汽車安全評估訊息交換平台(TISAX)-VDA ISA

Trusted Information Security Assessment Exchange

什麼是汽車安全評估訊息交換平台(TISAX)-VDA ISA Trusted Information Security Assessment Exchange ?

TISAX 英文全名:Trusted Information Security Assessment Exchange.
TISAX 指導手冊之發行單位:ENX Association an Association according to the French Law of 1901,
目前版本:Date: 2022-04-07 , version:2.4

當客戶要求證明公司的資訊安全管理,符合「 VDA1 Information Security Assessment」(VDA ISA 所定義的級別)。您就必須透過 TISAX 平台,分享資訊安全管理之評估結果。

VDA 推出了一套多數成員認可的資訊安全評估流程,評估完成後並須將結果上傳到資訊交換平台TISAX,藉以取代之前各主車廠的頻繁二者稽核,並提供各需車廠或利害關係者進行查詢(需經授權),從供應商的角度來說,頻繁的客戶稽核,已經造成供應商的營運負擔。
 
為此,VDA聯合 ENX 推出了多數得到大部分組織成員認可的資訊安全評估流程,並將稽核結果放在可信賴的訊息交換平台 - TISAX。許多車廠如德國大眾、寶馬、保時捷總公司皆已強力要求其供應鏈都應獲得TISAX認證,取得Participant-ID,以利資訊數據的交換、整合稽核資源、節省雙方稽核成本。

歐系車廠 Volkswagen / BMW / Porsche 已開始要求供應鏈必須取得 TISAX 認證

TISAX 平台推出後,歐系車廠 Volkswagen/ BMW / 保時捷等車廠已開始要求供應鏈必須取得 TISAX 認證。
 
在 TISAX 上的參與方只有兩種角色,評估者和被稽核者。一個參與組織(participant)可能受另一個參與組織的要求,進行TISAX符合性評估,並對其公佈自己的評估結果。透過 TISAX 資訊分享平台,其它的參與組織也可以向被稽核者提出申請或授權查看評估結果。
 

汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA的決心,範例如下

  1. TOYOTA日本總公司表示旗下5家Toyota經銷商、2家Lexus經銷售及一家Corolla經銷商的網路及伺服器遭到未經授權的存取,近三百一十萬名顧客資料遭到未經授權的存取。
  2. Pen Test Partners揭發兩款高階汽車防盜系統有遠端挾持安全漏洞,讓駭客能直接偷走車輛或讓車輛在行進中停止,影響到Mazda、Range Rover 、Kia 、Toyota旗下特定車款的安全性。
  3. 日本汽車大廠本田汽車(Honda Motor)一個內含超過1億份文件,包含員工電腦主機名稱、IP、使用哪套安全軟體的資料庫,由於未設密碼,恐讓全球公司電腦安全部署及漏洞狀況被人看光。
  4. 電動車生產商特斯拉控告華裔前職員曹光植,他涉嫌在 2018 年底離職前,複製30多萬份自動駕駛相關的原始碼(source code)文件,並傳 Autopilot 相關程式碼副本到私人 iCloud 帳號,跳槽到被稱為中國版特斯拉「小鵬汽車」位於矽谷的辦公室任職。

有鑑於此,汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA 的決心。


資料來源: iThome / BBC News中文

什麼是 VDA ISA?

發行單位:德國汽車工業聯合會(VDA)
ISA: Information Security Assessment
目前版本:2022-05-01, version:5.1.0

VDA-ISA標準背景:歐盟於2016年4月14日投票通過歐盟個資法(General Data Protection Regulation,以下簡稱GDPR),該法案在2018年5月25日生效。
 
德國汽車工業協會(VDA)多年前成立了「VDA 資訊安全委員會 Information Security Committee」,並制定了汽車行業的資訊安全的標準 Information Security Assessment,簡稱 VDA ISA,其結構主要參照國際標準ISO/IEC 27001,也加入了 ISO/IEC 27002 和 ISO/IEC 27017 等標準。
 
該標準係由一個基本內容加上:
(1) 用於原型保護(Prototype protection)的附加模組
(2) 資料保護(Data protection)GDPR第28條規定處理者應履行的義務

※ 資料保護方面,可參考於2019年發佈的 ISO/IEC 27701隱私資訊管理系統,該系統考量了 GDPR及 ISO 29100等國際標準,有助更完整的遵循資料及隱私保護相關規範。
 
之前的 ISA 通常被用於組織的內部控制/稽核要求,或是用來稽核有機會接觸組織敏感訊息的供應商(服務商)。

TISAX 3 大管制面相

TISAX包括通用的資訊安全要求,以及原型保護和數據保護。在不同面相都有不同的安全控制點,見下表:


▼ TISAX 評估範疇

定義 資訊安全
管理系統
資料保護 原型保護
評估準則    強制(Mandatory)評估項,不可排除。
  1. 當委外廠商會處理 到客戶相關個資時, 須進行該類評估。
  2. 納管對象:GDP 第 28 條資料處理者。
  1. 當委外廠商會經手尚 未公開的原型機密資訊 ,須進行該類評估。
  2. 針對尚未對外公佈的 車、元件、零件之保護。
控制項數 41 控制項 4 控制項 22 控制項

評估等級(Assessment Level)

審查單位(audit provider)依據等級進行不同程度的查核強度,強度由低到高依序為:AL1、 AL2 、 AL3 共分為三級:

  • AL1(一般等級):廠商只需完成 ISA 查檢表自評,並將自評結果公布在 TISAX 平台上
  • AL2(高等級):具有高度保護需求的資料,廠商除了完成 ISA 查檢表自評外,通常須接受稽核機構(approved audit provider)透過遠端(例如:電話)進行真實性檢查。
  • AL3(極高等級):會接觸到高度敏感資料之廠商,除了完成 ISA 查檢表自評外,也須接受稽核機構(approved audit provider)之現場訪談及現場稽核(on-site),進行徹底查證。

如何準備 TISAX?

領導力企管提醒您,導入 TISAX 或資訊安全管理,涉及硬體及管理制度的調整及改善,準備相對耗時,建議預留導入時間8~12個月。當然,如果有一定資安管理基礎(如已取得 ISO 27001認證),建立 TISAX 可以減少不少時間。以下是執行步驟:

請立即 與我們聯繫,申辦汽車安全評估訊息交換平台 (TISAX)-VDA ISA。

資訊

OK

警告

OK
聯絡我們
聯絡我們
請留下您的聯絡方式,我們將有專人與您聯繫,說明 汽車安全評估訊息交換平台(TISAX)-VDA ISA 最佳解決方案。