TISAX（Trusted Information Security Assessment Exchange）可信信息安全评估与交换标准是基于ISO 27001信息安全管理体系标准和VDA-ISA（Trusted Information Security Assessment Exchange）信息安全评价检查表而建立的汽车行业专用信息安全标准。由于汽车行业的供应商和服务提供商经常需要处理高度敏感的客户信息，这就要求汽车主机厂在产品开发的整个阶段内所有的利益相关方确保高度的信息安全和网络安全。至此，由欧洲网络交换协会（以下简称“ENX”）和德国汽车工业协会（以下简称“VDA”）制定，于2017年推出，基于VDA-ISA信息安全评估标准和ENX运营的通用检查和交换机制，来实现汽车企业信息安全评估认可。

TISAX 为汽车行业内不同服务商提供了信息安全评估结果互认的模式，供应商通过了该评估，即意味着其结果得到了所有参与方的认可。

TISAX认证目前在全球范围的汽车主机厂商中备受推崇，许多为主机厂商提供软硬件及相关服务的供应商，会被主机厂商要求建立和维持其TISAX管理体系并通过与之对应级别的TISAX认证作为其准入条件。

传统的汽车零部件供应商以及从事汽车市场研究、以客户为中心的服务的公司（如研究机构）、提供支持性ICT服务（包括系统运营服务、邮箱服务、云服务等）的公司。

传统汽车零部件供应商：比如轮胎、保险杠、仪表盘、减震器、发动机、刹车片等，甚至车窗玻璃、主地毯、座椅也算。汽车技术研发：比如现在国内的新能源汽车、自动驾驶等企业。不知百度的无人车事业部是否有考虑通过TISAX认证。汽车周边产业市场研究：比如行业报告等。ICT服务提供商最典型的就是云服务：比如，国内阿里云通过TISAX认证，成为亚洲首家通过该认证的云提供商。另外为汽车行业客户提供系统运维服务、邮箱服务也在本范围内。配套服务比如保险、移动云端互联APP等。总之，只要和德系主机厂或德系一级供应商有业务关系，相互之间存在数据交换，就必须通过TISAX。

• TISAX的拥有者和主持者

德国汽车工业联合会VDA，VDA同时控制VDA－ISA检查表。

ISA:用于组织的内部控制要求，接触组织敏感信息的供应商（服务商）的审核要求。VDA联合ENX推出成员组织认可的信息安全评估流程，将审核结果放在的授权平台上以供信息查询和交换。

• TISAX的法律实体与组织者

ENX，所有评估结果都将放在ENX平台上。

ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会关键数据解决方案的协会。

• TISAX认可的审核提供方

获得认可的第三方认证机构。

ENX协会:TISAX的监管和组织的角色。

由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。通过监

管“ENX治理三角”得到保证，包括ENX协会与ENX认可的审核机构之间以及

ENX协会与每个参与者之间的合作。

评估级别 1（AL 1）：评估级别 1 主要针对公司内部用途，是真正意义上的自我评估(self-assessment)。评估级别 2（AL 2）：为确认是否符合该级别（级别 2），审计服务提供商会对您的自我评估结果（针对评估范围内的所有地点）执行合理性检查。此外，审计服务提供商还会检查相关的证据，并约您以及其他同事谈话。审计服务提供商通常以电话会议的形式完成谈话过程，您亦可要求其与您进行面对面谈话。该评估级别（级别 2）一般不包含现场检查。但如果您选择了其中一个“原型”评估对象，则评估过程将总是包含一次现场检查。评估级别 3（AL 3）：为确认是否符合该级别（级别3），审计服务提供商会执行评估级别2 所要求的所有检查，只不过，相关检查的范围会更广，并且审计服务提供商将通过深入开展现场检查以及面对面谈话等形式，来全面核查您的自我评估结果。评估级别规定了我们的评估级别规定了我们的TISAX审计服务提供商所执行的审核深度以及使用的审计方法。简单来说，评估级别越高，相应的评估强度就越高，使用评级方法也就越高级。大部分情况下，建议企业选择级别AL3。

能够满足外部需求方的直接要求，行业内的相互认可：所有VDA成员和OEM都需要获得TISAX认证，TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力标准，评估结果得到其他TISAX参与者共同认可从而实现汽车行业企业之间安全互信；

避免多次检查,降低了管理成本：TISAX认证基于统一的VDA-ISA安全评估目录和标准，通常每三年只需要进行一次TISAX评估；

提升员工安全意识，员工的行为对公司内部的安全有重大影响，通过TISAX提高员工安全意识与能力。