TISAX 6.0 评估对象及AL2、AL3审核流程介绍

TISAX 6.0 评估对象及AL2、AL3审核流程介绍

一、TISAX 6.0 核心评估对象界定

      TISAX 6.0（VDA ISA 6.0）作为2024年4月1日正式强制执行的汽车行业专属信息安全与数据交换安全评估标准，相较于5.0版本，进一步细化了评估边界、明确了评估对象，彻底解决了旧版标准评估范围模糊、场景适配不全的问题。其核心评估对象不再局限于传统的IT信息系统安全，而是围绕汽车全产业链数据交换场景、业务载体、组织场所、核心资产四大维度开展全覆盖评估，适配智能网联汽车数字化、网络化、数据化的全新业务形态，是整车厂、零部件供应商、汽车科技服务商合规准入的核心判定依据。

从行业主体维度来看，TISAX 6.0评估对象覆盖汽车全产业链所有参与数据交互的市场主体，具体包含整车制造企业、一级/二级/三级汽车零部件供应商、汽车电子研发企业、车联网运营服务商、车载软件与智能算法研发机构、汽车测试认证机构、汽车数据运维服务企业等。区别于通用信息安全标准，TISAX 6.0针对性约束汽车供应链上下游跨企业、跨区域、跨系统的数据交换行为，所有为整车厂提供产品、技术、服务且产生敏感数据流转的合作企业，均属于强制评估范畴，无行业规模、企业体量豁免条款。

从核心资产与数据维度来看，TISAX 6.0重点评估汽车行业高敏感、高风险交换数据资产，也是区分AL2、AL3评估等级的核心依据。

其一为研发类核心数据，包含整车原型数据、零部件设计图纸、动力系统研发参数、碰撞测试数据、车载智能算法模型、未上市车型涉密技术资料等，此类数据属于汽车行业**密级资产，是6.0版本重点强化管控的对象；

其二为生产供应链数据，包含生产线工艺数据、供应链配套清单、质量检测数据、外协加工交换数据等；

其三为车联网与用户数据，包含车辆行驶轨迹数据、车载感知数据、用户驾乘隐私数据、车辆远程运维数据等；其四为业务支撑数据，包含企业核心经营数据、第三方合作交互数据、跨境传输数据等。

从业务与场所维度来看，TISAX 6.0评估对象涵盖企业所有参与数据处理、交换、存储的业务场景与物理场所，包含研发办公场地、测试实验室、数据机房、生产管控车间、云端数据服务平台、远程运维场景、跨境办公协作场景等。同时将第三方合作场景纳入核心评估范围，重点核查企业与上下游合作方、外包服务商、技术合作机构之间的数据交换安全管控能力，弥补了旧版标准对供应链外部数据流转管控的缺失。

二、TISAX 6.0 AL2、AL3评估等级核心定位与适用场景

TISAX 6.0延续三级评估体系（AL1/AL2/AL3），其中AL1为基础自我评估，仅用于企业内部合规自查，不被主机厂供应链互认；AL2、AL3为行业官方认可、供应链通用互认的有效评估等级，也是企业准入汽车供应链合作的核心资质，二者根据数据敏感等级、业务风险等级划分，审核标准、流程、严格程度差异显著。

AL2为高级合理性评估等级，适用于承载中高敏感数据交换、常规汽车供应链业务的企业，是目前汽车零部件、常规配套服务商的基础准入等级。在TISAX 6.0新版标准中，AL2重点适配普通生产数据、常规供应链协作数据、非涉密运维数据、通用车联网服务数据的处理与交换场景。该等级核心要求为企业具备完善的信息安全管理制度、规范的数据交换流程、基础的安全技术防护能力，能够有效防范常规数据泄露、篡改、非法流转风险，满足整车厂常态化供应链合作合规要求。绝大多数二级、三级零部件供应商、通用汽车服务企业均以AL2评估为核心合规目标。

