TISAX与ISO27001的区别是什么？总结来了！

就目前的汽车配置来看，车载电脑已经是车上的标准配备。例如车载导航、影片播放、上网、电话、故障诊断等功能都是车载电脑的应用，但也因网络安全漏洞及资料外泄事件层出不穷，车载信息安全问题成为社会关注的焦点。以下我们汇总在辅导经验中常被询问到的几个常见问题予以说明。

Q1. 什么是 TISAX？

ANS：

TISAX（Trusted Information Security Assessment Exchange）信息安全的评估和交换机制是2017年由德国汽车工业联合会 (VDA) 联合欧洲网络交换所 (ENX) 所推出的信息交换平台，把受多数组织成员认可的信息安全评估流程 VDA ISA (Information Security Assessment) 之审核结果放上平台，供参与者在得到被审核者授权后做查询，是一个参考 ISO 27001、ISO 27002等标准规范所制定的信息安全评估结果的交换平台。

• ISA: 用于组织的内部控制要求， 接触组织敏感信息的供应商（服务商）的审核要求。
• VDA联合ENX推出成员组织认可的信息安全评估流程，将审核结果放在的授权平台上以供信息查询和交换。
• ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会
• ENX协会：TISAX的监管和组织的角色。
• 由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。
• 通过监管“ENX治理三角”得到保证，包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。
  

Q2. 谁会需要使用到 TISAX？

ANS：

汽车零件制造厂、汽车应用产品厂商及汽车供应链成员。

Q3. 导入 TISAX的好处？

ANS：

1. TISAX平台上的评估结果具公信力，有助取得客户信任。
2. (TISAX)-VDA ISA的问项内容统一，参与者之评估结果具可比较性。
3. 降低重复性的审核作业，每三年评估一次即可。
4. 许多欧系车厂如 Volkswagen / BMW / Porsche 已开始要求供应链必须取得 TISAX 认证。

Q4. TISAX目前在国内的现状

ANS：

Q5. 导入 TISAX及 ISO 27001之目的及应用层面有何差异？

ANS：

Q6. ISO 27001及(TISAX)-VDA ISA之章节内容有何不同？

ANS：

•  ISO 27001共包含两部分，除了条文第四章至第十章，另外还有附录 A的 114个资安控制措施，通过 ISO27001认证代表企业已建立、实施及维持及持续改善ISMS要求之事项
• TISAX VDA-ISA (Information Security Assessment) 参考 ISO 27001、ISO 27002等规范外，并参酌法规(例如:欧盟个资法 GDPR)及汽车产业之要求做为管制项目，四大管制面向及内容简述如下:

Q7. TISAX与ISO27001主要差异为何？

ANS：

Q8. 通过TISAX审核的步骤是怎样的？

ANS：

1. 初始诊断阶段：明确TISAX审核范围，审核等级。
2. 风险评估阶段
3. 体系文件编写阶段
4. 体系试运行阶段
5.  体系完善阶段
6. TISAX审核认证
7. 售后服务阶段