构建汽车行业的可信商业社会｜TISAX信息安全审核及合规建设

前言

随着汽车行业数字化转型的不断推进，移动互联、大数据、云计算及车联网等技术概念的不断发展与实践，传统汽车行业已驶入多方合作融合的高速车道。新兴的互联网企业、ICT方案提供商、大数据分析公司、高精地图提供商等纷纷布局汽车行业，跨界重塑汽车行业的产业生态格局。同时在日趋严格的信息安全合规要求与层出不穷的信息安全事件之下，供应商如何向主机厂证明其自身的信息安全能力，如何保护主机厂的原型、样件、各类商业机密与客户数据，成为了汽车行业近年来的热门话题。

2020年受到疫情冲击，全球汽车供应链版图相应调整，越来越多的中国汽车供应商收到了来自主机厂的TISAX标签要求。同时，随着VDA ISA标准在2020年10月发布5.0.1重大版本，以及第一批在2017年通过TISAX标签的供应商也面临着再次审核的要求，本文将为您介绍TISAX的基础信息，以及企业应当如何响应并建立信息安全管理体系，与您一同探讨TISAX对中国企业的意义。

1）TISAX的建立

通常情况下，一辆汽车约由上万个大大小小的零部件构成，而这些零部件则由不同的供应商提供。一些制造型供应商可能接收到来自主机厂的零部件样件及工艺参数数据来生产加工订单，而非制造型的供应商也可能收到来自主机厂的数据，如市场分析、营销策划、客户服务等业务数据。汽车行业具有复杂的供应链生态体系，任何一个枢纽出现信息安全事件都可能导致整条供应链的上下游企业受到影响。

过去，供应商们需要满足各主机厂提出的安全要求，从而证明自己的安全能力。而如同早期的产品质量管理体系，来自于不同主机厂的参差不齐的安全标准与频繁审核，同时增加了主机厂与供应商双方的运营负担与沟通成本。

2017年，TISAX（Trusted Information Security Assessment Exchange可信信息安全评估交流机制）在上述背景下，由VDA（德国汽车工业联合会）与ENX（欧洲汽车工业通信网络）联合推出。

TISAX为汽车行业提供了统一的安全评估标准以替代之前各主机厂自定义的要求，它通过一次评估、多方使用的机制，为主机厂和供应商提供了长达三年的安全标签，供各需求方进行授权查询，每个注册参与并完成审核的供应商可根据选定的内容共享审核结果。主机厂可以在ENX平台上获得供应商的信息安全状况，并且通过TISAX持续审核的机制确保其供应商按照既定的信息安全标准持续处理其信息和/或样件。

TISAX – 汽车行业信息安全评估交流机制

2）TISAX的认可程度

目前TISAX是汽车行业中唯一正式发布的信息安全标签机制，主要适用于欧洲范围内的德国、意大利、西班牙等汽车企业与其全球的供应商。而其他国家和地区，如美系、日系和韩系主机厂虽使用自身的审核体系，但均为ENX协会的会员，随着TISAX的不断优化和推广，其制定的针对供应商的信息安全要求，有望成为世界范围内各主机厂参考和认可的标准。

3）哪些企业需要获得TISAX标签？

为汽车主机厂提供软件或硬件组件研发的供应商、与主机厂有网络连接的供应商、获取车辆运营信息的供应商，很大程度上都会被主机厂直接要求在开展业务往来之前获得TISAX标签，以证明其信息安全管理能力。成熟度较高的供应商亦可主动申请获得TISAX标签，以增强其业务竞争力。此外，TISAX标签的趋势已经从提供零部件的一级供应商逐渐扩大到提供元器件或信息服务的二级、三级供应商，国内众多汽车行业相关供应商均已开始积极准备获得TISAX标签。

4）TISAX注册流程

TISAX的注册在ENX平台中进行操作，为了顺利完成注册，企业需要确认审核级别、审核范围，提供正确的企业信息，并选择支付方式。

TISAX审核级别确认

根据保护要求的不同，TISAX分为AL1、AL2、AL3三个级别。其中，AL2为高保护级别，审核方根据“高保护要求”进行审核，审核可远程进行，最终获得2级标签；AL3则为极高保护级别，通过后可获得TISAX 3级标签。若企业需要审核样件，则审核级别必须定为AL3， AL3级别的企业必须接受现场审核。

