TISAX®是针对 "VDA信息安全评估"（VDA ISA）要求的评估程序，汽车行业的供应商或服务提供商可以用它来确保提供给他们的信息的安全性。组织TISAX®信息和网络安全评估的基础是ISA目录。

ISA的最新版本ISA 6已于北京时间2023年10月17日正式发布。2024年3月31日前，可以使用现版本进行审核，2024年4月1日开始，需全部按新版要求执行。

由国际专家开发的ISA 6是ISA目录的最新主要修订版。它从汽车行业的角度定义了组织信息和网络安全的基线和最新技术。

ISA 6主要变化点：

ISA 6附带了大量更改和改进，本文对此进行了详细介绍。尤其是

1、更加关注生产供应商的IT和OT可用性的变化，

Changes with more focus on IT- and OT availability of production suppliers,

2、主要语言现在是英语，计划多种翻译，

Leading language is now English, multiple translations planned,

3、增加进一步的实施指南，

Addition of further implementation guidance,

4、完全修订的数据保护目录，

Completely revised data protection catalogue,

5、对 ISO/IEC 27001：2022 和 NIST 网络安全框架版本 1.1 的新引用，以及

New references to ISO/IEC 27001:2022 and NIST Cyber Security Framework Version 1.1, and

6、进一步持续改进和维护。

Further continuous improvement and maintenance.

ISA 6过渡时间节点：

TISAX提供了 ISA 的红线版本，其中包含详细的更改日志并以红色突出显示所有更改。

此外，鉴于熟悉的过程可能需要一些时间，特别是如果新版本已帮助组织确定现在需要弥补的差距。TISAX 中 ISA 6 的生效日期定为2024年4月1日。围绕该生效日期定义的转换规则与之前的更改相同：

1、已经按照旧标准完成的评估将完全保留其有效性。如果您的 TISAX 标签未过期，则无需重新评估。

Assessments already completed according to older standards will fully retain their validity. If your TISAX labels do not expire, there is no reassessment necessary.

2、在2024年3月31日之前实施的新TISAX评估程序将使用ISA版本5进行。

New TISAX Assessment Proceedings ordered until March 31st, 2024, will be conducted using ISA version 5.

3、从2024年4月1日起下令的新TISAX评估程序将使用ISA版本6进行。

New TISAX Assessment Proceedings ordered from April 1st, 2024, will be conducted using ISA version 6.

4、与现有评估相关的评估活动，如纠正行动计划评估、跟进或范围扩展，将使用与原始评估相同的版本进行。

Assessment activities related to an existing assessment such as corrective action plan assessments, follow-ups or scope extensions will be conducted using the same version as the original assessment.

5、如果您及时订购了 ISA 5，但认为 ISA 6 更适合您的组织和需求，您可以选择切换到 ISA 6 进行 2024 年 4 月 1 日之后执行的评估活动。要了解是否可以切换以及适用哪些条件，请与您的审核提供商联系。

If you ordered in time for ISA 5 but but think ISA 6 fits better to your organization and needs, you may be able to optionally switch to ISA 6 for assessment activities executed after April 1st, 2024. To find out if a switch is possible and what conditions apply, please get in touch with your audit provider.

ISA 6 版本随附的 TISAX 标签变更：

随着ISA第6版的生效，对TISAX评估目标和相应的TISAX标签进行一些更改。这会影响现有的“信息高”和“信息非常高”标签以及原型保护标签。“信息”标签的更改遵循新 TISAX 标签中已列出的路径，以实现可用性。

在 2023 年初，ENX 引入了新的标签，以便 TISAX 可用。这是“信息”（“信息高”和“信息非常高”）标签分裂的开始。之所以进行拆分，是因为承认提供生产零件或生产关键基础设施的安全要求配置文件与适当处理客户的商业机密有很大不同。

由于 ISA 6 附带了旨在降低可用性风险的额外要求，因此针对的是那些生产部件和基础设施提供商，现在将结束拆分，并引入“机密”和“严格机密”作为对现有“可用性”标签的合理补充。

