TISAX认证与ISO/IEC 27001的关系区别

德国汽车工业协会 (VDA) 多年前开始推动成员企业符合信息安全标准，并建立VDA-ISA信息安全评估标准，于2017年联合ENX协会推出Trusted Information Security Assessment Exchange (TISAX) 这一信息安全的评估和交换机制。

由汽车行业安全专家所开发，TISAX提供包含了针对汽车行业的虚拟、物理以及社会方面的信息安全需求目录，该目录被称为信息安全评估ISA）。

博凌管理认证公司为您解读TISAX与ISO/IEC 27001的关系，并总结要点。收藏这一篇，就已足够！

1、TISAX与ISO/IEC 27001之间有何联系

TISAX认证采用的VDA ISA评估标准与ISO/IEC 27001信息安全管理体系源远流长，TISAX认证审核（基于VDA协会的ISA-Information Security Assessment安全评估标准）以ISO/IEC 27001为基础，遵循其主要管理思路与原则，内容也覆盖了ISO/IEC 27001标准的基本要求。

2、标准的适用范围

ISO/IEC 27001适用产业的范围较TISAX广。

TISAX安全审计聚焦在汽车行业相互接受信息安全评估，由ENX认可的第三方审核机构进行，并为专业交流提供共同的评估机制。

3、两个标准之间是否有共同点？

TISAX可信信息安全评估与交换标准是基于ISO/IEC 27001信息安全管理体系标准扩展到包括汽车特定要求，所以二者之间的管理思路基本一致，同样也按照控制域评估方式。

如ISO/IEC 27001:2013共有14个控制域114个控制项，TISAX ISA 5.0.3分为3个模块（信息安全、数据安全、原型保护）和67个控制项，且二者之间也保持了一定的映射关系。

同样，为保证审核的客观、独立性、公正性和证书或标签的权威性，TISAX和ISO/IEC 27001都要求认证机构和咨询机构为不同的单位。

4、两个标准之间的不同点

TISAX以ISO/IEC 27001为基础，遵循其主要原则，但也有一些不同之处。最重要的区别是TISAX定义了信息安全在汽车行业场景下的特定含义，包含有一些关于原型车辆、零部件、测试车辆的处理以及在活动期间保护信息的具体章节，而ISO/IEC 27001则是允许在不同场景下对信息安全定义有一定程度的不同解读。

ISO/IEC 27001共包含两部分，除了条文第四章至第十章，另外还有附录 A的114个信息安全控制措施，通过ISO/IEC 27001认证代表企业已建立、实施及维持及持续改善ISMS要求之事项。

TISAX VDA-ISA 参考 ISO 27001、ISO 27002等规范外，并参照法规（例如: 通用数据保护法 GDPR）及汽车产业之要求作为管制项目。

不同点还体现在级别机制方面，ISO/IEC 27001无级别制，TISAX则采用级别制，共有三种审核等级 (Assessment level (AL)，企业可以自行选择其需要通过的认证等级，AL1一般是自评，AL2和 AL3需要第三方稽核员对公司进行现场稽核，一般获得 AL2和 AL3才能够获得TISAX的认可。ISO/IEC 27001证书是意味着通过审核和评审的结果，基本可理解对应TISAX的AL2。

TISAX证书的内容根据不同对象划分为若干等级，可在TISAX官方网站上查询。对于普通大众有四个等级。对于不同的合作伙伴可划分为五个等级，其中最详细的等级允许合作伙伴查看详细的审核结果和成熟度等级描述等内容。

两者的另一个不同之处是评估方法。例如，ISO/IEC 27001要求进行年度审计，而TISAX则需要一次评估，有效期为三年。在一致性确认方面，ISO/IEC 27001颁发证书，而TISAX颁发标签。对ISO/IEC 27001的认证是通过满足标准的要求来实现的，而实现TISAX标签的基础是满足VDA评估目录中的评估目标的要求。

ISO/IEC 27001的证书内，包含评估的基本信息，例如企业名称、审核范围和证书有效期等简单描述等，不公布不符合项的数量和报告内容等整体评估结果描述。ISO/IEC 27001的证书的内容相当于TISAX 证书中面对普通大众的等级。此外，ISO/IEC 27001的证书通常由获证企业自愿、自行在网站上张贴并进行宣传，或者认证机构的网站或监管机构备案信息平台上进行查询。

5、TISAX的价值

行业内的相互认可：所有VDA成员和OEM都需要获得TISAX认证，以证明其能够满足外部需求方的直接要求，TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准，评估结果得到其他TISAX参与者的共同认可，从而实现行业企业之间的安全互信；

避免多次检查降低管理成本：TISAX认证基于统一的VDA-ISA安全评估目录和标准，获得TISAX标签后，通常每三年只需要进行一次TISAX评估；

提升安全意识：员工的行为对公司内部安全有重大影响，通过TISAX能够有效提高员工安全意识与能力；

TIXSA认证与互信领域延伸

2021年，TISAX的审核对象一从传统汽车产业链零部件供应商以及汽车市场研究、保险配套服务公司，扩展到自动驾驶、互联网、车联网研发类的高科技公司以及提供ICT支持相关服务（云计算、大数据分析和运营）的公司。

如阿里云在2019年10月10日正式通过了汽车行业TISAX，成为了亚洲第一家通过该认证的云厂商，2019年11月28日，华为称其一次性通过了车载终端的TISAX认证。

通过TISAX认证，成为了组织满足汽车行业乃至Mobility领域特定信息安全需求的强有力证明。