一、前期准备与规划
明确认证目标
确定需认证的范围(如信息安全、数据隐私、原型保护等)和等级(AL1-AL3)。通常,汽车制造商要求供应商至少达到AL2(高保护级)或AL3(极高保护级)。
AL3需现场审核,且涉及原型保护等敏感数据时必须选择此等级。
组建团队与资源
成立信息安全管理团队,负责协调认证流程、文档准备及内部审核。
确保企业已建立符合 ISO 27001标准的信息安全管理体系(ISMS),并覆盖 VDA-ISA 评估目录中的控制点。
准备基础材料
企业营业执照、组织机构代码证等法律文件。
信息安全政策、风险评估报告、员工培训记录、事件管理流程等核心文档。
二、ENX 平台注册
注册 ENX 账户
访问ENX 官网,填写公司信息、评估范围、联系人等,提交后获取唯一的参与者 ID。
三、自我评估与文档完善
执行 VDA-ISA 自评
根据《VDA信息安全评估目录》,对信息安全管理体系进行全面自查,填写自评报告并打分(成熟度 0-5 分)。
重点关注数据加密、网络安全、物理访问控制、供应商管理等领域。
提交自评报告
将自评结果提交给认证机构,作为正式审核的基础。
四、正式审核与整改
审核形式
AL2:以远程审核为主,包括文件审查、视频访谈等。
AL3:必须进行现场审核,验证物理安全措施(如数据中心安防)、原型保护流程等。
审核内容
文件审查:检查信息安全政策、风险评估、事件响应计划等文档的合规性。
现场检查:针对AL3,审核物理安全设施、系统访问权限、数据传输加密等实际执行情况。
整改与跟进
若发现不符合项,需在2-6 个月内制定整改计划并实施,AL3企业需在9 个月内完成闭环整改。
认证机构将进行后续审核,确认整改有效性。
五、认证结果与标签发布
评估报告提交
审核通过后,认证机构将完整的评估报告上传至 ENX平台。
获取 TISAX 标签
ENX 审核通过后,企业获得对应等级的标签(AL2 或AL3),有效期为3 年,期间无需年审,但需定期自检。
标签可在 ENX平台共享给汽车制造商及合作伙伴,作为供应链准入的关键凭证。
六、持续维护与复评
年度内部审核
每年进行一次内部审计,确保信息安全管理体系持续符合标准。
复评与更新
有效期满前 3-6个月启动复评流程,流程与初次认证类似,费用相近。
关键注意事项
评估范围扩展:若企业有多个分支机构或新增业务领域,需在 ENX平台更新评估范围并重新审核。
数据隐私合规:需同时满足 GDPR等法规要求,尤其是处理个人数据时。
第三方支持:建议寻求专业咨询机构协助,提高认证效率并降低风险。
通过以上步骤,企业可系统地完成 TISAX认证,满足汽车行业供应链的信息安全要求,增强市场竞争力。
ISO三体系,16949汽车行业,ISO50001,20000/27001,TISAX可信信息安全评估交换平台