由于这些更改与 ISA 6 版本密切相关，将 2024 年 4 月 1 日设置为新标签的生效日期。这与 ISA 版本 6 的发布完全一致。围绕该生效日期定义的转换规则与之前的更改相同：

1、已具有“信息高”或“信息非常高”标签的营业地点将自动获得“机密”标签，对于“非常高”，还会自动获得“严格机密”标签作为附加标签。原始的“信息高”和“信息非常高”标签将保持有效。无需进一步操作。

Locations that already have a “Info High” or “Info Very High” label will automatically get the Confidential and for very high also Strictly Confidential label as additional labels. The original “Info High” and “Info Very High” label will stay valid. No further action is necessary.

2、在 2024 年 4 月 1 日之前订购的新 TISAX 评估程序仍将使用“信息”TISAX 评估目标进行。一旦评估符合 TISAX 标签的条件，所有地点将自动获得机密标签，对于非常高的严格机密标签，也将自动获得附加标签。

New TISAX Assessment Proceedings ordered before April 1st 2024 will still be conducted using the “Info” TISAX Assessment Objectives. Once the assessment becomes eligible for TISAX Labels, all locations will automatically get the Confidential and for very high also strictly confidential label as additional labels.

3、2024 年 4 月 1 日之后发布的新 TISAX 评估程序不能再使用“信息高”或“信息非常高”的 TISAX 评估目标。已注册的TISAX范围中所有剩余的“信息高”和“信息非常高”目标将分别自动转换为“机密”和“高可用性”或“严格保密”和“非常高的可用性”。如果您只需要两个 TISAX 标签中的一个，请告知您的审核提供商，他将删除不必要的 TISAX 评估目标。

New TISAX Assessment Proceedings ordered after April 1st, 2024, can no longer use the “Info High” or “Info Very High” TISAX Assessment Objective. All remaining “Info High” and “Info Very High” objectives in already registered TISAX Scopes will automatically be converted to “confidential” and “high availability” or “strictly confidential” and “very high availability” respectively. If you only need one of the two TISAX labels, let your audit provider know and he will remove the unnecessary TISAX Assessment Objectives.

4、与现有评估相关的评估活动，例如纠正行动计划评估、跟进或范围扩展，将不受影响，它们将使用与原始评估相同的评估目标进行。

Assessment activities related to an existing assessment such as corrective action plan assessments, follow-ups or scope extensions will remain unaffected they will be conducted using the same Assessment Objectives as the original assessment.

5、如果您认为新标签更适合您的组织和需求，则可以选择切换到 2024 年 4 月 1 日之后执行的评估活动的新标签。要了解是否可以切换以及适用哪些条件，请与您的审核提供商联系。

If you think the new labels fit better to your organization and needs, you may be able to optionally switch to the new labels for assessment activities executed after April 1st, 2024. To find out if a switch is possible and what conditions apply, please get in touch with your audit provider.

延伸阅读

1、企航顾问TISAX可信信息安全评估交换机制服务介绍
2、TISAX与ISO/IEC27001的比较研究
3、TISAX（可信信息安全评估及交换机制）合规体系建设方案

关于企航顾问

上海企航科技咨询有限公司【中文简称：企航顾问 or 企航咨询 ，英文简称：SQT】

企航顾问 是从事卓越绩效、智能制造、精益六西格玛、管理体系的咨询和培训的管理顾问机构，是面向广大企事业单位传递无文化障碍的先进管理理念与技术、提供国际化与本土化完美结合的管理咨询和培训的专业服务机构。

企航顾问 从1999年3月23日成立至今，为6,000多家不同类型的企业提供过管理咨询服务和为10,000多家企业的超百万人次提供过管理培训服务，这其中包括了50%以上的国内五百强企业、420家世界五百强在华企业和1,000多家国内上市企业。 

企航顾问 同时也是全国六西格玛推进工作委员会（CCPSS）委员单位、国家认证认可监督管理委员会（CNCA）首批备案批准且批准范围最宽的管理顾问公司（备案批准号：CNCA-Z-02Q-2002-045）、中国认证认可协会（CCAA）理事单位和上海市认证协会（SCA）理事单位。