TISAX 评估级别

TISAX审核范围定义

如果企业规模较小（例如只有一个地点），通常比较简单，只要将自己的地点加入审核范围即可。但若公司规模大，则应该考虑注册多少个审核范围。

在单一审核范围中包含所有地点具有以下优点和缺点：

优点：只有一份审核报告、一个审核结果及一个过期日期，可节省审核成本。
缺点：只有在所有地点都审核过后才能出审核结果，若特定地点急需审核结果，可能不适用；且单个地点的审核不通过，会影响整体的审核结果。

5）TISAX自评估

企业应自行开展自评估工作，按照VDA ISA的标准要求查看详细的控制点是否满足，确保所有细则均有足够且有效的证据来证明该控制点的有效性。企业也可邀请第三方协助进行自评估，避免因为对自己企业太过了解自身而遗漏部分审核点。自评估结束后，除了再次梳理证据列表之外，还可进行经验总结会议，帮助应审人员了解应审注意点。企业的信息安全部门或内审部门可协助举办应审培训，让所有参与审核的人员了解应审的流程与技巧，若企业没有合适的培训人员，也可联系信息安全咨询公司进行应审培训。

6）TISAX审核流程

完成TISAX的审核方式以及前期注册准备之后，接下来将进入企业最关心的问题，如何应对审核？

TISAX审核机构的选择

当企业成功在ENX平台中注册TISAX审核后，企业联系人会收到一封邮件，包含TISAX注册摘要（TISAX Registry Excerpt）及官方授权的审核机构（即由ENX授权并委托执行审核工作的第三方）的联系清单，企业可以通过自身的采购流程在多家机构中选择本次的审核机构。您可以与审核机构商定期望开始的审核日期。请注意，一旦约定了首次评估日期，从首次评估到获取标签的间隔时间不能超过九个月。

TISAX文档审阅

在选择TISAX的审核机构后，审核机构会要求企业提交材料进行文审，即初步的文档审阅。企业应当在商定的日期内提交文审表格及各控制项的证据，文审的控制点与正式审核相同。若审核证据没有事先提交，审核周期会延长，建议提前准备好，在文档审阅时及时提供。

现场审核

在TISAX首次评估的启动会中，审核机构会大致介绍TISAX的概况及当前审核的具体安排，便于企业安排应审人员。根据TISAX要求，AL3级别的企业必须接受现场审核，在企业提交文审表格和证据材料后，审核机构会查验已提交的内容，通过现场目击的方式进行测试和确认。现场审核过程中，TISAX审核机构将检查所有文审中有疑问的控制项，并负责将所有的发现项记录在案，后续提交给ENX。

审核报告

审核结束后，审核机构会撰写英文审核报告，随后与受审方进行确认，每一次审核都会出具TISAX报告，其中包含了本次TISAX审核的信息，如审核目标、审核范围、人员地点等，以及所有的发现项与整体的审核结果，审核结果包含符合（Conform）与重大不符合（Major non-conform）；单项审核结果无重大不符合，且针对轻微不符合项提出了修正方案，可申请临时标签，在首次评估中，只要有任何单项不符合项（无论重大不符合还是轻微不符合），整体审核结果即为“重大不符合”，“轻微不符合”的整体审核结果只适用于修正方案评估与跟进评估的审核结果。

结项会议（末次会议）

正式审核的结项会议会针对本次审核的结果做一个大致的汇报，若审核结果表明受审方未能获得TISAX标签，企业可立即着手准备修正方案并在报告确认后提交。我们建议企业尽早开始整改，尤其是整改时间较长的控制项，避免因突发状况而导致的延期从而无法在九个月的周期内完成整个审核工作。

整改跟进阶段

在首次评估未获取TISAX标签的情况下，企业应提交修正方案，进行修正方案评估，修正方案评估通过后，可申请临时标签，然后再进行整改，整改完毕后可申请进行跟进评估。跟进评估的目的是评估之前修正方案中的整改措施是否已实施。跟进评估可多次进行，若在跟进评估中，审核机构依旧认为部分要求不符合，或修正措施导致了新的不符合项，企业需要修改修正方案，然后重复修正方案评估与跟进评估的流程。

