ISO27001信息安全管理体系办理具备条件

目前大众，奥迪和保时捷要求供应商必须通过TISAX认证。后续

其他德国车企也会跟进要求供应商通过TISAX认证。

两者皆可提升组织的信息安全能力，降低信息安全事件、事故的发生，只是应用层面有所不同。

1. ISO 27001是一应用层面广泛的信息安全管理系统的认证，适于各产业采用。

2. TISAX则提供了汽车产业一信息安全评估结果的平台，在评估方获得被审核者授权后 (在 ENX Portal上授予权限)，让被审核者可自行决定那些伙伴可在平台得知其信息安全评估结果，藉此让汽车供应链合作伙伴了解其在网络安全及资料保护上的成果。

 ISO 27001共包含两部分，除了条文第四章至第十章，另外还有附录 A的 114个资安控制措施，通过 ISO27001认证代表企业已建立、实施及维持及持续改善ISMS要求之事项

TISAX VDA-ISA (Information Security Assessment) 参考 ISO 27001、ISO 27002等规范外，并参酌法规(例如:欧盟个资法 GDPR)及汽车产业之要求做为管制项目，四大管制面向及内容简述如下:

    1. 信息安全 (information security) : 因属核心的强制(mandatory)评估项目，故必须评估，无法排除。及下列选择性问项，共三类

    2. 第三方的连接 (Connection to 3rd parties) : 如项目办公室和项目区域。

    3. 资料保护 (Data protection) : GDPR第28条资料处理者。

    4. 原型保护 (Prototype protection) : 针对尚未对外公布的车、元件、零件之保护。

1. 范围: ISO 27001适用产业的范围较 TISAX广。

2. 级别制: ISO 27001无级别制，TISAX则采用级别制，

    共有三种审核等级 (Assessment level (AL)，AL1一般是自评，AL2和 AL3需要第三方稽核员对公司进行现场稽核，一般获得 AL2和 AL3才能够获得TISAX的认可。