什麼是汽車安全評估訊息交換平台(TISAX)-VDA ISA Trusted Information Security Assessment Exchange ?
TISAX 英文全名:Trusted Information Security Assessment Exchange.
TISAX 指導手冊之發行單位:ENX Association an Association according to the French Law of 1901,
目前版本:Date:2023-2-23 , version:2.5.1
當客戶要求證明公司的資訊安全管理,符合「 VDA1 Information Security Assessment」(VDA ISA 所定義的級別)。您就必須透過 TISAX 平台,分享資訊安全管理之評估結果。
VDA 推出了一套多數成員認可的資訊安全評估流程,評估完成後並須將結果上傳到資訊交換平台TISAX,藉以取代之前各主車廠的頻繁二者稽核,並提供各需車廠或利害關係者進行查詢(需經授權),從供應商的角度來說,頻繁的客戶稽核,已經造成供應商的營運負擔。
為此,VDA聯合 ENX 推出了多數得到大部分組織成員認可的資訊安全評估流程,並將稽核結果放在可信賴的訊息交換平台 - TISAX。許多車廠如德國大眾、寶馬、保時捷總公司皆已強力要求其供應鏈都應獲得TISAX認證,取得Participant-ID,以利資訊數據的交換、整合稽核資源、節省雙方稽核成本。ISO 輔導
歐系車廠 Volkswagen / BMW / Porsche 已開始要求供應鏈必須取得 TISAX 認證
TISAX 平台推出後,歐系車廠 Volkswagen/ BMW / 保時捷等車廠已開始要求供應鏈必須取得 TISAX 認證。
在 TISAX 上的參與方只有兩種角色,評估者和被稽核者。一個參與組織(participant)可能受另一個參與組織的要求,進行TISAX符合性評估,並對其公佈自己的評估結果。透過 TISAX 資訊分享平台,其它的參與組織也可以向被稽核者提出申請或授權查看評估結果。
汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA的決心,範例如下
- TOYOTA日本總公司表示旗下5家Toyota經銷商、2家Lexus經銷售及一家Corolla經銷商的網路及伺服器遭到未經授權的存取,近三百一十萬名顧客資料遭到未經授權的存取。
- Pen Test Partners揭發兩款高階汽車防盜系統有遠端挾持安全漏洞,讓駭客能直接偷走車輛或讓車輛在行進中停止,影響到Mazda、Range Rover 、Kia 、Toyota旗下特定車款的安全性。
- 日本汽車大廠本田汽車(Honda Motor)一個內含超過1億份文件,包含員工電腦主機名稱、IP、使用哪套安全軟體的資料庫,由於未設密碼,恐讓全球公司電腦安全部署及漏洞狀況被人看光。
- 電動車生產商特斯拉控告華裔前職員曹光植,他涉嫌在 2018 年底離職前,複製30多萬份自動駕駛相關的原始碼(source code)文件,並傳 Autopilot 相關程式碼副本到私人 iCloud 帳號,跳槽到被稱為中國版特斯拉「小鵬汽車」位於矽谷的辦公室任職。
有鑑於此,汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA 的決心。
資料來源: iThome / BBC News中文
什麼是 VDA ISA?