获得TISAX标签

审核机构在形成最终审核报告后会告知ENX审核结果，ENX通常还需要2-4个工作日在平台上发布结果，只有受审方会收到完整的TISAX审核报告和结果，也只有受审方可以提供详细的审核结果。审核机构会上传TISAX报告的前两章，在此阶段，除了受审方，没有人能看到这些信息。受审方可使用注册的账号登录ENX平台并与其他人分享审核结果，对自己的审核结果的分享有完全的控制。

7）TISAX审核标准解析

TISAX与ISO27001审核标准的比较

TISAX 审核基于VDA ISA标准，从内容上看，最新的5.0.1版本依旧基于 ISO 27001与ISO 27002的主要内容，但在结构和内容方面进行了优化。区别于4.1.1，5.0.1不再使用ISO 27001的框架，而是将其内容分为了7个控制域，然后在此基础之上添加了样件保护与数据保护控制域。

TISAX与ISO27001审核方式的比较

从二者审核方式总体上来看，TISAX的成熟度评估是针对每个控制要求的，每个要求必须达到最低成熟度。在具体审核时，审计师会对各个单项控制点的成熟度情况进行评分，最终得出整体分数。ISO27001并没有评分的机制，而是根据风险评估的结果对风险实施保护控制，并且ISO27001更强调PDCA（Plan、Do、Check、Act）的概念。

另外，在具体操作时，TISAX审核相比 ISO27001也存在诸多差异。如：评估模块与评估级别需要主机厂协助判定，以主机厂的要求为准；样件保护标签可多选，由主机厂确认需要通过哪类标签；TISAX评分需要遵循cut back机制等。

VDA ISA 标准

TISAX的审核标准整体基于VDA ISA 目录，最新的版本5.0.1包含9个控制域。在实际实施测评时，这9个控制域被包含于3个模块中，其中前7个控制域归于“信息安全”模块，即通用信息安全要求。“样件保护”和“数据保护”基于行业特性，保密性要求较高，各自单独为一个模块，所包含的具体控制点的要求与ISO27001有所区分。

TISAX 审核内容

TISAX审核要求

在5.0的官方目录中，各类要求以表格形式体现。

“必须满足”类别的要求是强制性要求，没有任何例外。
“相应满足”类别的要求通常由组织总体实施。但是，在某些情况下，对于不遵守“相应满足”类别的要求，可能有正当理由，如有任何偏差，组织应了解其影响，并有合理理由或补偿措施与控制。
如果评估级别是“高保护要求”，则必须另外满足“高保护要求”类别的要求。
如果评估级别是“极高保护要求”，则必须额外满足“高保护要求”与“极高保护要求”类别中的要求。
在5.0版本中，原则上不允许有“不适用”项。

评分方式

TISAX采用了“成熟度等级”的概念用于评估控制项的符合度，在实际审核过程中，分为六个成熟度等级：

不完整的成熟度为0，表示没有流程或流程未运行（没有做），属于重大不符合；
已执行的成熟度为1，表示有运行的流程，但是流程没有被记录且没人知道流程如何运作（做了但没记录），属于重大不符合/轻微不符合；
已管理的成熟度为2，表示有运行且记录的流程，但是同一目标有多个不同的流程（流程不统一），属于轻微不符合/观察项；
已建立的成熟度为3，表示有运行的流程，也有实时更新的运行记录，且流程是在一个统一信息安全框架下管理的（有流程有记录，但是没测量），属于观察项/无偏差；
可预测的成熟度为4，表示在成熟度3的基础上加上流程并可以测量，属于无偏差；
在优化的成熟度为5，表示在成熟度4的基础上有专人负责持续提升优化，属于无偏差。

在评分0-5分的基础上，TISAX还使用了cut back机制，每个大控制点的目标成熟度都是3分，为了确保低分项不会被高分项拉高最终评分，实际得分超过目标成熟度的分数均会被折算为目标成熟度，即当实际成熟度评分为4分或5分时，将调整为3分；实际成熟度评分为1-3分的将维持原分数不变

