贯标集团-江苏TISAX和ISO/IEC 27001之间有何联系？

汽车工业是一个拥有大量机密信息和数据的地方。例如，汽车制造商可能会与供应商共享有关新车型的敏感信息，如照片拍摄或尚未向公众展示的原型车的开发。

TISAX可信信息安全评估与交换标准（以下简称“TISAX”），是基于ISO/IEC27001信息安全管理体系标准和VDA-ISA信息安全评价检查表而建立的汽车行业专用信息安全标准。由德国汽车工业联合会（VDA）联合欧洲汽车工业通信网络协会（ENX）制定，把受多数组织成员认可的信息安全评估流程之审核结果放上平台，供参与者在得到被审核者授权后做查询，专为汽车行业需求而开发。 ISO/IEC 27001信息安全管理体系（以下简称“ISO/IEC 27001”），是由国ji标准化组织（ISO）采纳英国标准协会BS7799-2标准后实施的管理体系，成为了“信息安全管理”的国际通用语言，企业建立ISO/IEC27001体系能有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据和重要信息。目前蕞新版本为ISO/IEC27001:2013。 

信息安全对每个企业都非常重要，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。目前认证较多的行业主要是软件和信息技术服务业、ICT（信息与通信技术）、电力、金融等行业。

Q1

TISAX与ISO/IEC 27001之间有何联系？

许多企业将TISAX等同于ISO/IEC 27001认证，这是可以理解的。因为这是一个全球公认的行业标准。TISAX以ISO/IEC27001为基础，遵循其主要管理思路与原则，内容也覆盖了ISO/IEC 27001标准的基本要求。

Q2

TISAX与ISO/IEC 27001标准的适用范围

ISO/IEC27001适用产业的范围相对TISAX更广。TISAX主要聚焦在汽车行业相互接受信息安全评估，由欧洲汽车工业通信网络协会（ENX）认可的第三方机构进行，并为专业交流提供共同的评估机制。

Q3

TISAX与ISO/IEC 27001两者之间的不同点？

1. 应用范围不同。TISAX以ISO/IEC27001为基础，遵循其主要管理思路与原则，TISAX定义了信息安全在汽车行业场景下的特定含义，包含有一些关于原型车辆、零部件、测试车辆的处理以及在活动、电影和照片拍摄期间保护信息的具体章节，而ISO/IEC27001则是允许在不同场景下对信息安全定义有一定程度的不同解读：
 ISO/IEC27001由两部分组成，除了第4章至第10章外，附录A中还有114项信息安全控制措施。其认证表明了企业建立、实施、保持并持续改进了ISMS（信息安全管理体系）要求。TISAX信息安全评估流程参考ISO/IEC 27001、ISO/IEC27002等规范外，并参照法律法规（如通用数据保护法GDPR）及汽车产业之要求作为管制项目。 2. 级别机制不同。ISO/IEC27001无级别制，TISAX则采用级别制，共有三种审核等级(Assessmentlevel(AL)，企业可以自行选择其需要通过的认证等级。AL1一般是自评，AL2和AL3需要第三方对公司进行现场稽核，一般获得AL2和AL3才能够获得TISAX的认可。ISO/IEC27001证书是意味着通过审核和评审的结果，基本可以理解对应的是TISAX的AL2。 另外，TISAX在四大管制面向五个成熟度级别做评分，让企业了解现况级别，并可供参考往更gao级别进步。五个成熟度级别定义如下： 0：不完整级别；1：已执行级别；2：已管理级别；3：已建立级别；4：可预见级别；5：持续优化。