發行單位:德國汽車工業聯合會(VDA)
ISA: Information Security Assessment
目前版本:2024-04-25,版本:6.0.3
VDA-ISA標準背景:歐盟於2016年4月14日投票通過歐盟個資法(General Data Protection Regulation,以下簡稱GDPR),該法案在2018年5月25日生效。
德國汽車工業協會(VDA)多年前成立了「VDA 資訊安全委員會 Information Security Committee」,並制定了汽車行業的資訊安全的標準 Information Security Assessment,簡稱 VDA ISA,其結構主要參照國際標準ISO/IEC 27001,也加入了 ISO/IEC 27002 和 ISO/IEC 27017 等標準。
該標準係由一個基本內容加上:
(1) 用於原型保護(Prototype protection)的附加模組
(2) 資料保護(Data protection)GDPR第28條規定處理者應履行的義務
※ 資料保護方面,可參考於2019年發佈的 ISO/IEC 27701隱私資訊管理系統,該系統考量了 GDPR及 ISO 29100等國際標準,有助更完整的遵循資料及隱私保護相關規範。
之前的 ISA 通常被用於組織的內部控制/稽核要求,或是用來稽核有機會接觸組織敏感訊息的供應商(服務商)。ISO 輔導
TISAX 3 大管制面相
TISAX包括通用的資訊安全要求,以及原型保護和數據保護。在不同面相都有不同的安全控制點,見下表:
▼ TISAX 評估範疇
| 定義 | 資訊安全 管理系統 |
資料保護 | 原型保護 |
| 評估準則 | 強制(Mandatory)評估項,不可排除。 |
|
|
| 控制項數 | 41 控制項 | 4 控制項 | 22 控制項 |
評估等級(Assessment Level)
審查單位(audit provider)依據等級進行不同程度的查核強度,強度由低到高依序為:AL1、 AL2 、 AL3 共分為三級:
- AL1(一般等級):廠商只需完成 ISA 查檢表自評,並將自評結果公布在 TISAX 平台上
- AL2(高等級):具有高度保護需求的資料,廠商除了完成 ISA 查檢表自評外,通常須接受稽核機構(approved audit provider)透過遠端(例如:電話)進行真實性檢查。
- AL3(極高等級):會接觸到高度敏感資料之廠商,除了完成 ISA 查檢表自評外,也須接受稽核機構(approved audit provider)之現場訪談及現場稽核(on-site),進行徹底查證。
TISAX 標籤制度更新說明
自 2024 年 4 月 1 日起,ENX 協會在 TISAX 平台正式實施新版標籤制度,原本的「Information Security」標籤將拆分為兩個獨立標籤:「Confidentiality(保密性)」與「Availability(可用性)」。具體轉換如下:
-
原「Information Security high」標籤將自動轉換為「Confidentiality high」及「Availability high」兩項標籤
-
原「Information Security very high」標籤將自動轉換為「Confidentiality strict」及「Availability very high」兩項標籤
此一標籤變更有助於更細緻區分資訊安全控制的需求層面,提高審核準確度與安全管理的有效性。雖然 TISAX 參與者手冊尚未更新反映此變更,但 ENX 官方平台已同步啟用,並對既有客戶自動完成標籤轉換。以AL2為例:
1. Confidentiality high(高度機密性)
-
適用於處理機密或敏感資訊,例如車廠設計圖、測試數據、供應鏈機密等。
-
強調資料不得被未授權人員得知。
-
控制措施聚焦於資訊存取控制、加密、防止資料外洩等。
2. Availability high(高度可用性)
-
適用於對營運不中斷有高依賴性的服務,例如生產控制系統、重要通訊平台、運維關鍵系統等。
-
強調系統的持續運作能力、災難復原能力、備援與監控。
-
控制措施會針對業務持續性計畫(BCP)、備援電力、異地備份等面向加強
這兩個等級的選擇方式
在新版 TISAX 要求中,企業必須根據實際的商業風險與 OEM(如 Volkswagen、BMW 等)契約要求,選擇是否需要:
-
僅符合 Confidentiality high
-
僅符合 Availability high
-
或同時符合兩者
除此之外,對於更高保護需求(如AL3等級),還有『Confidentiality strict』與『Availability very high』標籤,對應更嚴格的控制要求。這樣的拆分讓 TISAX 更加靈活與風險導向,也更貼近企業實際資訊安全需求。
如何準備 TISAX?
領導力企管提醒您,導入 TISAX 或資訊安全管理,涉及硬體及管理制度的調整及改善,準備相對耗時,建議預留導入時間8~12個月。當然,如果有一定資安管理基礎(如已取得 ISO 27001認證),建立 TISAX 可以減少不少時間。以下是執行步驟:
請立即 與我們聯繫,申辦汽車安全評估訊息交換平台 (TISAX)-VDA ISA。ISO 輔導