TISAX与ISO27001的联系与区别

今天擎标就给大家详细的介绍一下TISAX和ISO27001之间的共同点和相应的区别，希望帮忙大家更好的理解TISAX认证。

TISAX和ISO27001之间联系：TISAX采用的VDA ISA评估标准与ISO 27001信息安全管理体系源远流长，TISAX认证审核(基于VDA协会的ISA-Information Security Assessment安全评估标准）以ISO 27001为基础，遵循其主要管理思路与原则，内容也覆盖了ISO 27001标准的基本要求。

TISAX和ISO27001区别：TISAX以ISO 27001为基础，并对其进行了调整，使其更具有汽车专用性。这两种方法都提供了独立的证据，使信息得到安全可靠的处理。组织是根据适当级别的标准清单进行评估的，以表明是否符合TISAX标准。通过对该组织的信息安全政策和流程进行严格评估实现TISAX标签表明该组织是汽车供应链中可靠的合作伙伴。TISAX以ISO 27001为基础，遵循其主要原则，但也有一些不同之处。最重要的区别是TISAX明确定义了什么是“安全”应用于汽车行业的信息，而ISO 27001是开放的一定程度的解释。有一些关于原型车辆、零部件、测试车辆的处理以及在活动、电影和照片拍摄期间保护信息的具体章节。两者的另一个不同之处是评估方法。例如，ISO 27001要求进行年度审计，而TISAX则需要一次评估，有效期为三年。在一致性确认方面，ISO 27001颁发证书，而TISAX是标签。对ISO 27001的认证是通过满足标准的要求来实现的，而实现TISAX标签的基础是满足VDA评估目录中的评估目标的要求是一开始就要求这样做。二者的使用范围：ISO 27001适用产业的范围较TISAX更广。TISAX安全审计聚焦在汽车行业相互接受信息安全评估，由ENX认可的第三方审核机构进行，并为专业交流提供共同的评估机制。

TISAX和ISO27001之间共同点：TISAX是基于ISO 27001信息安全管理体系标准扩展到包括汽车特定要求，所以二者之间的管理思路基本一致，同样也按照控制域评估方式。如ISO 27001:2013共有14个控制域114个控制项，TISAX ISA 5.0.4 分为3个模块：信息安全（7个控制域，41个控制项）、原型保护（5个控制域，22个控制项）、数据安全（4个控制项），共67个控制项，且信息安全控制域与VDA ISA二者之间也保持了一定的映射关系。同样，为保证审核的客观、独立性、公正性和证书或标签的权威性，TISAX和ISO 27001都要求认证机构和咨询机构为不同的单位。

TISAX和ISO27001审核标准的比较：TISAX 审核基于VDA ISA标准，从内容上看，最新的5.0版本依旧基于ISO 27001与ISO 27002的主要内容，但在结构和内容方面进行了优化，区别于TISAX 4.1，TISAX 5.0不再使用ISO 27001的框架，而是将其内容分为了7个控制域，然后在此基础之上添加了，原型保护与数据安全控制域，并且，TISAX 4.1中的第三方联系控制域也合并入信息安全控制域中。新版本的目的是使用更轻松，更高效，从而减少了公司和审核员的工作量。TISAX审核之所以 以ISO 27001为基础是因为该信息安全管理要求已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。VDA建立其“信息安全”工作组已十多年，始终致力于开发成熟的适用于汽车行业的信息安全要求。作为VDA下的一员，之前的ISA标准通常被用于组织的内部控制要求，或者是作为那些能接触组织敏感信息的供应商的审核要求。从供应商的角度来说，频繁地接受来自于不同主机厂的审核，且其审核要求大同小异，已经越来越成为供应商自身运营的负担。为此，VDA联合ENX协会推出了得到大部分成员组织认可的信息安全评估流程，并将据此得到的审核结果放在一个可供信息交换的可信平台（ENX）上，以替代之前各主机厂的频繁审核，供各需求方进行授权查询。二者审核方式的比较：从二者审核方式总体上来看，TISAX的成熟度评估是针对每个控制要求的，每个要求必须达到最低成熟度。在具体审核时，审计师会对各个单项控制点的成熟度情况进行评分，最终得出整体分数。ISO 27001并没有按成熟度评分的机制，而是根据风险评估的结果对风险实施保护控制，并且ISO 27001更强调PDCA的概念。PDCA循环的含义是将质量管理分为四个阶段，即Plan计划（包括方针和目标的确定，以及活动规划的制定）、Do执行（根据已知的信息，设计具体的方法、方案和计划布局；再根据设计和布局，进行具体运作，实现计划中的内容）、Check检查（总结执行计划的结果，分清哪些对了，哪些错了，明确效果，找出问题）、Act处理（对总结检查的结果进行处理，对成功的经验加以肯定，并予以标准化；对于失败的教训也要总结，引起重视），而TISAX则没有突出PDCA。另外，在具体操作时，TISAX审核相比 ISO 27001也存在诸多差异。如：评估模块与评估级别需要主机厂协助判定，以主机厂的要求为准；样件保护标签可多选，由主机厂确认需要通过哪类标签；TISAX评分需要遵循cut back机制等。

TISAX标准的价值：行业内的相互认可：所有VDA成员和OEM都需要获得TISAX认证，以证明其能够满足外部需求方的直接要求，TISAX认证为汽车行业内的信息安全评估提供了统一且有约束力的标准，评估结果得到其他TISAX参与者的共同认可，从而实现行业企业之间的安全互信；避免多次检查降低管理成本：TISAX认证基于统一的VDA-ISA安全评估目录和标准，获得TISAX标签后，通常每三年只需要进行一次TISAX评估；提升安全意识：员工的行为对公司内部安全有重大影响，通过TISAX能够有效提高员工安全意识与能力。