8）TISAX合规体系建设

内部启动

TISAX考察的是组织内不同领域的信息安全能力，这必定是涉及多部门的合作，因此在TISAX合规工作启动之初，管理层的沟通、项目负责人的汇报是必不可少的。在得到管理层的支持后，应当拉通各个信息安全相关的部门，组建TISAX合规体系建设项目组，如业务部门、IT部门、内部支持性部门等。

值得注意的一点：企业在准备审核的过程中常常认为，只需要安全团队的核心成员参与准备，了解TISAX要求就足够应审。这是一个很危险的想法，因为TISAX考察的是企业信息安全体系的整体成熟度，包括在运行过程中与业务的结合度，因此在项目过程中以培训等形式对组织内所有成员进行宣贯是必要的。

现状摸底

在确定TISAX合规体系建设项目组的部门组成后，项目负责人应召集一个内部启动会议，邀请各部门派遣代表理解项目背景、实施周期、各个部门的职责分工，并最好建立一个以周为单位的沟通机制，定期更新项目进展。

引入外援

TISAX涉及到企业的众多产品开发部门、业务与职能部门，而这些部门平日未必开展或参与信息安全工作，缺乏相关知识经验。外部咨询公司往往有多年的体系建设与应审辅导经验，可以帮助企业快速查漏补缺，因此聘请咨询公司开展体系建设辅导工作，成为很多企业的选择。

体系建立

体系建设项目需要将辅导机构的实践经验与企业的实际情况相结合。这里再次强调：在项目初期，应明确各安全控制域的负责人，确保项目组成员了解TISAX的战略目标，通过统筹安排、协同作战，才能最终获得TISAX标签。

在确定了辅导机构后，项目负责人与辅导机构开始密切的交流和合作，在辅导机构的配合下完成差距分析、体系建设与运行工作。

1.全面“诊断”

2.制度流程完善

3.技术工具加固

应审准备

针对审核条款对应的文档记录，制作清晰的证据文件目录结构，提前准备好记录，指定各领域的负责人；在应审前进行培训和演练，互相挑战和提问，考虑各种可能遇到的类似问题。同时，在正式审计前，与选定的外审机构进行审计计划、待准备材料的沟通。一切准备就绪后，正式应审的前一天，再次召开全员会议，确保大家进入最佳状态，迎接审核！

安永的服务

安永作为全球首批获得ENX官方正式授权开展TISAX业务的机构之一，有幸见证了TISAX从初见雏形到被众多主机厂广泛认可的发展历程。通过安永中国和德国团队之间的高效衔接，安永自2017年起在中国开展TISAX审核服务，支持中国汽车供应商获得TISAX三年正式标签，最大程度上降低了中国企业与海外机构之间的沟通成本，并能根据企业的实际需求定制审核相关的体系培训和预审核工作。

同时，凭借在汽车行业的丰富经验，安永亦为各大主机厂和供应商提供符合VDA ISA标准的信息安全管理体系建设咨询服务，筹划TISAX合规路径，分析现状差距，辅导TISAX体系建设，开展关键人员培训，支撑TISAX审核过程，携手助力汽车企业共同构建符合企业业务发展的信息安全管理体系。

结语

TISAX作为汽车行业的信息安全标准与审核机制，在过去三年里由工业强国德国在全世界范围内推进。在全球供应链新格局的今天，TISAX提供给全行业一个有效的安全标准推行的实例，这对正在发生数字革命的智能汽车网络安全管理体系（CSMS）的全球推行奠定了良好基础。我们在未来将会开辟新的系列，与大家分享在汽车产品安全合规层面的更多心得与经验。

本文由数位国内首批具备TISAX审核经验的顾问，结合自身实践总结形成，旨在为中国的汽车行业出海或跨国合作、企业内部从事信息安全工作的团队，或为企业提供信息安全服务的专业人士提供参考与帮助。但限于自身知识局限，难免有不足之处，请广大读者加以指正。信息安全是一个综合性学科，尤其这两年在监管的促进下发展迅速，无论从新的漏洞应对、技术创新以及持续的风险管理，均需各行各业的专业人士齐心协力，共同推动安全规范在企业内部建立与运行，从而使得汽车行业的管理水平与产品质量得到质的提升。

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。