TISAX 英文全名:Trusted Information Security Assessment Exchange.
TISAX 指導手冊之發行單位:ENX Association an Association according to the French Law of 1901,
版本:Date: 2021-01-06, Version: 2.3
當客戶要求證明公司的資訊安全管理,符合「 VDA1 Information Security Assessment」(VDA ISA 所定義的級別)。您就必須透過 TISAX 平台,分享資訊安全管理之評估結果。
VDA 推出了一套多數成員認可的資訊安全評估流程,評估完成後並須將結果上傳到資訊交換平台TISAX,藉以取代之前各主車廠的頻繁二者稽核,並提供各需車廠或利害關係者進行查詢(需經授權),從供應商的角度來說,頻繁的客戶稽核,已經造成供應商的營運負擔。
為此,VDA聯合 ENX 推出了多數得到大部分組織成員認可的資訊安全評估流程,並將稽核結果放在可信賴的訊息交換平台 - TISAX。許多車廠如德國大眾、寶馬、保時捷總公司皆已強力要求其供應鏈都應獲得TISAX認證,取得Participant-ID,以利資訊數據的交換、整合稽核資源、節省雙方稽核成本。
TISAX 平台推出後,歐系車廠 Volkswagen/ BMW / 保時捷等車廠已開始要求供應鏈必須取得 TISAX 認證。
在 TISAX 上的參與方只有兩種角色,評估者和被稽核者。一個參與組織(participant)可能受另一個參與組織的要求,進行TISAX符合性評估,並對其公佈自己的評估結果。透過 TISAX 資訊分享平台,其它的參與組織也可以向被稽核者提出申請或授權查看評估結果。
1.TOYOTA日本總公司表示旗下5家Toyota經銷商、2家Lexus經銷售及一家Corolla經銷商的網路及伺服器遭到未經授權的存取,近三百一十萬名顧客資料遭到未經授權的存取。
2.Pen Test Partners揭發兩款高階汽車防盜系統有遠端挾持安全漏洞,讓駭客能直接偷走車輛或讓車輛在行進中停止,影響到Mazda、Range Rover 、Kia 、Toyota旗下特定車款的安全性。
3.日本汽車大廠本田汽車(Honda Motor)一個內含超過1億份文件,包含員工電腦主機名稱、IP、使用哪套安全軟體的資料庫,由於未設密碼,恐讓全球公司電腦安全部署及漏洞狀況被人看光。
4.電動車生產商特斯拉控告華裔前職員曹光植,他涉嫌在 2018 年底離職前,複製30多萬份自動駕駛相關的原始碼(source code)文件,並傳 Autopilot 相關程式碼副本到私人 iCloud 帳號,跳槽到被稱為中國版特斯拉「小鵬汽車」位於矽谷的辦公室任職。
有鑑於此,汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA 的決心。
資料來源: iThome / BBC News中文
發行單位:德國汽車工業聯合會(VDA)
ISA: Information Security Assessment
版本:2020年9月30日, Version:5.0.2
VDA-ISA標準背景:歐盟於2016年4月14日投票通過歐盟個資法(General Data Protection Regulation,以下簡稱GDPR),該法案在2018年5月25日生效。
德國汽車工業協會(VDA)多年前成立了「VDA 資訊安全委員會 Information Security Committee」,並制定了汽車行業的資訊安全的標準 Information Security Assessment,簡稱 VDA ISA,其結構主要參照國際標準ISO/IEC 27001,也加入了 ISO/IEC 27002 和 ISO/IEC 27017 等標準。
該標準係由一個基本內容加上:
(1) 用於原型保護(Prototype protection)的附加模組
(2) 資料保護(Data protection)GDPR第28條規定處理者應履行的義務
※ 資料保護方面,可參考於2019年發佈的 ISO/IEC 27701隱私資訊管理系統,該系統考量了 GDPR及 ISO 29100等國際標準,有助更完整的遵循資料及隱私保護相關規範。
之前的 ISA 通常被用於組織的內部控制/稽核要求,或是用來稽核有機會接觸組織敏感訊息的供應商(服務商)。
領導力企管提醒您,導入 TISAX 或資訊安全管理,涉及硬體及管理制度的調整及改善,準備相對耗時,建議預留導入時間8~12個月。當然,如果有一定資安管理基礎(如已取得 ISO 27001認證),建立 TISAX 可以減少不少時間。以下是執行步驟:
稽核範圍有雙重意思,一地理範圍,另外一個就是稽核目標的範圍。
1.1地理範圍的很容易區分:分公司、部門、哪些廠區、哪些部門需要進行資訊安全防護;
1.2稽核目標範圍需要與客戶達成共識,了解客戶期待組織取得何等級。稽核等級分為AL1、AL2和AL3。
1.2.1 AL1一般是自評,
1.2.2 AL2和AL3需要第三方稽核員對公司進行現場稽核,一般獲得AL2和AL3才能夠獲得TISAX的認可。
Note:此項要求一般需要和客戶溝通好,需要獲得什麼等級、稽核哪些目標,不同客戶提出不同需求,並考慮最大化的滿足他們的要求。
確定好以上的各種範圍(Scope)之後,就需要對TISAX的要求和公司內部進行診斷分析。主要從Information Security Assessment(ISA)的要求進行評分。
依照ISA之要求,建立程序文件及表單,並改善Step2中出現的問題,滿足評估的要求,通常這個階段會委託顧問公司協助。
需營運一段時間的資訊安全系統,包含執行內部稽核、管理審查。
向驗證公司提出申請、並接受驗證,如TÜV Rheinland, TUV Nord等驗證機構。
最後,為確保資安管理系統完整,建議資安管理機制之導入步驟:
確認範圍(ISO27001申請範圍/TISAX之等級及囊括範圍)
申請 ISO2700 1:2013,為 ISA的要求打底。
確認車用客戶 ISA車用等級要求。
進行 ISA差異分析,建立對應客戶之特有流程
申請 TISAX查證
登錄 TISAX資訊平台
請立即與我們聯繫,申辦汽車安全評估訊息交換平台 (TISAX)-VDA ISA。