車用資安搶先看，最新 TISAX 國際標準（上）

前言

TISAX（Trusted Information Security Assessment Exchange）系統是由德國汽車工業協會（VDA）與歐洲網絡交換所（ENX）聯手積極推動下得以開發的系統，其誕生可追溯到 2014 年。當時，隨著數位化和網路化技術的迅猛發展，資訊安全問題日益凸顯，特別是在汽車行業，智慧網聯汽車的普及更是將資訊安全提到了前所未有的高度。

因此，德國汽車工業協會為了統一行業標準，確保資訊安全，推出了 TISAX 認證計畫，隨著汽車行業的數位化轉型，資訊安全問題愈發複雜，德國汽車工業急需一種更加全面、專業的資訊安全評估機制來應對這一挑戰。

其次，供應鏈安全的挑戰也是推動德國汽車工業引入 TISAX 系統的重要因素，德國汽車工業擁有龐大的供應鏈體系，涉及眾多供應商和合作夥伴，在供應鏈中，資訊安全風險可能來自任何一個環節，一旦某個環節出現漏洞就可能對整個供應鏈造成嚴重影響。因此，德國汽車工業需要一種能夠覆蓋整個供應鏈的資訊安全評估機制，以確保供應鏈的安全穩定；德國汽車工業在全球市場上具有重要地位，與國際合作夥伴之間的合作日益緊密，為了確保國際合作中的資訊安全，德國汽車工業需要一種被國際認可的資訊安全評估機制，而 TISAX 系統正是這樣一種符合國際和行業標準的資訊安全評估機制，TISAX 引入有助於提升德國汽車工業在國際市場的競爭力。

最後，法規和政策的要求也是推動德國汽車工業引入 TISAX 系統的關鍵因素，隨著資訊安全法規的不斷完善，德國汽車工業需要遵守相關的法規和政策要求，而 TISAX 系統作為一種符合國際和行業標準的資訊安全評估機制，能夠幫助企業滿足法規和政策的要求，降低資訊安全風險。

目前全世界大概有 15,000 個場址已經通過 TISAX 認證，其中有 48 ％ 為德國廠商，是世界為數最多通過 TISAX 驗證的國家，第二名是在中國大陸，第三名是美國，目前每個月大約新增 500 個場址執行 TISAX 驗證，然而在臺灣僅有十到十幾家的供應鏈通過 TISAX 認證。

企業導入 TISAX 好處之一是 TISAX 使用評估方式，可以瞭解執行過程，參加 TISAX 驗證的企業也能透過網站上的驗證報告給其他參與者參考，所以我們可以說 TISAX 使一個資訊安全供應鏈的管理，有一個共同的標準，讓參與者共同參與。

另外所有供應鏈不再需要去培養稽核的人員去稽核供應鏈廠商，只需要透過驗證機制進行 TISAX 驗證，故此可以節省時間和金錢，也可以透過 TISAX 制度提升供應鏈資訊安全信任度。

TISAX 制度參與流程詳解：從註冊到評估，提升企業資訊安全

企業想要參與 TISAX 制度，必須在 TISAX 官方網站進行註冊。值得注意的是，註冊時產生的費用與後續的驗證費用是分開的，註冊費主要用於 TISAX 網站的維護，這是企業參與該制度所需支付的第一筆費用。完成註冊後，企業將成為 TISAX 制度的參與者，參與者分為被動參與者和主動參與者兩種。

被動參與者是要求主動參與者執行評估的一方，他們希望獲取評估資料，以便決定是否將主動參與者納入其供應鏈中，這一角色並非固定，如果企業需要將資料分享給下一層供應商，它也可能成為被動參與者。同時，企業也可以要求下一層供應商提供 TISAX 的標籤或報告，以確保資料的安全傳遞。在臺灣，目前大部分參與者都是主動參與者，較少有企業需要扮演被動參與者的角色。通常是德國的四大原廠或德國的下一層供應商，會要求臺灣的企業進行 TISAX 評估，以確保供應鏈的資訊安全。

接下來是評估範圍，TISAX 制度設計了三個評估等級（AL1、AL2、AL3），以及一個中間等級 AL2.5。AL1 主要是自我評估，不需要協力廠商驗證公司的介入，若企業希望升級到 AL1，需要提交自我評估報告給協力廠商驗證公司進行檢視，經過驗證公司確認後，企業即可獲得 AL1 的標籤。AL2 和 AL3 則涉及到更深入的評估、AL2 需要稽核員進行現場查看，而 AL3 則是對資訊安全有極高要求的企業所追求的等級。

