TISAX认证如何成为汽车供应链的“入场券”

哪些企业需要做TISAX认证？

1. 核心范围：汽车供应链零部件制造商、应用产品厂商、服务商（如物流、车联网运营）、自动驾驶技术提供者、数据服务提供商、地图服务商等。

2. 强制要求：德系主机厂（大众、奥迪、保时捷、奔驰、宝马）及一级供应商（如大陆、采埃孚）已将TISAX作为供应商准入条件；日系、美系车企逐步跟进。

3. 跨界参与者：云厂商、高精地图厂商、保险公司等跨界企业若涉及汽车数据交互，也需通过认证。

4. 后果：未通过认证可能导致千万级订单损失，甚至企业生存危机。

TISAX认证与ISO/IEC 27001有何区别？

1. 适用范围：

• TISAX：专为汽车行业设计，聚焦供应链信息安全评估与交换。

• ISO/IEC 27001：通用性信息安全管理体系标准，适用于所有行业。

2. 评估范围：

• TISAX：覆盖组织定义的所有地点、过程和资源（如特定工厂、部门）。

• ISO/IEC 27001：可评估整个组织或特定部门。

3. 审核方式：

• TISAX：无证书，颁发3年有效期的“标签”；无年度审核，但需定期复审标签。

• ISO/IEC 27001：需每年年度审核，3年换证。

4. 关联性：通过ISO/IEC 27001认证可为TISAX评估奠定基础，但TISAX需额外满足汽车行业特定要求（如原型保护、数据保护）。

TISAX认证的评估级别如何选择？

1. AL1（自评）：仅适用于公司内部用途，无法获得TISAX标签。

2. AL2（高保护）：

• 审核方式：远程合理性检查，通过电话会议或面对面谈话验证自评结果。

• 适用场景：无原型保护需求的企业。

3. AL3（极高保护）：

• 审核方式：全面稽查，包括现场检查、面对面谈话、取证确认。

• 强制要求：若评估对象涉及原型保护，必须选择AL3。

4. 建议：若无明确客户要求，优先选择AL3以提升市场竞争力。

TISAX认证的流程与周期是多久？

1. 流程：

• 注册：在ENX平台注册，确定评估范围、等级和地点。

• 自评估：依据VDA ISA目录（基于ISO/IEC 27001扩展）进行自我评估。

• 审核：由TISAX认可的第三方机构执行（AL2远程审核，AL3现场审核）。

• 改进：针对不符合项制定整改计划，并由审核机构验证。

• 标签获取：通过审核后获得TISAX标签，可在ENX平台查询并共享结果。

2. 周期：整个流程Zui长不超过9个月，逾期需重新申请。

TISAX认证的审核内容有哪些？

1. 信息安全制度与组织：策略制定、资产管理、风险管理。

2. 人力资源安全：员工安全意识与行为合规性。

3. 物理环境安全：敏感设施保护、灾难应对能力。

4. 访问控制：系统访问政策、特权用户监督。

5. 信息安全与网络安全：密码学、操作安全、系统开发管理。

6. 供应商关系：供应商风险控制、服务审查。

7. 合规性：法律符合性、个人数据保护。

8. 原型保护（仅AL3）：整车及零配件运输、测试车伪装、活动拍摄安全。

9. 数据保护：数据分类、加密、备份与灾难恢复。

TISAX认证的财务成本包括哪些？

1. 注册费用：ENX平台注册费，随评估地点数量增加而递增。

2. 培训费用：可选的TISAX导入培训。

3. 安全投入：满足VDA ISA要求的额外安全措施（如硬件加密、访问控制）。

4. 审核费用：第三方机构评估费用（AL3高于AL2）。

如何查看TISAX标签的进展情况？

1. 登录ENX平台：访问主导航栏“MY TISAX”，选择“SCOPES AND ASSESSMENTS”。

2. 确认状态：找到已评估范围，若状态为“Active”（Scope Status），则表明已获得标签，可公开共享结果。

TISAX认证失败后如何处理？

1. 整改与复审：根据审核机构反馈的不符合项，制定整改计划并在规定时间内完成。

2. 重新申请：若9个月内未通过全部审核，需重新启动认证流程。

3. 持续改进：建立长效机制，优化信息安全管理体系以适应技术发展。