Les différences entre ISO 27001 et TISAX®

Ecrit par : Stéphanie HANTAT, consultante experte – partenaire EURO-SYMBIOSE spécialisée en Sécurité des Informations

TISAX® et ISO 27001 sont toutes deux des normes dédiées à la sécurité de l’information. Bien qu’elles aient de nombreuses similitudes (90% de la partie commune de TISAX® Information Security repose sur les exigences de l’Annexe A de l’ISO 27001), elles ont aussi chacune leurs particularités qui les rend complémentaires.

Si l’une est généraliste (ISO 27001), l’autre se veut spécialisée dans le domaine de l’automobile (et commence à s’étendre aux camions). Si l’une permet de protéger les données de l’entreprise ou confiée à l’entreprise (ISO 27001), l’autre se concentre sur la sécurisation des données des constructeurs sur toute la supply chain. Si l’une est propriétaire : TISAX® est une labellisation basée sur le catalogue d’exigences rédigé par le VDA, l’autre est internationale. Cela implique une gestion plus agile de la première (le catalogue d’exigences est revu à minima une fois par an) et plus régulée pour la deuxième (le cycle de revu d’une norme ISO est de 5 ans).

TISAX® est une labellisation basée sur une évaluation à 6 niveaux (de 0 à 5). Pour être labellisée TISAX®, une entreprise doit obtenir le niveau 3. Pour être certifiée ISO 27001, une entreprise doit avoir apporter une réponse satisfaisante à chacun des chapitres d’exigences de l’ISO 27001 ainsi qu’aux mesures de sécurité applicables de l’Annexe A.

TISAX® s’applique à un site dans son entièreté, sans exclusion possible. ISO 27001 permet de définir un périmètre précis.

ISO 27001 est une certification suite à audit, TISAX® une labellisation qui repose sur une évaluation.

TISAX® offre trois niveaux d’évaluation possibles : le niveau 1 est une auto-évaluation, le niveau 2 est une évaluation réalisée par un auditeur tierce partie à distance et le niveau 3 est une évaluation réalisée sur site par un auditeur tierce partie. ISO 27001 n’offre qu’une possibilité d’audit sur site.

Enfin, une fois que vous êtes certifiés ISO 27001, vous pouvez montrer fièrement votre certificat tandis qu’avec TISAX®, les résultats de votre évaluation sont déposés sur la plateforme de l’ENX et partageables avec tous les partenaires à qui vous donnez les droits de lecture.

Pour approfondir ces référentiels, nous vous invitons à participer aux formations suivantes :

• TISAX® : mettre en œuvre le VDA ISA pour obtenir la certification TISAX®- #920

• ISO 27001 : 2013 – S’approprier les exigences de la norme – #270

• ISO 27001 : 2013 – Concevoir un Système de Management de la Sécurité de l’information – #271

• ISO 27001 : 2013 – Devenir auditeur système – #272

Vous êtes intéressé ?

Contactez-nous au 02 51 13 13 00 ou par mail : service.clients@euro-symbiose.fr