TISAX認証支援コンサルティング｜TISAX認証取得支援
・他ISO取得・
　スリープロサポート株式会社

ISOコンサルタント：トップ ＞ その他規格導入支援コンサルティング ＞ TISAX認証支援コンサルティング　TISAX認証の流れ

　TISAX-自動車産業における情報セキュリティ対策認証制度　TISAX認証の流れ

　TISAX の認証登録を始めるには、まず、認証基準である「VDA ISA」の内容を確認します。そして、ある程度要求事項の内容を大枠で理解した後、ENXへ登録し、ENXと契約を締結します。ENX登録は、オンラインで英語での登録が必要ですので少し注意が必要ですが、国内の審査機関（テスト サービス プロバイダー）に相談すると無償で支援してくれる場合もありますので、予定している審査機関があるのであれば相談しながら登録しましょう。登録が完了する事で、TISAXを認証する為の組織の情報がENXへ提供されたことになります。そして、ENXからTISAXを認証する為に三つの基準カタログ（情報セキュリティ、プロトタイプ保護、データ保護）への適合を要求され、組織はそれぞれに対応しながらISMSを構築・運用し、TISAX審査を受けてENXでラベルを共有する事になります。TISAXの認証支援コンサルは是非TPSへお任せください。

　ENX協会とは、TISAXを開発・運営する自動車メーカーとサプライヤーで構成された自動車業界の為の非営利団体の事です。 メンバー構成は以下のようになり、ENXプラットホームの運営や、基準カタログ（TISAXに登録する為のセキュリティーを満たすべき大枠での領域。情報セキュリティ、プロトタイプ保護、データ保護の3つが存在する。※）の改善等を行います。ENXはTISAXにおける中心的な役割を担う団体となります。

【メンバー構成】

　メーカー：
　アウディ、BMW、コンチネンタル、ボッシュ、ダイムラー、DGA、フォード、マグナ、PSAプジョーシトロエン、ルノー、
　フォルクスワーゲン、その他。

　団体：

　ANFAC（スペイン）、GALIA（フランス）、SMMT（英国）、VDA（ドイツ）

※　何を扱っているか、何処を守るかの領域。Information Security 情報セキュリティ（44問）：全ての業種で適用される。Prototype Protection プロトタイプ保護（試作品）（22問）：製造では無いところもある。世に出ていない新製品の保護。Data Protectionデータ保護（4問）：研究・開発。製造業は基本無し。

　TISAXで定義する保護すべき情報セキュリティのレベルは、3段階（Al1-Al3）で存在します。OEMや取引先、情報の種類ごとに管理レベルが要求（指定・要求される場合はほとんどレベル3）され、そのレベルにより組織の管理策（対応度合い）が異なってきます。当然、審査機関のTISAX審査においても管理レベルで厳しさはそれぞれ違ってくるというわけです。レベル1は自己評価で審査は行われず、レベル2は電話会議などで審査の厳しさは低いのですが、レベル3は現地審査で厳しくチェックされます。この様に、ISOマネジメントシステム審査と異なり、「自己評価」と「審査員による審査」の2段階に分かれてます。また、現時点では国内におけるTISAX認証事業者は少なく、同時に日本人審査員も少ないので、審査員はドイツ人という審査機関もあり、審査機関を選ぶ際には注意が必要です。また、一度TISAX審査に合格し、TISAXラベルが発行（TISAXの認証）されると、ISOマネジメントシステムのようにサーベイランス（定期監査）が無く、TISAXラベル（登録証と同義）は3年ごとの更新となります。

　TISAXは以下の図のようなプロセスを経て認証、維持、更新します。

　 【ENX登録】
　　□　ENX協会に参加者として登録（有料：約300ユーロ/1サイト）
　　　　：英語にて登録
　　□　スコープの決定（TISAXの適用範囲）
　　　　：何を扱っており、何処を守る必要があるのか
　　　　：マルチサイトオプションの確認（5か所以上、SGA)
　　□　TISAX審査モジュールの決定（Information、Prototype、Data）
　　　　：何を扱っており、何処を守る必要があるのか
　　□　TISAXアセスメントレベルの決定（Al1~AL3） 　

　　　　：上位顧客要望、承認

　【審査機関選定】
　　□　TISAX審査機関（AP）の選定、契約

　【国内でTISAX審査可能な審査機関一覧】（2024年4月）

　- TISAX日本の営業および監査 -
　・BSI
　・ビューローベリタスサービス
　・デロイト サーティフィケーション サービシズ
　・DQS
　・KPMG
　・PWC
　・SGS
　・テュフ ラインランド

