ISO / GMP / อย.

TISAX คืออะไร? คู่มือมาตรฐานความปลอดภัยข้อมูล Supply Chain ยานยนต์สำหรับผู้ส่งออกไทย 2026

TISAX คือมาตรฐานการประเมินความปลอดภัยข้อมูลที่ OEM รถยนต์ยุโรปบังคับให้ Supplier ผ่าน เรียนรู้โครงสร้าง ENX ISA, Assessment Level 1-3 และขั้นตอนเตรียมพร้อมสำหรับผู้ผลิตชิ้นส่วนยานยนต์ไทยในปี 2026

AF
ADS FIT Team
·8 นาที
Share:
TISAX คืออะไร? คู่มือมาตรฐานความปลอดภัยข้อมูล Supply Chain ยานยนต์สำหรับผู้ส่งออกไทย 2026

# TISAX คืออะไร? คู่มือมาตรฐานความปลอดภัยข้อมูล Supply Chain ยานยนต์สำหรับผู้ส่งออกไทย 2026

อุตสาหกรรมยานยนต์ไทยส่งออกชิ้นส่วนไปยุโรปคิดเป็นมูลค่าหลายแสนล้านบาทต่อปี แต่ในปี 2026 OEM รายใหญ่อย่าง Volkswagen, BMW, Mercedes-Benz, Audi, Porsche และ Stellantis ต่างกำหนดเงื่อนไขชัดเจนว่า Supplier ทุกรายที่แลกเปลี่ยนข้อมูล prototype, CAD, วิศวกรรมลับ หรือข้อมูลลูกค้ากับตน ต้องผ่านการประเมิน TISAX ก่อนจะได้รับ Purchase Order ใหม่

ผู้ผลิตชิ้นส่วนยานยนต์ไทยจำนวนมากสูญเสียโอกาสทางธุรกิจเพราะไม่เข้าใจว่า TISAX คืออะไร ใช้เวลาเตรียมตัวนานแค่ไหน ต่างจาก ISO 27001 อย่างไร และควรเริ่มจากจุดไหน บทความนี้สรุปโครงสร้าง TISAX, Assessment Level, ค่าใช้จ่าย, และ Roadmap 6 เดือนที่ SME ไทยสามารถใช้เตรียมความพร้อมได้จริง

TISAX คืออะไรกันแน่?

TISAX (Trusted Information Security Assessment Exchange) คือกรอบการประเมินความปลอดภัยข้อมูลที่พัฒนาโดย VDA (Verband der Automobilindustrie) สมาคมอุตสาหกรรมยานยนต์เยอรมนี และบริหารจัดการโดย ENX Association จุดเด่นของ TISAX คือการทำ “ประเมินครั้งเดียว ใช้ได้กับหลาย OEM” ผ่าน ENX Portal ที่เป็นศูนย์กลางแบ่งปันผล Assessment ระหว่างสมาชิก

TISAX อ้างอิงโครงสร้างควบคุม (Control Catalogue) จาก VDA ISA (Information Security Assessment) ซึ่งเวอร์ชันปัจจุบันคือ ISA 6 ที่อิงมาจาก ISO/IEC 27001:2022 แต่เพิ่มเติมข้อกำหนดเฉพาะของอุตสาหกรรมยานยนต์ เช่น การป้องกันข้อมูล prototype, การคุมความลับของ supplier ระดับ Tier 2-3 และการเชื่อมต่อ EDI กับ OEM

| หัวข้อ | ISO/IEC 27001 | TISAX |

|--------|---------------|-------|

| ผู้ออกมาตรฐาน | ISO | VDA / ENX |

| กลุ่มเป้าหมาย | ทุกอุตสาหกรรม | ยานยนต์และ Supplier |

| การแบ่งปันผล | ให้ลูกค้าขอเอกสารเอง | Portal กลางของ ENX |

| ระยะเวลาใบรับรอง | 3 ปี | 3 ปี |

| ระดับความเข้ม | 1 ระดับ | 3 Assessment Levels |

Assessment Level 1-3 ต่างกันอย่างไร

TISAX แบ่ง “ความเข้ม” ของการประเมินเป็น 3 ระดับตามความอ่อนไหวของข้อมูลที่ Supplier จัดการ ผู้ส่งออกไทยต้องยืนยันกับลูกค้า OEM ว่าต้องการระดับไหน ก่อนเริ่มโครงการ

  • **AL 1 – Self-Assessment:** ผู้ประเมินตรวจเอกสารที่ Supplier กรอกเองและให้ผลได้ทันที เหมาะกับ supplier ที่แลกเปลี่ยนข้อมูลไม่ลับ ใช้บ่อยระหว่าง Tier ย่อย
  • **AL 2 – Remote Audit + Plausibility Check:** Auditor ภายนอกตรวจ online ตรวจหลักฐาน พร้อมสัมภาษณ์ผู้รับผิดชอบ ใช้กับข้อมูล confidential ทั่วไป เช่น สเปกทางเทคนิค
  • **AL 3 – On-Site Audit:** Auditor เข้า site ตรวจจริง ทดสอบ Control ด้วยตาเปล่า เหมาะกับ supplier ที่เก็บข้อมูล Strictly Confidential, Prototype, หรือข้อมูล End Customer

    • โดยเฉลี่ย OEM ยุโรปใช้ AL 2 หรือ AL 3 สำหรับ Tier 1 Supplier ดังนั้นผู้ผลิตไทยที่ส่งออกโดยตรงควรวางแผนไปที่ AL 2 เป็นอย่างต่ำ

