一、TISAX的起源与背景

TISAX最早起源于德国汽车OEMs（原始设备制造商）对其供应商的信息安全内部审计。目的是评估整个汽车供应链所达到的信息安全水平，确保供应链的信息安全。随着汽车行业的全球化发展和车辆网联化的推进，信息安全问题变得愈发复杂和关键。在此背景下，德国汽车工业协会（VDA）和欧洲网络交换协会（ENX）联合推出了TISAX，旨在帮助主机厂确保其供应链的信息安全。

TISAX标准于2017年推出，它基于ISO/IEC 27001信息安全管理体系标准和VDA-ISA（Trusted Information Security Assessment Exchange）信息安全评价检查表，结合汽车行业特定的信息安全要求而建立。这一标准不仅适用于德国汽车行业，还迅速扩展到整个欧洲，成为评价供应商信息安全能力的通用评估和交换机制。

二、TISAX的评估内容与范围

TISAX认证的范围涵盖了整个汽车供应链，包括汽车制造商、部件供应商、IT供应商和服务供应商。评估内容不仅涉及通用的信息安全（基于ISO/IEC 27001和27002），还可能包括原型保护、第三方连接、数据保护等模块。评估对象也从传统的汽车零部件供应商扩展至更广泛的处理OEM敏感信息的服务提供商，如ICT服务提供商、市场研究公司、研发类高科技公司等。

注：图片来源于网络，如有侵权请联系删除！

具体来说，TISAX评估的内容涵盖了多个安全实践领域，包括组织安全管理、人员安全、物理安全、通信安全、应用安全、系统安全和数据安全等。评估标准则基于ISO 27001、ISO 27002等国际标准，并结合汽车行业的特定要求进行制定。以下是部分关键评估内容：

1、信息安全制度与组织：涉及信息安全策略的创建、发布或分发及定期审查，资产管理，信息安全风险管理。

2、人力资源安全：关注内外部员工遵循信息安全规定的程度。

3、物理环境安全：包括对敏感信息处理设施的安全区域的定义、保护和监测，以及对自然灾害、故意袭击或事故的应对。

4、访问控制：涉及访问IT系统政策和程序的适用性，特权用户和技术账户的分配和使用的监督审查。

5、信息安全与网络安全：涵盖密码学、操作安全、系统采购、需求管理和开发。

6、供应商关系：涉及供应商获得公司信息资产时的风险控制，以及供应商服务的定期检测、审查和审计。

7、样件保护：包括整车及零配件处理、测试车要求、活动拍摄及拍照要求等。

8、数据保护：关注数据保护的实施程度，个人身份数据处理的合法性保障措施。