一. 汽车行业为什么要做TISAX?

1.2018年7月初有媒体报道，来自UpGuard 安全团队的研究员Chris Vickery 在网上发现了汽车供应商Level One 的不安全数据库，数据库包括将近47000份文件，涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等)。

2.TOYOTA日本总公司表示旗下5家Toyota经销商、2家Lexus经销售及一家Corolla经销商的网络及服务器遭到未经授权的存取，近三百一十万名顾客资料遭到未经授权的存取。

3.Pen Test Partners揭发两款高阶汽车防盗系统有远端挟持安全漏洞，让黑客能直接偷走车辆或让车辆在行进中停止，影响到Mazda、Range Rover 、Kia 、Toyota旗下特定车款的安全性。

4. 日本汽车大厂本田汽车（Honda Motor）一个内含超过1亿份文件，包含员工计算机主机名称、IP、使用哪套安全软件的数据库，由于未设密码，恐让全球公司计算机安全部署及漏洞状况被人看光。

5.小鹏汽车员工遭FBI逮捕，指控窃取苹果公司无人驾驶商业机密；

另，据悉宝马要求核心供应商23年10月底前完成TISAX认证。

二. 什么是tisax?

2017年底，VDA和ENX联合为VDA ISA创建TISAX(Trusted Information Security Assessment Exchange):信息安全的评估和交换机制，可以实现汽车行业信息安全评估的相互认可，并提供通用的评估和交换机制。

ISA: 用于组织的内部控制要求， 接触组织敏感信息的供应商(服务商)的审核要求。

VDA联合ENX推出成员组织认可的信息安全评估流程，将审核结果放在的授权平台上以供信息查询和交换。

ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会

ENX协会:TISAX的监管和组织的角色。

由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。

通过监管“ENX治理三角”得到保证，包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。

三.TISAX在国内目前的现状

大众，奥迪和保时捷要求供应商必须通过TISAX

其他德国车企奔驰，宝马也积极跟进要求供应商通过TISAX

目前主要是德国主机厂强制要求通过TISAX才能够和他们交换数据，所以国内汽车配件公司都被通知要求通过TISAX。

四.申请TISAX的主要流程和步骤:

1. 去ENX官网注册;

2. 首次评估;

3. 培训;

4. 文件编写和信息安全的运行。

5. 内审。

6. 外审通过。

刘双旺老师是汽车行业的认证咨询专家，曾服务于一汽、二汽、北汽、长安、长城、现代、福田、博士、伊顿、麦格纳和京东方等汽车行业优秀企业。垂询电话：18611607695