在整個評估過程中，企業需要明確評估範圍和評估對象，並根據評估等級完成相應的自我評估和準備工作。評估的內容涵蓋了機密性、可用性等多個方面，以確保供應鏈中的資訊安全不會受到影響。此外，TISAX 制度還強調了成熟度水準的要求。企業需要提供足夠長時間的記錄和證據，以證明其資訊安全流程的穩定性和有效性。這一要求對企業來說是一大挑戰，因為相比其他標準，TISAX 對記錄的詳細程度和成熟度水準有著更高的要求。

評估完成後，企業將獲得 TISAX 的標籤和驗證報告。這些報告將被用於與供應鏈中的其他企業進行資訊安全方面的交流和合作。綜上所述，通過 TISAX 制度，企業可以提升整個供應鏈的資訊安全水準，並增強其他企業對自身的信任度。

TISAX 評估等級詳解：從 AL1 到 AL3 及 AL2.5 的差異

TISAX 制度設計了四個評估等級，包括 AL1、AL2、AL2.5 和 AL3，每個等級都有其特定的要求和評估流程。首先，AL1 是最低等級的自我評估，在這個等級中，企業只需要按照 TISAX 的要求進行自我評估，並上傳自我評估報告到 ENX 網站。然而，需要注意的是，儘管 TISAX 的制度設計中包含了AL1等級，但目前在實際操作中，幾乎沒有企業選擇這一等級進行評估，據瞭解，目前台灣地區沒有實際完成過 AL1 等級評估的案例。因此，對於想要參與 TISAX 制度的企業來說，可能需要考慮從更高的等級開始評估。

接下來是 AL2 等級，這是目前臺灣企業普遍選擇的評估等級，在 AL2 等級中，企業需要先進行自我評估，並提供合理性的證據來支援每個評估專案的結論，這些證據需要上傳給協力廠商驗證公司進行線上合理性的檢查；如果驗證公司認為證據合理且充分，那麼企業就可以通過 AL2 等級的評估；如果企業認為證據還不夠完善，還可以邀請稽核員到現場進行進一步的檢查和確認。

值得一提的是，AL2.5 等級是一個介於 AL2 和 AL3 之間的過渡等級，雖然 TISAX 的制度手冊中並未詳細闡述 AL2.5 等級的具體要求，但在國外的研討會中已有提及，AL2.5 等級的評估方式類似於 AL2，但會更為深入，選擇 AL2.5 等級的企業可以在完成評估後，通過差異性的再執行查核來升級到 AL3 等級。然而，目前在臺灣還沒有企業選擇進行 AL2.5 等級的評估。

最後，AL3 是最高等級的評估，在這個等級中，企業需要提供全面性的證據來支持評估結論，稽核員會進行全面的查核，包括抽查證據、進行面對面訪談以及執行現場查核等，AL3 等級的評估流程與 ISO 27001 的現場查核類似，對企業的資訊安全管理系統提出了極高的要求。

TISAX 資訊安全評估新動向：細化評估對象，強化供應鏈安全

隨著資訊安全威脅的日益複雜和多樣化，TISAX 評估系統也在不斷更新和完善。過去，評估對象主要基於資訊的保護需求進行劃分，分為「Info High」和「Info Very High」兩類。

然而，隨著供應鏈遭受的各種挑戰，如疫情、航運中斷等，企業開始意識到，除了機密性外，資訊的可用性同樣至關重要。因此，TISAX 評估系統引入了新的評估對象，將機密性和可用性進行了更細緻的區分。

在機密性方面，資訊被分為「Confidential」和「Strictly Confidential」兩個等級，分別對應不同的安全要求。而在可用性方面，則新增了「High Availability」和「Very High Availability 」以反映供應鏈中資訊安全的實際需求。

這一變革意味著，在 TISAX 評估中，企業需要更加全面地考慮資訊安全風險，除了關注機密性資訊的保護外，還需要確保資訊的可用性，以避免因資訊安全問題導致供應鏈中斷。

為了幫助企業更好地應對這一挑戰，TISAX 評估系統還提供了詳細的指導。企業需要根據自身實際情況，制定合理的資訊安全性原則，確保評估對象範圍內的所有程式和流程都得到充分的安全保障。

總之，TISAX 資訊安全評估系統的這一新動向，不僅細化了評估對象，還強化了供應鏈的安全保障。這一變革將為企業提供更全面、更精准的資訊安全評估服務，助力企業在複雜多變的資訊安全環境中穩健前行。

• 2025 年歐盟 CSDDD、CBAM 上路，對我國企業的影響（下）
• 龍榕金屬啟動ISO 14064-1，踏出減碳轉型關鍵的一步
• 2025 年歐盟 CSDDD、CBAM 上路，對我國企業的影響（上）
• 封固企業、台濾實業啟動ISO 14064-1，永續轉型從碳盤查起步
• 碳足跡：測量與減少環境影響（下）