TISAX审核：文件准备清单+现场审核应对策略

基础概念类

1.Q：TISAX是什么？

   A：TISAX（可信信息安全评估交换）是汽车行业统一的第三方信息安全评估标准，由VDA与ENX联合推出，用于评估供应商的信息安全风险控制能力，替代重复审核。

2.Q：哪些企业需要申请TISAX？

   A：汽车供应链中的所有参与者，包括零部件供应商、物流商、车联网服务商、自动驾驶技术公司、云服务商等。德系主机厂（如大众、宝马）已强制要求供应商通过认证。

3.Q：TISAX与ISO 27001有何区别？

   A：•ISO 27001：通用性标准，覆盖全行业，需每年审核+3年换证。

         •TISAX：专为汽车行业设计，聚焦原型保护、数据隐私（GDPR）等场景，3年有效期且无年审。

已通过ISO 27001的企业可降低TISAX导入难度。

认证等级与模块类

4.Q：TISAX评估等级（AL1-AL3）如何选择？

   A：•AL1：自评+远程验证，适合低风险场景（如仅处理非敏感数据）。

        •AL2：远程审核，需满足高保护要求（如涉及客户原型数据）。

        •AL3：现场审核，适用于高风险场景（如试驾测试、高精地图处理）。

注：涉及原型保护或第三方连接时，必须选择AL3。

5.Q：TISAX包含哪些评估模块？

   A：•信息安全（基础要求）

        •原型保护（防止车辆/零部件数据泄露）

        •数据保护（符合GDPR的数据隐私管理）

    企业需根据业务选择模块组合，例如“信息安全+原型保护”。

流程与周期类

6.Q：TISAX认证全流程是什么？

   A：① 注册ENX账号并确定评估范围；        ② 自评估（使用VDA ISA检查表）；        ③ 选择认证机构；        ④ 文件审查+现场/远程审核；        ⑤ 整改不符合项（如有）；        ⑥ 获取标签（有效期3年）。全程约需3-6个月，整改期Zui长9个月。

7.Q：认证失败怎么办？

   A：若初审发现不符合项，可申请临时标签（需在9个月内整改并通过复评）。若未完成，需重新申请。

实施难点与建议类

8.Q：自评估报告如何通过审核？

     A：需按VDA ISA检查表逐项评分（0-5分），成熟度达3分以上。常见问题包括：

         •风险评估不完整；

         •员工培训记录缺失；

         •技术措施（如加密）未落地。

9.Q：如何应对审核中的现场检查？

   A：

•提前演练员工访谈（如数据分类流程）；

•确保物理安全（如门禁、监控）和数字安全（如日志审计）符合要求；

•准备完整的应急响应记录。

标签与维护类

10.Q：TISAX标签如何展示？

A：通过ENX平台生成标签文件，包含评估范围、等级、有效期等信息，可嵌入企业官网或共享给客户。

11.Q：认证后如何维护？

A：

•每12个月接受监督审核（费用约为初次的1/3）；

•重大变更（如并购、新业务）需主动报备；

•每3年需重新评估。

行业趋势与案例类

12.Q：TISAX未来会有哪些变化？

A：

•覆盖范围扩大至电池管理、自动驾驶算法等新领域；

•与ISO 27001的映射关系可能细化。

13.Q：某零部件企业如何通过TISAX？

A：案例显示，企业需重点整改数据加密措施（如增加TLS协议）、完善供应商管理流程，并投入约30万元预算。

其他高频问题

14.Q：个人隐私数据如何处理？

A：需参照GDPR第28条，明确数据控制者与处理者的责任，并签署数据处理协议。

15.Q：云端存储是否合规？

A：需确保云服务商通过TISAX认证，并签订保密协议（NDA）。

16.Q：员工需接受哪些培训？

A：包括信息安全政策、数据分类、社会工程攻击防范等，需保留培训记录。

17.Q：原型保护的具体要求？

A：限制非授权人员接触原型车辆，记录访问日志，并定期销毁测试数据。

18.Q：如何选择评估机构？

A：优先选择ENX认可机构，并考察其在汽车行业的经验。

建议

•中小企业：从AL2起步，聚焦核心模块（如信息安全），借助咨询机构降低成本。

•跨国企业：需同步满足多国客户要求，建议直接申请AL3并覆盖全业务链。

•持续改进：将TISAX融入日常管理，定期更新风险评估，避免“为认证而认证”。