　- TISAX日本の営業または監査 -
　・DNV
　・ERNST & YOUNG

　- TISAX日本でも査定が可能 -
　・CIS
　・オペレーション サービス
　・テュフ ノルド
　・テュフズード

　【自己評価】
　　□　ISA基準カタログに基づく自己評価（ギャッ分析）
　　　　：現在の組織のISMSがTISAX要件を満たすのか、成熟度レベル6段階（0~5）で評価する

　成熟度レベル 0 (未完了）
　　プロセスが利用できない、プロセスに従っていない、またはプロセスが目的達成に適していない
　成熟度レベル 1 (実施済み）
　　文書化されていないか文書化が不完全なプロセスに従っており、その目的を達成する指標は存在する
　成熟度レベル 2 (管理済み）
　　目的を達成するプロセスに従っている。プロセスが文書化され、実施されたことを示す証跡がある。
　成熟度レベル 3 (確立済み）
　　システム全体に統合された標準的なプロセスが適用されている。他のプロセスとの依存関係が文書化され、適切なインターフェース
　　が作成されている。そのプロセスが、長期間にわたって持続的かつ積極的に使用されている証跡が存在する。
　成熟度レベル 4 (予測可能）
　　確立されたプロセスに従っている。プロセスの有効性は、主要データの収集を通じて継続的に監視されている。
　　プロセスの有効性が不十分であると判断され、調整が必要とされる限界値が定義されている。（KPI）
　成熟度レベル 5 (最適化）
　　継続的な改善を主目的とする予測可能なプロセスに従っている。改善は、専用のリソースによって積極的に進められている。

　

　(参考：TISAXハンドブック)

　【ISMS改定運用】
　　□　改善計画の策定
　　□　ギャップ分析を基にISMSを構築し、スコアを改善する（ギャップの解消）
　　　　：全てのTISAX要求事項におけるMast、shouldのクリア、文書化、運用（エビデンス）
　　□　結果スコアが全て「3」以上（基本）で初回審査の準備ができる
　　　　：カットバック、及び例外の理解

　 【審査】
　　□　TISAX自己評価の提出（期限内）、及び確認
　　□　TISAX審査レベルの確認（AL1.2.3）
　　　　：評価レベル 1（AL1）自己評価のみで審査員による審査は実施しない。 信頼レベルが低い為TISAXラベル発行無し。
　　　　：評価レベル 2（AL2）審査員によるオンラインインタビュー（電話など）を実施する。 （AL2.5=リモート審査）
　　　　：評価レベル 3（AL3）審査員による現地審査。 TISAXラベルを必要とする全ての事業者は現地審査を受ける必要がある。
　　□　TISAX審査工数の確認
　　　　：TISAXは一般的にはISO27001の審査工数より短い（ただし1日単価が自由に設定できるために費用は高い）。
　　　　　1サイトで平均的な中小企業の場合、審査レベル 2の審査は3.5〜4人日、審査レベル 3の審査は5〜6人日。
　　□　TISAX審査コンサルタントの立ち会いの確認

　　　　：審査機関によりOK、NGがある
　　□　TISAX審査結果（指摘事項は4つにランク分け）
　　　

　　□　是正計画の策定、審査
　　　　：「是正計画」を審査機関に提出。審査機関は計画を審査。
　　□　フォローアップ審査
　　　　：是正処置期間は最大で9か月（それ以降は基本的には最審査となるが、遅延届けでOKとなる場合もある）

　 【ラベル付与】
　　□　TISAX初回審査の「クロージングミーティング」から3年間有効
　　　　：TISAX仮ラベル発行時からカウント。定期的な監査（ISOにおけるサーベイランスなど）は無い
　　□　ENXポータルで情報をパートナー（主に取引先）と共有

　　　　：共有権限の作成。TISAX認証組織はイエローページより確認。ただし、掲載は任意で未掲載組織も多数存在する。

　【更新】
　　□　TISAX審査スコープを再度登録し、再審査
　　　　： マルチサイト簡易グループ評価による全サイト・アセスメントの実施

　　　　： スコープの確認（拡張など）

　
　TISAX認証支援コンサルティングは、TISAXコンサル実績があるスリープロサポートへご相談ください。貴社のニーズにお応えする様々なコンサルティングを提供させて頂きます。