汽車安全評估訊息交換平台(TISAX)-VDA ISA

Trusted Information Security Assessment Exchange

什麼是汽車安全評估訊息交換平台(TISAX)-VDA ISA Trusted Information Security Assessment Exchange ?

TISAX 英文全名:Trusted Information Security Assessment Exchange.
TISAX 指導手冊之發行單位:ENX Association an Association according to the French Law of 1901,
版本:Date: 2018-09-18, Version: 2.0.2

當客戶要求證明公司的資訊安全管理,符合「 VDA1 Information Security Assessment」(VDA ISA 所定義的級別)。您就必須透過 TISAX 平台,分享資訊安全管理之評估結果。

VDA 推出了一套多數成員認可的資訊安全評估流程,評估完成後並須將結果上傳到資訊交換平台TISAX,藉以取代之前各主車廠的頻繁二者稽核,並提供各需車廠或利害關係者進行查詢(需經授權),從供應商的角度來說,頻繁的客戶稽核,已經造成供應商的營運負擔。
 
為此,VDA聯合 ENX 推出了多數得到大部分組織成員認可的資訊安全評估流程,並將稽核結果放在可信賴的訊息交換平台 - TISAX。許多車廠如德國大眾、寶馬、保時捷總公司皆已強力要求其供應鏈都應獲得TISAX認證,取得Participant-ID,以利資訊數據的交換、整合稽核資源、節省雙方稽核成本。

歐系車廠 Volkswagen / BMW / Porsche 已開始要求供應鏈必須取得 TISAX 認證

TISAX 平台推出後,歐系車廠 Volkswagen/ BMW / 保時捷等車廠已開始要求供應鏈必須取得 TISAX 認證。
 
在 TISAX 上的參與方只有兩種角色,評估者和被稽核者。一個參與組織(participant)可能受另一個參與組織的要求,進行TISAX符合性評估,並對其公佈自己的評估結果。透過 TISAX 資訊分享平台,其它的參與組織也可以向被稽核者提出申請或授權查看評估結果。
 

汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA的決心,範例如下

  1. TOYOTA日本總公司表示旗下5家Toyota經銷商、2家Lexus經銷售及一家Corolla經銷商的網路及伺服器遭到未經授權的存取,近三百一十萬名顧客資料遭到未經授權的存取。
  2. Pen Test Partners揭發兩款高階汽車防盜系統有遠端挾持安全漏洞,讓駭客能直接偷走車輛或讓車輛在行進中停止,影響到Mazda、Range Rover 、Kia 、Toyota旗下特定車款的安全性。
  3. 日本汽車大廠本田汽車(Honda Motor)一個內含超過1億份文件,包含員工電腦主機名稱、IP、使用哪套安全軟體的資料庫,由於未設密碼,恐讓全球公司電腦安全部署及漏洞狀況被人看光。
  4. 電動車生產商特斯拉控告華裔前職員曹光植,他涉嫌在 2018 年底離職前,複製30多萬份自動駕駛相關的原始碼(source code)文件,並傳 Autopilot 相關程式碼副本到私人 iCloud 帳號,跳槽到被稱為中國版特斯拉「小鵬汽車」位於矽谷的辦公室任職。

有鑑於此,汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA 的決心。


資料來源: iThome / BBC News中文

什麼是 VDA ISA?

發行單位:德國汽車工業聯合會(VDA)
ISA: Information Security Assessment
版本:2019年1月8日, Version:3.0

VDA-ISA標準背景:歐盟於2016年4月14日投票通過歐盟個資法(General Data Protection Regulation,以下簡稱GDPR),該法案在2018年5月25日生效。
 
德國汽車工業協會(VDA)多年前成立了「VDA 資訊安全委員會 Information Security Committee」,並制定了汽車行業的資訊安全的標準 Information Security Assessment,簡稱 VDA ISA,其結構主要參照國際標準ISO/IEC 27001,也加入了 ISO/IEC 27002 和 ISO/IEC 27017 等標準。
 
該標準係由一個基本內容加上:
(1)用於原型保護(Prototype protection)的附加模組
(2)第三方的連接(Connection to 3rd parties)(如專案辦公室和專案區域)
(3)資訊保護(Data protection)(聯邦數據保護法BDSG關於委託處理數據的第11節),每個模組在有不同方面都有不同的安全管制點。
 
之前的 ISA 通常被用於組織的內部控制/稽核要求,或是用來稽核有機會接觸組織敏感訊息的供應商(服務商)。
 

TISAX 4 大管制面相

TISAX包括通用的訊息安全要求,以及原型保護、第三方的聯繫和數據保護。其它的模組也將陸續加入TISAX的評估要求中。在不同面相都有不同的安全控制點,見下圖:

No

Assessment objective 

Advice

Assessment level(AL)

1.

Information security 

從客戶端了解文件的管控等級。

AL 2

2

Information security 

AL 3

3

Connection to 3rd parties 

在你的客戶端設有你的辦公室,並且使用他的網路,尤其適用此評估目標。

AL 2

4

Connection to 3rd parties 

AL 3

5

Prototype protection 

如果零部件不可見或是普通部件, 則選擇 "處理具有較高保護層級的原型" 可能就足夠了。

如果處理的零部件對車輛購買者可見, 並且對設計至關重要, 或者它們帶來了顯著的競爭優勢, 那麼您可能必須選擇 "處理具有非常高保護水準的原型"

AL 2

6

Prototype protection 

AL 3

7

Data protection

經手客戶資料符合German §11BDSG,則適用此評估目標

AL 2

8

Data protection

AL 3

如何準備 TISAX?

領導力企管提醒您,導入 TISAX 或資訊安全管理,涉及硬體及管理制度的調整及改善,準備相對耗時,建議預留導入時間8~12個月。當然,如果有一定資安管理基礎(如已取得 ISO 27001認證),建立 TISAX 可以減少不少時間。以下是執行步驟:

請立即 與我們聯繫,申辦汽車安全評估訊息交換平台(TISAX)-VDA ISA。

資訊

OK

警告

OK
聯絡我們
聯絡我們
請留下您的聯絡方式,我們將有專人與您聯繫,說明 汽車安全評估訊息交換平台(TISAX)-VDA ISA 最佳解決方案。