    โครงสร้าง VDA ISA 6: 7 โมดูลต้องรู้

    TISAX ประเมินตาม VDA ISA Catalogue ที่แบ่งคำถามเป็นโมดูลตามความต้องการของ OEM ผู้สมัครต้องเลือก Assessment Objective (Scope) ที่ตรงกับลักษณะข้อมูลที่จัดการ โมดูลหลักประกอบด้วย

  • Information Security – 41 ข้อควบคุมตาม ISO 27001:2022 ครอบคลุม Governance, HR, Asset, Access, Crypto, Ops, Comms, Supplier, Incident, BCM และ Compliance
  • Prototype Protection – การปกป้องรถและชิ้นส่วนทดสอบที่ยังไม่เปิดตัว เช่น พื้นที่ restricted, CCTV, กล้องป้องกันการถ่ายภาพ
  • Data Protection (GDPR) – การคุ้มครองข้อมูลส่วนบุคคล ตาม GDPR Art. 28 Data Processing Agreement
  • Connection to Third Parties – EDI, VPN, OEM Portal Access ต้องมีการแบ่งเครือข่ายชัดเจน
  • Data Handling – Strictly Confidential – การจัดการข้อมูล trade secret ระดับสูงสุด
  • Special Requirements (NDA) – ข้อกำหนดพิเศษตามสัญญาเฉพาะ OEM
  • Connection to OEM Systems – การยืนยันตัวตน, Endpoint Compliance สำหรับอุปกรณ์ที่เชื่อมกับ OEM

    • ขั้นตอนการทำ TISAX 6 เดือนสำหรับ SME ไทย

  • **เดือน 1 – Scoping & Gap Analysis:** ระบุไซต์ที่อยู่ในขอบเขต, ระบุประเภทข้อมูล OEM, ประเมินช่องว่างเทียบกับ ISA 6
  • **เดือน 2 – Policy & Process Foundation:** เขียน ISMS Policy, Asset Register, Access Control Policy, Incident Response Plan, BCM Plan
  • **เดือน 3 – Technical Controls Implementation:** MFA, EDR, SIEM, Encryption at rest/in transit, Network Segmentation, Backup ตาม 3-2-1
  • **เดือน 4 – Prototype & Physical Security:** ติดตั้ง Access Control System, CCTV, Visitor Policy, Clean Desk, Mobile Phone Cabinet
  • **เดือน 5 – Internal Audit & Remediation:** ตรวจสอบภายในเต็มรูปแบบ, ปิด Non-conformity, ฝึกอบรมพนักงานทุกระดับ
  • **เดือน 6 – Registration & External Assessment:** ลงทะเบียนที่ ENX Portal, เลือก Audit Provider (TÜV, DQS, DEKRA, SGS), รับ Assessment Report และ TISAX Label

    • ค่าใช้จ่ายและ Pitfall ที่ต้องระวัง

    | รายการ | ช่วงค่าใช้จ่ายโดยประมาณ |

    |--------|-------------------------|

    | ENX Registration Fee | 495 – 1,890 EUR ต่อปี |

    | External Audit (AL 2) | 15,000 – 30,000 EUR |

    | External Audit (AL 3) | 25,000 – 60,000 EUR |

    | Gap Analysis โดยที่ปรึกษาไทย | 200,000 – 600,000 บาท |

    | Implementation Cost ภายใน | 1 – 4 ล้านบาท |

    | ใบรับรองมีอายุ | 3 ปี |

    Pitfall ยอดนิยมที่ทำให้ Audit ล้มเหลวคือ การไม่แยก network ของ production กับ office, ไม่มี logging ที่ centralize, ไม่มี supplier management formal, และการจัดการ USB/Removable Media ที่หละหลวม

    สรุปและ Call to Action

    TISAX กลายเป็น “ตั๋วเข้างาน” สำหรับผู้ผลิตชิ้นส่วนยานยนต์ไทยที่ต้องการขายตรงให้ OEM ยุโรป การเตรียมตัวใช้เวลาเฉลี่ย 6 เดือน งบประมาณรวม 2-6 ล้านบาท และต้องอาศัยทั้งเอกสาร ISMS, Technical Control, และวัฒนธรรมองค์กรไปพร้อมกัน SME ที่วางแผนล่วงหน้า 12 เดือนจะได้เปรียบทั้งด้านต้นทุนและโอกาสปิดดีลกับ Tier 1 OEM

    Key takeaways:

  • TISAX อิง ISO 27001:2022 + Automotive Controls เฉพาะ
  • Assessment Level ต้องสอดคล้องกับ sensitivity ของข้อมูล OEM
  • วางแผน 6 เดือน + งบ 2-6 ล้านบาท เป็น baseline ของ SME ไทย
  • ใบรับรองอายุ 3 ปี ต้อง Surveillance อย่างสม่ำเสมอ

    • หากต้องการคำปรึกษาเรื่องการวางระบบ ISMS หรือเตรียมความพร้อม TISAX สำหรับโรงงานชิ้นส่วนยานยนต์ของท่าน ADS FIT มีทีมผู้เชี่ยวชาญที่พร้อมช่วย Gap Analysis และวางแผน Implementation ติดต่อเราได้ที่ adsfit.co.th หรืออ่านบทความที่เกี่ยวข้องด้าน ISO 27001, NIS2 และ Automotive Cybersecurity เพิ่มเติมในหมวดหมู่ ISO / GMP / อย.

    Tags

    #TISAX#Automotive Security#Supply Chain#Information Security#ENX ISA#Thai Exporter

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที