O TISAX (Trusted Information Security Assessment Exchange) é um conjunto de requisitos e avaliações de segurança de informações desenvolvido pela VDA (Associação Alemã da Indústria Automotiva) e a ENX (European Network Exchange).

Os veículos atuais contêm uma grande rede de dispositivos informatizados, por isso, é importante que a segurança da informação desempenhe o seu papel desde a fabricação até o intercâmbio de dados que precisam ser protegidos contra qualquer tipo de roubo, perda ou manipulação. Além disso, o processo de certificação garante um alto grau de compatibilidade e transparência, fortalecendo a confiança entre serviços e clientes com a obtenção dos rótulos relevantes da TISAX como um requisito obrigatório. 

Ele foi criado para estabelecer um padrão de segurança da informação na indústria automotiva e garantir a proteção adequada dos dados confidenciais e sensíveis. O TISAX é amplamente adotado por empresas automotivas e seus fornecedores como um requisito para a colaboração e compartilhamento de informações dentro da cadeia de suprimentos. Ele define os critérios de avaliação, métodos e níveis de segurança que as organizações precisam atender para obter a certificação TISAX.

A TISAX é utilizada pelas empresas tanto para fins internos, como para avaliações de fornecedores e prestadores de serviços que processam informações confidenciais.

estabeleceu um mecanismo comum de avaliação e troca de auditorias de segurança da informação, de acordo com o VDA ISA, que já é usado por mais de 2.500 empresas em mais de 40 países.

A TISAX é mantida pela ENX (European Network Exchange), uma associação formada por 16 membros:

Audi, BMW, Bosch, Continental, Daimler,
DGA, Ford, Magna, PSA Peugeot Citroën, Renault, Volkswagen a as associações automitivas ANFAC (Espanha), GALIA (França), SMMT (UK), OSD (Turquia) and VDA (Alemanha)

Apesar de ser baseada na ISO 27001, a TISAX (Trusted Information Security Assessment Exchange) e a ISO 27001 são dois conjuntos de requisitos e avaliações relacionados à segurança da informação, as principais diferenças entre eles são as seguintes:

1. Escopo: A TISAX é uma estrutura de avaliação de segurança da informação específica para o setor automotivo. Foi desenvolvida pela VDA (Associação Alemã da Indústria Automotiva) e é amplamente adotada por empresas automotivas e seus fornecedores. Por outro lado, ISO 27001, é um padrão internacional aplicável a organizações de qualquer setor ou indústria. Apesar da grande área de intersecção, existem controles da TISAX que não fazem sentido para todas as empresas e outros da 27001 que não se aplicam ao setor automotivo.

2. Foco: A TISAX se concentra nas medidas de segurança necessárias para proteger informações confidenciais e sensíveis no contexto da indústria automotiva. A ISO 27001 é uma norma mais abrangente que estabelece requisitos para um sistema de gestão de segurança da informação (SGSI), abordando aspectos como governança, gestão de riscos, controle de acesso, continuidade de negócios, entre outros.

3. Avaliação: A TISAX requer a realização de uma auditoria de conformidade conduzida por um auditor certificado pela ENX Association. Já a ISO 27001 envolve a implementação de um SGSI e a realização de uma auditoria de terceira parte, conduzida por um organismo de certificação independente.

4. Reconhecimento: A TISAX é amplamente reconhecida e adotada pela indústria automotiva, especialmente na Europa, sendo um requisito para a colaboração com muitas empresas do setor. A ISO 27001, por sua vez, é uma norma internacionalmente reconhecida e pode ser exigida por organizações de diversos setores ao selecionar parceiros comerciais.

Em resumo, a TISAX é uma estrutura específica para o setor automotivo, enquanto a ISO 27001 é uma norma mais ampla aplicável a qualquer setor. Ambas são relevantes para a segurança da informação, mas com foco e escopo diferentes.

O TISAX possui níveis de maturidade que não estão presentes na ISO 27001. O TISAX define três níveis de maturidade: Nível de Maturidade 1 (Maturity Level 1), Nível de Maturidade 2 (Maturity Level 2) e Nível de Maturidade 3 (Maturity Level 3).

Esses níveis de maturidade no TISAX são usados para indicar o quão madura é a implementação das medidas de segurança da informação em uma organização. Eles são baseados em critérios específicos relacionados à governança da segurança da informação, gestão de riscos, conformidade legal, conscientização e treinamento, entre outros aspectos.

Esses níveis de maturidade fornecem uma abordagem gradativa para a melhoria contínua da segurança da informação nas organizações automotivas e seus fornecedores. Cada nível de maturidade requer a implementação de um conjunto crescente de controles e práticas de segurança.

Por outro lado, a ISO 27001 não possui níveis de maturidade definidos em seu padrão. No entanto, ela enfatiza a necessidade de um processo contínuo de melhoria do Sistema de Gestão de Segurança da Informação (SGSI) com base na política e nos objetivos estabelecidos pela organização.

É importante destacar que os níveis de maturidade do TISAX não são diretamente comparáveis com os níveis de maturidade de outros modelos ou padrões, como o Capability Maturity Model Integration (CMMI), por exemplo, que é usado para avaliar a maturidade de processos de desenvolvimento de software. Os níveis de maturidade do TISAX são específicos para avaliar a maturidade da segurança da informação dentro do contexto da indústria automotiva.

.

Não existe uma certificação profissional específica para o TISAX. O TISAX é um conjunto de requisitos e avaliações de segurança de informações utilizado pela indústria automotiva para garantir a proteção adequada dos dados. No entanto, existem certificações e treinamentos mais amplos em segurança da informação, como o CompTIA Security+ e o CISSP (Certified Information Systems Security Professional), que podem fornecer conhecimentos e habilidades relevantes para profissionais envolvidos com o TISAX.

A TISAX possui .

Os controles da TISAX são organizados em domínios e subdomínios, seguindo uma estrutura hierárquica. Cada domínio representa uma área de controle de segurança da informação e é subdividido em subdomínios que abordam aspectos mais específicos. Essa estrutura ajuda a organizar os requisitos e controles da TISAX de forma sistemática.

A estrutura de domínios e subdomínios da TISAX pode variar ligeiramente dependendo da versão específica em uso, mas em geral, eles cobrem as seguintes áreas:

1. Organização e Pessoas: Envolve requisitos relacionados à governança de segurança da informação, definição de responsabilidades, conscientização e treinamento dos funcionários.

2. Ativos e Informações: Trata da classificação, proteção e gerenciamento adequado dos ativos de informação, incluindo dados confidenciais, sistemas e recursos.

3. Segurança Física: Inclui requisitos para proteção física das instalações, controle de acesso, prevenção de danos e medidas de segurança contra ameaças externas.

4. Comunicação e Operações: Abrange aspectos relacionados à proteção das redes de comunicação, gerenciamento de incidentes, gestão de mudanças e continuidade de negócios.

5. Controle de Acesso: Envolve requisitos para o controle adequado do acesso a sistemas, aplicativos e informações, incluindo autenticação, autorização e gestão de privilégios.

6. Desenvolvimento de Software e Manutenção: Trata da segurança durante o desenvolvimento de software, gestão de vulnerabilidades, testes de segurança e manutenção de sistemas.

7. Conformidade Legal: Envolve requisitos relacionados à conformidade com leis, regulamentos e acordos contratuais relevantes.

Cada subdomínio contém requisitos e controles específicos que devem ser atendidos para alcançar a conformidade com o TISAX. Os detalhes completos dos controles podem ser encontrados na documentação oficial do TISAX disponibilizada pela VDA (Associação Alemã da Indústria Automotiva).