汽車安全評估訊息交換平台(TISAX)-VDA ISA

Trusted Information Security Assessment Exchange

什麼是汽車安全評估訊息交換平台(TISAX)-VDA ISA Trusted Information Security Assessment Exchange ?

TISAX 英文全名:Trusted Information Security Assessment Exchange.
TISAX 指導手冊之發行單位:ENX Association an Association according to the French Law of 1901,
版本:Date: 2018-09-18, Version: 2.0.2

當客戶要求證明公司的資訊安全管理,符合「 VDA1 Information Security Assessment」(VDA ISA 所定義的級別)。您就必須透過 TISAX 平台,分享資訊安全管理之評估結果。

VDA 推出了一套多數成員認可的資訊安全評估流程,評估完成後並須將結果上傳到資訊交換平台TISAX,藉以取代之前各主車廠的頻繁二者稽核,並提供各需車廠或利害關係者進行查詢(需經授權),從供應商的角度來說,頻繁的客戶稽核,已經造成供應商的營運負擔。
 
為此,VDA聯合 ENX 推出了多數得到大部分組織成員認可的資訊安全評估流程,並將稽核結果放在可信賴的訊息交換平台 - TISAX。許多車廠如德國大眾、寶馬、保時捷總公司皆已強力要求其供應鏈都應獲得TISAX認證,取得Participant-ID,以利資訊數據的交換、整合稽核資源、節省雙方稽核成本。

歐系車廠 Volkswagen / BMW / Porsche 已開始要求供應鏈必須取得 TISAX 認證

TISAX 平台推出後,歐系車廠 Volkswagen/ BMW / 保時捷等車廠已開始要求供應鏈必須取得 TISAX 認證。
 
在 TISAX 上的參與方只有兩種角色,評估者和被稽核者。一個參與組織(participant)可能受另一個參與組織的要求,進行TISAX符合性評估,並對其公佈自己的評估結果。透過 TISAX 資訊分享平台,其它的參與組織也可以向被稽核者提出申請或授權查看評估結果。
 

汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA的決心

  1. 蘋果公司前員工張曉浪(Xiaolang Zhang),被指控指控他為大陸企業小鵬汽車竊取無人駕駛汽車技術機密,應用在「泰坦」的開發。
  2. 知名國外科技網站《Wired》報導,比利時大學的駭客研究團隊研究發現 Tesla 的資安漏洞,2 秒就可偷走一台 Tesla Model S。
  3. 一位致力於研究安全訊息的研究員 Chris Vickery 在網上發現了汽車供應商 Level One 的不安全資料庫,資料庫內有將近 47,000 份文件,包含知名汽車製造廠近十年的客戶資料(如合約、發票、工作計劃等)以及各種機密文件,透過 Level One 的文件傳輸協議,可以不需要密碼直接存取資料庫。

有鑑於此,汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA 的決心。

什麼是 VDA ISA?

發行單位:德國汽車工業聯合會(VDA)
ISA: Information Security Assessment
版本:2019年1月8日, Version:3.0

VDA-ISA標準背景:歐盟於2016年4月14日投票通過歐盟個資法(General Data Protection Regulation,以下簡稱GDPR),該法案在2018年5月25日生效。
 
德國汽車工業協會(VDA)多年前成立了「VDA 資訊安全委員會 Information Security Committee」,並制定了汽車行業的資訊安全的標準 Information Security Assessment,簡稱 VDA ISA,其結構主要參照國際標準ISO/IEC 27001,也加入了 ISO/IEC 27002 和 ISO/IEC 27017 等標準。
 
該標準係由一個基本內容加上:
(1)用於原型保護(Prototype protection)的附加模組
(2)第三方的連接(Connection to 3rd parties)(如專案辦公室和專案區域)
(3)資訊保護(Data protection)(聯邦數據保護法BDSG關於委託處理數據的第11節),每個模組在有不同方面都有不同的安全管制點。
 
之前的 ISA 通常被用於組織的內部控制/稽核要求,或是用來稽核有機會接觸組織敏感訊息的供應商(服務商)。
 

TISAX 4 大管制面相

TISAX包括通用的訊息安全要求,以及原型保護、第三方的聯繫和數據保護。其它的模組也將陸續加入TISAX的評估要求中。在不同面相都有不同的安全控制點,見下圖:

No

Assessment objective 

Advice

Assessment level(AL)

1.

Information security 

從客戶端了解文件的管控等級。

AL 2

2

Information security 

AL 3

3

Connection to 3rd parties 

在你的客戶端設有你的辦公室,並且使用他的網路,尤其適用此評估目標。

AL 2

4

Connection to 3rd parties 

AL 3

5

Prototype protection 

如果零部件不可見或是普通部件, 則選擇 "處理具有較高保護層級的原型" 可能就足夠了。

如果處理的零部件對車輛購買者可見, 並且對設計至關重要, 或者它們帶來了顯著的競爭優勢, 那麼您可能必須選擇 "處理具有非常高保護水準的原型"

AL 2

6

Prototype protection 

AL 3

7

Data protection

經手客戶資料符合German §11BDSG,則適用此評估目標

AL 2

8

Data protection

AL 3

如何準備 TISAX?

領導力企管提醒您,導入 TISAX 或資訊安全管理,涉及硬體及管理制度的調整及改善,準備相對耗時,建議預留導入時間8~12個月。當然,如果有一定資安管理基礎(如已取得 ISO 27001認證),建立 TISAX 可以減少不少時間。以下是執行步驟:

請立即 與我們聯繫,申辦汽車安全評估訊息交換平台(TISAX)-VDA ISA。

資訊

OK

警告

OK
聯絡我們
聯絡我們
請留下您的聯絡方式,我們將有專人與您聯繫,說明 汽車安全評估訊息交換平台(TISAX)-VDA ISA 最佳解決方案。