AL3为**级深度评估等级，是TISAX 6.0标准的核心严控等级，适用于承载极高敏感数据、核心涉密业务、关键车载安全相关业务的企业，为整车厂核心准入强制等级。根据6.0新版新规，凡涉及整车原型研发、核心动力系统开发、车载安全系统设计、高精度测试数据处理、未上市车型技术研发、核心智能驾驶算法迭代等业务的企业，必须通过AL3评估。相较于AL2，AL3对数据全生命周期管控、物理安全防护、业务连续性、应急处置、第三方管控的要求全面升级，审核覆盖企业所有涉密场所、核心业务、技术体系，是汽车行业高端研发、核心配套企业的合规标杆。

三、TISAX 6.0 AL2 完整审核流程（远程合理性审核）

TISAX 6.0版本对AL2审核流程进行了标准化优化，取消了旧版灵活审核模式，统一规范为前置筹备-注册申报-资料审核-远程访谈-问题整改-标签公示六大固定流程，全程以远程审核为主，仅特殊高风险场景需补充现场核查，整体审核周期短、落地难度适中，适配绝大多数常规供应链企业。

**阶段为前期筹备与自我合规校验。企业需依据VDA ISA 6.0标准，完成信息安全管理体系搭建或升级，重点补齐数据分级分类、数据交换管控、权限管理、日志审计、隐私保护等新版新增条款要求。同时完成全范围自查，填写官方标准问卷，开展差距分析，整改体系缺失、流程不规范、技术防护缺失等问题，整理制度文件、流程记录、安全配置截图、审批台账等全套佐证资料，确保所有AL2强制条款均有对应落地证据。

第二阶段为ENX平台注册与机构选定。企业需在ENX官方平台完成实名认证，获取**企业参与者ID，精准界定评估范围、业务场景与评估等级（AL2），提交注册凭证。随后选择ENX官方认可的第三方权威审核机构，提交评估申请、企业资质、自查报告及全套体系资料，确认审核计划与时间节点，锁定审核范围，避免后期范围变更导致审核失效。

第三阶段为文件合规性审核。审核机构专家依据TISAX 6.0 AL2强制条款，逐条核查企业提交的制度文件、流程规范、证据材料，重点审查数据交换流程合规性、隐私保护制度完整性、权限管控规范性、日志留存合规性、第三方合作安全管控机制等核心内容。此阶段核心排查文件漏洞、条款缺失、证据无效等问题，出具文件审核意见，标注轻微不符合项与整改建议。

第四阶段为远程访谈与合理性核验。AL2核心审核环节为远程线上访谈，审核专家通过视频会议形式，对企业信息安全负责人、数据安全管理员、业务负责人、运维人员开展抽样访谈，核查制度落地真实性、人员合规认知度、日常数据交换管控执行情况。同时针对高风险业务场景，远程核验系统配置、权限台账、审计记录等实时资料，验证体系落地的合理性与有效性，确认无虚假建体系、资料造假等问题。

第五阶段为不符合项整改闭环。针对审核过程中发现的轻微不符合项、一般不符合项，企业需在规定时效内完成整改，优化制度流程、补充落地证据、完善管控措施，提交整改报告与佐证材料。AL2无严重不符合项强制否决机制，所有问题均可通过整改闭环，审核机构复核通过后，确认企业合规达标。

第六阶段为标签公示与资质生效。审核全部通过后，审核机构向ENX平台提交评估结果，ENX审核备案后为企业颁发TISAX AL2官方标签，公示企业合规资质，标签有效期3年，期间需完成年度监督自查，确保合规体系持续有效。

四、TISAX 6.0 AL3 完整审核流程（现场深度评估）

TISAX 6.0 AL3审核为行业最严格的深度评估，相较于AL2远程审核，新增全场所现场核查、核心业务穿透测试、物理安全核验、业务连续性验证等核心环节，审核覆盖范围更广、核查颗粒度更细、整改标准更严苛，整体流程分为七大阶段，是核心汽车供应链企业合规落地的核心难点。

