汽車安全評估訊息交換平台(TISAX)-VDA ISA

Trusted Information Security Assessment Exchange

什麼是汽車安全評估訊息交換平台(TISAX)-VDA ISA Trusted Information Security Assessment Exchange ?

TISAX 英文全名:Trusted Information Security Assessment Exchange.
TISAX 指導手冊之發行單位:ENX Association an Association according to the French Law of 1901,

目前版本 > Date:2022-5-01 , version 5.0.1 
即將更新版 > Date:2024-4-01 , version 6.0.1 發布在即,將以此更新的版本導入。

當客戶要求證明公司的資訊安全管理,符合「 VDA1 Information Security Assessment」(VDA ISA 所定義的級別)。您就必須透過 TISAX 平台,分享資訊安全管理之評估結果。

VDA 推出了一套多數成員認可的資訊安全評估流程,評估完成後並須將結果上傳到資訊交換平台TISAX,藉以取代之前各主車廠的頻繁二者稽核,並提供各需車廠或利害關係者進行查詢(需經授權),從供應商的角度來說,頻繁的客戶稽核,已經造成供應商的營運負擔。
 
為此,VDA聯合 ENX 推出了多數得到大部分組織成員認可的資訊安全評估流程,並將稽核結果放在可信賴的訊息交換平台 - TISAX。許多車廠如德國大眾、寶馬、保時捷總公司皆已強力要求其供應鏈都應獲得TISAX認證,取得Participant-ID,以利資訊數據的交換、整合稽核資源、節省雙方稽核成本。

歐系車廠 Volkswagen / BMW / Porsche 已開始要求供應鏈必須取得 TISAX 認證

TISAX 平台推出後,歐系車廠 Volkswagen/ BMW / 保時捷等車廠已開始要求供應鏈必須取得 TISAX 認證。
 
在 TISAX 上的參與方只有兩種角色,評估者和被稽核者。一個參與組織(participant)可能受另一個參與組織的要求,進行TISAX符合性評估,並對其公佈自己的評估結果。透過 TISAX 資訊分享平台,其它的參與組織也可以向被稽核者提出申請或授權查看評估結果。

汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA的決心,範例如下

  1. TOYOTA日本總公司表示旗下5家Toyota經銷商、2家Lexus經銷售及一家Corolla經銷商的網路及伺服器遭到未經授權的存取,近三百一十萬名顧客資料遭到未經授權的存取。
  2. Pen Test Partners揭發兩款高階汽車防盜系統有遠端挾持安全漏洞,讓駭客能直接偷走車輛或讓車輛在行進中停止,影響到Mazda、Range Rover 、Kia 、Toyota旗下特定車款的安全性。
  3. 日本汽車大廠本田汽車(Honda Motor)一個內含超過1億份文件,包含員工電腦主機名稱、IP、使用哪套安全軟體的資料庫,由於未設密碼,恐讓全球公司電腦安全部署及漏洞狀況被人看光。
  4. 電動車生產商特斯拉控告華裔前職員曹光植,他涉嫌在 2018 年底離職前,複製30多萬份自動駕駛相關的原始碼(source code)文件,並傳 Autopilot 相關程式碼副本到私人 iCloud 帳號,跳槽到被稱為中國版特斯拉「小鵬汽車」位於矽谷的辦公室任職。

有鑑於此,汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA 的決心。


資料來源: iThome / BBC News中文

什麼是 VDA ISA?

發行單位:德國汽車工業聯合會(VDA)
ISA: Information Security Assessment

目前版本:2024-04-01, version 6.0.1(最新版 ISA 查檢表下載)

VDA-ISA標準背景:歐盟於2016年4月14日投票通過歐盟個資法(General Data Protection Regulation,以下簡稱GDPR),該法案在2018年5月25日生效。
 
德國汽車工業協會(VDA)多年前成立了「VDA 資訊安全委員會 Information Security Committee」,並制定了汽車行業的資訊安全的標準 Information Security Assessment,簡稱 VDA ISA,其結構主要參照國際標準ISO/IEC 27001,也加入了 ISO/IEC 27002 和 ISO/IEC 27017 等標準。
 
該標準係由一個基本內容加上:
(1) 用於原型保護(Prototype protection)的附加模組
(2) 資料保護(Data protection)GDPR第28條規定處理者應履行的義務

※ 資料保護方面,可參考於2019年發佈的 ISO/IEC 27701隱私資訊管理系統,該系統考量了 GDPR及 ISO 29100等國際標準,有助更完整的遵循資料及隱私保護相關規範。
 
之前的 ISA 通常被用於組織的內部控制/稽核要求,或是用來稽核有機會接觸組織敏感訊息的供應商(服務商)。

TISAX 的三大管制面相

TISAX包括通用的資訊安全要求,以及原型保護和數據保護。在不同面相都有不同的安全控制點,見下表:

▼ TISAX 評估範疇:

定義 資訊安全
管理系統
資料保護 原型保護
評估準則    強制(Mandatory)評估項,不可排除。
  1. 當委外廠商會處理 到客戶相關個資時, 須進行該類評估。
  2. 納管對象:GDP 第 28 條資料處理者。
  1. 當委外廠商會經手尚 未公開的原型機密資訊 ,須進行該類評估。
  2. 針對尚未對外公佈的 車、元件、零件之保護。
控制項數 46 控制項 4 控制項 22 控制項

評估等級(Assessment Level)

審查單位(audit provider)依據等級進行不同程度的查核強度,強度由低到高依序為:AL1、 AL2 、 AL3 共分為三級:

  • AL1(一般等級):廠商只需完成 ISA 查檢表自評,並將自評結果公布在 TISAX 平台上
  • AL2(高等級):具有高度保護需求的資料,廠商除了完成 ISA 查檢表自評外,通常須接受稽核機構(approved audit provider)透過遠端(例如:電話)進行真實性檢查。
  • AL3(極高等級):會接觸到高度敏感資料之廠商,除了完成 ISA 查檢表自評外,也須接受稽核機構(approved audit provider)之現場訪談及現場稽核(on-site),進行徹底查證。

V6.0.1 新版的重點說明

它從汽車行業的角度定義了組織資訊和網路安全的基礎知識和最新技術。ISA 6 帶來了一系列的變更和改進,本文對此進行了詳細介紹,特別是更加重視生產供應鏈 IT 和 OT 的變化,現在主要語言是英語,計劃進行多種翻譯,加入進一步的實施說明,全面修訂資料保護目錄,新引用 ISO/IEC 27001:2022、BSI Grundschutz 和 NIST 網路安全框架版本 1.1,以及進一步持續改進和維護。

如何準備 TISAX 的建置?

領導力企管提醒您,導入 TISAX 或 ISO 27001 資訊安全管理系統,涉及硬體及管理制度的調整及改善,準備相對耗時,建議預留導入時間約 8~12 個月。當然,如果有一定資安管理基礎(如已取得 ISO 27001 認證),建立 TISAX 可以減少不少時間。以下是執行步驟:

請立即 與我們聯繫,申辦汽車安全評估訊息交換平台 (TISAX)-VDA ISA。

資訊

OK

警告

OK
聯絡我們
聯絡我們
請留下您的聯絡方式,我們將有專人與您聯繫,說明 汽車安全評估訊息交換平台(TISAX)-VDA ISA 最佳解決方案。