一、认识TISAX
对于汽车行业供应商而言,“信息安全”不再只是一个IT部门的技术问题,而是关乎能否顺利进入供应链的“准入门槛”。
TISAX,全称Trusted Information Security Assessment Exchange(可信信息安全评估交换),是由德国汽车工业协会(VDA)与ENX协会联合推出的汽车行业信息安全评估与交换机制。它基于VDA ISA(信息安全评估)标准,旨在实现汽车产业链上下游之间的信息安全评估结果互认。
为什么TISAX如此重要?
在TISAX推出之前,每家汽车主机厂(OEM)都有自己的一套供应商安全审核标准,这意味着一个供应商若同时服务大众、宝马、奔驰,就需要“陪考”三遍,耗费大量时间和成本。TISAX的出现让“一次评估,多方认可”成为可能。截至2026年2月,全球已有超过20,000个评估完成,TISAX正从“加分项”转变为进入OEM供应链的“入场券”。
谁需要TISAX?
如果你的企业正在或希望成为汽车主机厂的供应商,且涉及以下任一场景,TISAX评估几乎是必经之路:
二、评估之前:理解三大核心概念
在正式启动前,企业需要先理解TISAX评估的三大基石:评估级别、评估范围和评估标签。
2.1 评估级别(Assessment Level, AL)
TISAX根据所处理信息的敏感程度,将评估分为三个级别:
企业应如何选择? 通常情况下,评估级别由合作的OEM指定。若企业可自主选择,AL2或AL2.5是多数供应商的起步选择;若涉及原型保护,AL3几乎是强制要求。
小贴士:如果OEM尚未明确要求,提前获得AL3可能是一个更具前瞻性的选择——这等于一次性通过了行业内最严格的审核,未来即使客户要求升级也无需重复评估。
2.2 评估范围(Scope)
评估范围定义了“哪些业务、哪些场所”需要被纳入审核。TISAX允许企业选择:
简化SaaS应用方案:若企业希望降低评估复杂度,可以主动将部分IT流程外包给已通过TISAX认证的SaaS服务商(如安全的云存储、办公协作平台),从而有效缩小评估边界。
2.3 评估标签
ISA 6.0版对标签体系进行了革新,不再使用笼统的“高”和“非常高”,而是按三个维度分别评估:
-
保密性:高 / 严格
-
可用性:高 / 非常高
-
完整性:高 / 非常高
此外,还设有专门针对原型保护(零部件、整车、测试车、活动)和数据保护(一般个人信息、特殊类别个人数据)的标签。企业需根据实际业务场景选择对应的标签类型。
三、TISAX评估六步法
第1步:准备与注册
明确需求,组建团队
在正式开始前,先搞清楚三个问题:
-
合作OEM要求的具体评估级别和标签是什么?
-
哪些业务单元、场所、系统需要纳入评估范围?
-
谁来做?——建议组建由IT、信息安全、法务、生产、人力资源等关键部门人员组成的跨部门项目团队
在ENX平台注册
访问ENX官网(enx.com)完成以下事项:
注册完成后,系统会分配一个唯一的范围ID(Scope ID),后续所有操作都将与此ID绑定。
第2步:自我评估(AL1)
自我评估是强制性步骤,也是后续正式审核的基础。
核心工具:VDA ISA问卷
VDA ISA问卷是TISAX评估的标准工具,最新版本为6.0.3,涵盖以下核心模块:
操作方法:
-
逐项回答VDA ISA问卷(约200个检查项)
-
针对每项要求,评估当前实践与标准的差距
-
收集并整理证据——政策文档、配置记录、培训签到表、访问审批单、审计日志等
-
将自评结果上传至ENX平台
残余风险的处理
在自我评估过程中,必定会遇到“无法完全满足”的控制项(如因成本或技术原因暂时无法落实的高成本防护措施)。这时需要:
-
将这些问题点记录为残余风险
-
由管理层正式签字确认接受(而非部门经理)
-
确保在风险评估报告中明确描述残余风险的背景与理由
第3步:选择审核机构
选择一家经ENX认可的审核服务机构。目前,DQS、TÜV SÜD、Bureau Veritas等机构均可提供TISAX评估服务。
选择建议:
第4步:正式审核(AL2/AL3)
正式审核由第三方审核机构主导,方式取决于评估级别:
-
AL2(合理性检查):审核员通过电话会议、视频会议或远程审查方式,对企业的自评报告和证据进行验证
-
AL2.5(远程深度评估):完全远程方式进行,包含测试与技术验证,与AL3方法论兼容
-
AL3(现场深度评估):审核员驻场进行文件审查、人员访谈、物理安全检查(如机房、文件室、生产区域)
典型流程:
-
开幕会议:确认审核范围、日程安排与关键联络人
-
证据审查:逐条验证企业提供的证据是否充分、有效
-
人员访谈:随机抽选员工,验证其对安全政策的理解与执行情况
-
现场巡查:检查门禁管理、访客制度、屏幕保护、介质存放等物理安全措施
-
闭幕会议:初步通报发现项,确认后续整改安排
第5步:整改与后续评估
审核结束后,审核员会出具包含不符合项的总结报告。企业需:
-
在ENX平台上传纠正措施计划(Corrective Action Plan),明确每项不符合的整改责任人与截止时间
-
在规定窗口期内完成整改
-
接受后续评估(Follow-up Assessment),由审核员验证整改效果
⏰ 关键时限提醒:从初次评估启动到最终获得标签,整个过程最长不得超过9个月。这是TISAX的硬性规定。
第6步:获得标签与交换
当所有不符合项关闭、评估通过后,审核机构会向ENX平台上传最终报告,企业将获得正式的TISAX标签(有效期3年)。
如何进行交换?