**阶段为全域合规筹备与深度自查。AL3企业需针对6.0新版高等级强制条款，搭建全覆盖的安全管控体系，重点强化原型数据保护、涉密研发场景隔离、数据防泄露、系统可用性保障、应急灾备、跨境数据管控等专项体系。开展全域差距分析，不仅核查制度文件完整性，更需验证技术防护、人员管控、物理安全、应急处置的实际落地效果，完成全场景模拟自查，提前闭环所有显性、隐性合规问题，整理全套精细化落地证据。

第二阶段为平台注册与专项评估申报。企业精准划定AL3评估范围，明确涉密场所、核心业务、高敏感数据流转场景，在ENX平台完成AL3专项注册，选定具备汽车高端研发审核资质的第三方机构，提交全套体系文件、自查报告、风险台账、防护方案等资料，申报深度现场评估。

第三阶段为前置文件深度评审。审核专家对企业资料进行逐条深度核验，重点核查AL3专属强制条款落地情况，包含原型数据全生命周期保护机制、涉密区域隔离制度、高密数据交换审批流程、业务连续性保障方案、数据泄露应急处置预案等。严格排查体系漏洞，若存在重大条款缺失、核心证据无效、管控机制空白等严重问题，直接驳回申报，需企业重新整改后再次申报。

第四阶段为现场全方位深度审核，为AL3核心关键环节。审核团队进驻企业所有涉密办公、研发、测试、数据机房等场所，开展全维度核查：一是物理安全审核，查验涉密区域门禁管控、监控留存、人员出入管理、设备隔离、纸质涉密资料销毁管控等；二是技术体系核查，现场核验数据加密传输、访问权限隔离、DLP防泄露配置、日志全量留存、灾备系统可用性等技术落地效果；三是人员深度访谈，分层访谈管理层、安全管理员、研发人员、运维人员，核查全员合规履职情况；四是业务穿透核查，抽取真实数据交换业务台账，反向核验审批、传输、留存、销毁全流程合规性。

第五阶段为问题汇总与分级整改。现场审核结束后，审核组出具详细审核报告，划分轻微、一般、严重三级不符合项。其中严重不符合项直接导致审核不通过，企业需全面重构相关管控体系；一般不符合项需在规定周期内完成闭环整改；轻微问题需优化完善、形成长效管控机制。相较于AL2，AL3整改周期更长、标准更高，所有整改项必须经过审核组二次复核验证。

第六阶段为复核验证与结果确认。企业完成全部整改后，提交整改资料与优化证明，审核组开展专项复核，针对现场问题点位、核心条款、高风险场景进行二次核验，确认所有问题完全闭环、合规体系运行有效，最终出具AL3评估合格报告。

第七阶段为资质备案与长效合规管控。合格结果上报ENX平台，公示颁发TISAX AL3**等级合规标签，有效期3年。同时企业需每年接受监督审核，持续优化合规体系，适配TISAX标准迭代与主机厂最新合规要求，保障供应链合作资质持续有效。

五、TISAX 6.0 AL2与AL3审核核心差异总结

在6.0新版标准框架下，AL2与AL3的核心差异集中在审核方式、核查深度、管控要求、适用场景四个维度。审核方式上，AL2以远程文件审核+线上访谈为主，无强制现场核查；AL3必须开展全域现场审核，覆盖所有涉密场所与核心业务。核查深度上，AL2侧重制度合规性与流程合理性核查；AL3侧重体系落地有效性、技术实操性、场景适配性的穿透式核查。管控要求上，AL2满足基础数据交换安全合规；AL3强化高密涉密数据、原型资产、核心系统的全维度防护。适用场景上，AL2适配常规供应链配套业务，AL3适配汽车核心研发、高涉密数据处理业务，二者共同构成TISAX 6.0汽车供应链数据安全合规准入体系，为汽车行业数据安全、合规交换、供应链稳定合作提供核心支撑。