TISAX（Trusted Information Security Assessment Exchange）信息安全的评估和交换机制是2017年由德国汽车工业联合会 (VDA) 联合欧洲网络交换所 (ENX) 所推出的信息交换平台，把受多数组织成员认可的信息安全评估流程 VDA ISA (Information Security Assessment) 之审核结果放上平台，供参与者在得到被审核者授权后做查询，是一个参考 ISO 27001、ISO 27002等标准规范所制定的信息安全评估结果的交换平台。

ISA:用于组织的内部控制要求， 接触组织敏感信息的供应商（服务商）的审核要求。

VDA:联合ENX推出成员组织认可的信息安全评估流程，将审核结果放在的授权平台上以供信息查询和交换。

ENX:为欧洲汽车工业提供开发、采购和生产控制安全交换关键数据解决方案的协会。

ENX协会：TISAX的监管和组织的角色。

由ENX认可审核机构并且监督审核机构的审核结果以及审核的合规性。

通过监管“ENX治理三角”得到保证，包括ENX协会与ENX认可的审核机构之间以及ENX协会与每个参与者之间的合作。

TISAX认证适用于汽车行业上下游供应链中的所有组织，奔驰、宝马、大众、奥迪等主机厂都已强制要求其各个级别的供应商必须通过TISAX认证，才能与之进行数据交换；国内众多零部件供应商也都接到了主机厂的通知而纷纷着手准备。如：

※ 汽车零件制造厂、汽车应用产品厂商及汽车供应链成员

※ 自动驾驶技术提供者

※ 自动驾驶数据服务提供者

※ 地图服务提供商等

TISAX平台上的评估结果具公信力，有助取得客户信任。

(TISAX)-VDA ISA的问项内容统一，参与者之评估结果具可比较性。

降低重复性的审核作业，每三年评估一次即可。

许多欧系车厂如 Volkswagen / BMW / Porsche 已开始要求供应链必须取得 TISAX 认证。

目前大众，奥迪和保时捷要求供应商必须通过TISAX认证。后续其他德国车企也会跟进要求供应商通过TISAX认证。

两者皆可提升组织的信息安全能力，降低信息安全事件、事故的发生，只是应用层面有所不同。

1. ISO 27001是一应用层面广泛的信息安全管理系统的认证，适于各产业采用。

2. TISAX则提供了汽车产业一信息安全评估结果的平台，在评估方获得被审核者授权后 (在 ENX Portal上授予权限)，让被审核者可自行决定那些伙伴可在平台得知其信息安全评估结果，藉此让汽车供应链合作伙伴了解其在网络安全及资料保护上的成果。

ISO27001共包含两部分，除了条文第四章至第十章，另外还有附录 A的 114个资安控制措施，通过 ISO27001认证代表企业已建立、实施及维持及持续改善ISMS要求之事项

TISAX VDA-ISA (Information Security Assessment) 参考 ISO 27001、ISO 27002等规范外，并参酌法规(例如:欧盟个资法 GDPR)及汽车产业之要求做为管制项目，四大管制面向及内容简述如下:

1. 信息安全 (information security) : 因属核心的强制(mandatory)评估项目，故必须评估，无法排除。及下列选择性问项，共三类。

2. 第三方的连接 (Connection to 3rd parties) : 如项目办公室和项目区域。

3. 资料保护 (Data protection) : GDPR第28条资料处理者。

4. 原型保护 (Prototype protection) : 针对尚未对外公布的车、元件、零件之保护。

1.范围: ISO 27001适用产业的范围较 TISAX广。

2.级别制: ISO 27001无级别制，TISAX则采用级别制

共有三种审核等级 (Assessment level (AL)，AL1一般是自评，AL2和 AL3需要第三方稽核员对公司进行现场稽核，一般获得 AL2和 AL3才能够获得TISAX的认可。

而 AL2或 AL3则由客户依照与供应商的资料串接情况做选定，各级别评估方式如下：

另外，TISAX在四大管制面向六个成熟度级别做评分，让组织了解现况级别，并可供往更高级别进步之参考，六个成熟度级别定义如下：

级别0：不完整

级别1：已执行

级别2：已管理

级别3：已建立

级别4：可预测

级别5：持续优化

初始诊断阶段：明确TISAX审核范围，审核等级。

风险评估阶段

体系文件编写阶段

体系试运行阶段

体系完善阶段

TISAX审核认证

售后服务阶段