企业在ENX平台上可以控制信息共享的级别:
-
选择希望共享评估结果的合作伙伴(“被动参与者”)
-
决定共享报告的详细程度(摘要或完整报告)
-
合作伙伴登录平台后即可查看
四、实战建议与避坑指南
4.1 成功的关键要素
尽早启动
TISAX不是“买一个证书”,而是一个管理体系成熟度的验证。从启动到获得标签,企业通常需要3-6个月的准备期(视规模与基础而定)。
善用现有框架
如果企业已通过ISO 27001认证,可以借此大幅缩短准备周期。TISAX基于ISO 27001框架,但增加了汽车行业特有的要求(如原型保护、GDPR数据保护),两者可实现约70-80%的控制项复用。
注意:ISO 27001:2022已于2022年发布,企业应确保两个标准的版本对齐。
关注新版ISA 6.0的三大新增模块
-
运营技术(OT)安全:参考IEC 62443标准,覆盖智能工厂、工业机器人、MES等生产环境
-
GDPR数据保护:控制点数量较旧版增加三倍,需明确数据处理者/控制者角色、签署标准合同条款(SCCs)
-
事件管理与业务连续性:要求定期模拟演练,而非仅留存书面文档
培养“证据思维”
审核员希望看到的是“做了”的证据,而不仅是“写了”的制度。每次权限审批、每份合同签署、每场安全培训,都应有可追溯的记录。
4.2 常见误区与避坑指南
误区1:过度投入安全设备
一些企业被误导购买大量昂贵的安全硬件(态势感知、数据库审计、堡垒机等),结果设备到机房后“落灰”无人维护。正确的做法是:从业务实际风险出发,优先满足VDA ISA的明确要求,设备采购应有明确的安全目标和使用计划。
误区2:忽视管理层的“知情批准”
残余风险接收单必须有公司管理层(如CEO、总经理、信息安全委员会) 签字确认。部门经理的批准在TISAX审核中通常被认为是“层级不够”。
误区3:证据“临时拼凑”
审核前突击准备的政策文档、截图、邮件往往经不起推敲。审核员会关注日期的合理性(例如政策生效日期是否在审核前三个月)、记录的完整性和一致性。
误区4:低估多场所评估的复杂度
若企业有多个工厂或分支机构,“一个范围包含所有场所”的方式虽降低管理成本,但后果是——只要一个场地未通过,整个评估失败。建议初评企业优先选择核心场所先行试点。
五、结语
TISAX初次评估是一项系统性工程,但它并非遥不可及。抓住“理解范围 > 做实自评 > 留存证据 > 管理风险”四大支柱,企业不仅能够顺利通过评估,更能在这一过程中真正提升信息安全成熟度,赢得主机厂的长期信任。
对于初次接触的企业,建议预留至少4-6个月的准备周期,必要时引入有经验的咨询顾问或参加专业培训。评估不是终点,而是安全能力持续迭代的起点。
颐卓咨询管理集团-广州总部
总部地址:广州市海珠区琶洲数字科技产业园A15-2栋
联系方式:13622221264(张小姐)或13433933194(廖经理)
邮 箱:eyzo@chinakec.com
公司官网:www.chinakec.com
集团分支机构:深圳、成都、重庆、佛山、东莞、长沙、武汉、北京、昆山、厦门等