TISAX（Trusted Information Security Assessment Exchange）是企业信息安全的评估和交换机制，TISAX作为汽车行业共同认可信任的一个信息安全能力的评估结果，进一步推动行业上下游企业（例如零部件厂商，供应商，服务商）在满足不同相关方（主要是OEM）的VDA-ISA信息安全评估的同时，其评估结果能够进一步相互认可，交换和信任，从而减少不同OEM的频繁审核。

TIASX评估对象
TISAX认证适用于整个汽车行业的供应链。如：汽车零件制造厂、汽车应用产品厂商及汽车供应链成员、自动驾驶技术提供者、自动驾驶数据服务提供者、地图服务提供商等。

TISAX标签
在现行TISAX中，一共有8个标签，企业通过申请，通过几个，就将获得几个标签。目前标签包括：
· 2个信息安全标签（INFO HIGH，INFO VERY HIGH）
· 2个数据保护标签（DATA，SPECIAL DATA）
· 4个原型保护标签（PROTO PARTS，PROTO VEHICLES，TEST VEHICLES-，EVENTS SHOOTINGS）
· 认证结果不以证书的形式体现，而是不同的电子标签。标签有效期3年，从末次会议当天开始计算。



TISAX审核内容

■ 信息安全与网络安全：内容涉及密码学，操作安全，系统采购、需求管理和开发。
■ 人力资源安全：内容涉及内外部员工遵循信息安全规定的程度，内外部员工遵守信息安全策略的程度。
■ 供应商关系：内容涉及供应商获得公司信息资产时的风险控制，供应商服务的定期检测、审查和审计。
■ 信息安全制度与组织：内容涉及信息安全策略的创建、发布或分发及定期审查，资产管理，信息安全风险管理。
■ 物理环境安全：内容涉及对敏感信息处理设施的安全区域的定义、保护和监测，对自然灾害、故意袭击或事故产生影响的应对，信息安全要求和危机事件下的ISMS的连续性的界定、实施、核实和评估。
■ 访问控制：内容涉及访问IT系统政策和程序的适用性，特权用户和技术账户的分配和使用的监督审查，用户遵守创建和处理机密信息约束性政策的情况，授权人员的信息和应用程序的获取，与其他组织共享的环境中的数据分离。
■ 数据保护：内容涉及数据保护的实施程度，个人身份数据处理的合法性保障措施，内部或工作流程在数据保护法规下进行，有关处理流程在何种程度上记录了其可受理性。
■ 合规：内容涉及相关法律（特定国家）法规和合同要求的符合情况，个人身份信息的保护，独立第三方定期或发生重大变化时对ISMS的审核。
■ 样件保护：除物理及环境要求、组织架构要求外，内容还涉及整车及零配件处理（车辆或部件在运输过程中根据客户要求的保护情况，停放/存放需要保护车辆或部件的实施情况），测试车要求（预先定义的伪装法规的实施情况，测试场地的保护措施，公开批准试驾的保护措施），活动拍摄及拍照要求（涉及车辆、部件或配件的演示和活动的安全要求，涉及车辆、部件或配件的胶片和照片拍摄的保护措施）。

TISAX评分标准：CMM

TISAX的CMM成熟度模型分为0~5这6个级别，同时也考虑了不适用的情况。最终分数会根据各审计项的分数进行综合计算，平均分需要3分以上。另外 ，评估的最终结果中不能出现任何一处轻微不符合（＜2.7低于目标10%以上）或重大不符合项（＜2.1低于目标30%以上），需要全部关闭。
不适用N/A：由于客户的实际业务情况中不存在此项安全控制，导致该审计条款不适用。
0分：需求的实现是不完整的。流程不存在，或者现有流程没有实现所需的结果。
1分：已经执行信息保护需求所需的要求。已经有流程并且正常运转。然而，它并没有完全形成文档。因此不能保证其始终工作。
2分：管理实现目标的过程。它被记录下来，并且可以得到证明（例如，文档）。
3分：建立了明确的流程，流程之间相互交接并显示其已经充分融合。
4分：除了3分的要求外，明确考核指标使得流程的质量可控。
5分：第4级的要求以及额外资源（如人员和财务）正在以优化的方式实施。

CBI拥有超过3000名全职审核工程师及技术人员，分布在中国沿海省市、台湾地区及美国、英国、爱尔兰等主要出口生产地区。其服务覆盖全球，响应短时高效且费用低，可助力企业有效规避供应链管理风险。我们始终致力于为本土及全球客户提供专业支持。

我们与全球88个国家中的数千家各种类型及规模的企业保持良好的合作关系，从赫赫有名的跨国企业到雄心勃勃的中小企业，CBi服务的身影无所不及。