你知道TISAX该怎么做吗？

一【TISAX起源】

信息安全是未来商业合作的基础。未来是信息化时代，信息安全至关重要，政府和企业越来越意识到信息安全的重要性。欧盟于2016年4月14日投票通过了商讨4年的《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR），该法案在2018年5月25日生效。

为推动成员企业符合信息安全标准，德国汽车工业协会（VDA）多年前基于ISO27000的标准建立了VDA-ISA(Information Security Assessment)信息安全评估标准。VDA于2017年联合ENX推出新的可信信息安全评估交换（TISAX）Trusted Information Security Assessment Exchange机制，此机制可以实现汽车行业信息安全评估的相互认可，并提供通用的评估和交换机制。

获得的标签有效期三年，可选择是否对外分享标签。

二【怎么获得标签】

1、了解需求

选择公司要评估的范围，等级以及评估的目标。

范围可以选择标准范围和定制化范围，其中定制化范围含狭义范围和扩展范围，狭义范围无法获得标签，用于紧急评估和基础设备共享的企业；扩展范围用于组织的其他过程或非汽车业务，可以获得TISAX标签。

范围主要包括信息安全，样件保护，数据保护等。

等级依据要求不同可分为AL1，AL2，AL3级。

2、准备

01 ENX网站上完成注册，大约20分钟时间

Participant Name  被评估公司名称

Participant-ID  参与者ID号

Scope-ID   评估范围ID号

Scope Type   范围类型

Scope Description   范围描述

Assessment Objectives   评估目标

Main Contact

Scope Location  (multi-location)

Certifications for this Location

Employees at Location

02 在ENX平台选择评估机构，获得评估机构的报价

03 根据选定的评估等级及目标，完成自评估

https://www.vda.de/en/topics/safety-and-standards/information-security/information-security-requirements

04 识别与评估目标的差距，针对性的进行改进

3、执行评估

审核组长发起TISAX评估Kick-Off Meeting

非现场的文件评审

现场评审（中国区AL2与AL3都需强制在现场评审）

末次会议，宣布整体评估结果及审核发现

如总体评估为一般不符合，可获得临时标签（有效期：最长9个月）

三种结果：  符合、一般不符合、严重不符合

4、整改计划

根据现场评估的发现，制定纠正措施计划

末次会议前，纠正措施计划可由审核组长评估，从而降低整体评估的严重度

纠正措施必须包含：具体措施，实施日期

跟踪审核：审核组长验证所有的纠正措施计划已被落实

5、结果交互

ENX平台展示你所获得的标签

你可选择将认证信息分享的对象：包括审核报告的分享

6、Follow Up

有必要进行后续活动来评估CAP活动的结果

后续评估可以是现场也可以是线上会议

以上资料由驰源TISAX提供：

驰源TISAX团队是由数名IT工程师，汽车行业资深工程师组成的团队，从数据恢复开始，深耕信息安全和数据安全。团队主导过的信息安全项目数十个。顺势而为成为西南地区最早开展TISAX信息安全业务的团队，为国内客户提供培训咨询等服务，团队成员有深厚的信息安全技术背景，尤其对汽车行业的信息安全行业有着深入的了解。