牌可信度与市场合作竞争力。

证书样本