TISAX到底是什么？

  通翔顾问根据多年的管理体系认证经验为您总结了TISAX可信信息安全评估交换的有关内容，如下：

  众所周知，供应链是目前企业数据隐私中最薄弱的部分，虽然许多公司非常重视并花费巨资，但每年仍有可能因处理其数据的供应商而泄露数据。对于现代汽车厂商而言，数据就是核心竞争力，特别是机密数据和产品数据，供应商数据泄露会让公司核心知识产权暴露在大众面前，对于公司造成巨大的负面影响。

  2018年7月，包含百余家著名汽车厂商的机密文件被曝光，共47,000 多个文件，157G字节的数据泄露，这些文件涉及车厂发展蓝图规划、工厂原理、制造细节、客户合同材料、工作计划、各种保密协议等文件，甚至包括员工的驾驶证和护照的扫描件等隐私信息。这起事件的起因是这些著名厂商有共同的服务供应商，在使用远程数据同步工具 rsync 同步数据时，备份服务器没有进行安全的IP地址和身份认证设置，使非指定客户端和个人连接了服务器，窃取了服务器存储的数据。

  针对汽车行业供应链中存在的信息安全问题，德国汽车工业联合会(VDA)信息安全工作组与ENX协会推出了--TISAX(TRUSTED INFORMATION SECURITY ASSESSMENT EXCHANGE，可信信息安全评估交换)，基于VDA-ISA的第三方独立评估，以实现汽车行业信息安全评估的相互认可, 从而减少不同整车制造商的频繁审核。

  TISAX由四方面组成，包括基础：信息安全要求，以及三个附加模块：原型保护、第三方的联系和数据保护。四个方面都有不同的安全控制点，如下图：

  TISAX的控制项融合了ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等标准的要求，并根据汽车行业的特殊需求，进行了删减。对于所有控制项，TISAX评估对公司信息安全的实施状态进行成熟度的评估，从而展现公司信息安全的改进空间。

  TISAX评估的收益体现在以下几个方面：

  1、TISAX已获得全球认可，并且德国主要汽车生产商已经开始强制推行，通过TISAX评估便于介入德系汽车产业链开展业务。

  2、通过TISAX评估，可以帮助所有处理敏感信息的汽车供应商和服务提供商满足消费者和法规的信息安全要求。

  3、通过TISAX评估，可以减轻安全漏洞和网络攻击的风险，从而使公司能够采取措施来减轻信息安全风险。

  4、通过TISAX评估，可以向客户证明公司在信息安全管理方面的准备情况，可以促进现有供应商合同的续签。

  5、TISAX认证是一次审核后，在三年有效期内，所有授权厂商都可以查到审核信息，不必重复审核，有效节省时间和管理成本。