什么是汽车安全评估信息交换平台(TISAX)-VDAISATrustedInformationSecurityAssessmentExchange?
TISAX英文全名:TrustedInformationSecurityAssessmentExchange.TISAX
当客户要求证明公司的信息安全管理,符合「VDA1InformationSecurityAssessment」(VDAISA所定义的级别)。您就必须透过TISAX平台,分享信息安全管理之评估结果。
VDA推出了一套多数成员认可的信息安全评估流程,评估完成后并须将结果上传到信息交换平台TISAX,借以取代之前各主车厂的频繁二者认证,并提供利害关系者进行查询(需经授权),从供应商的角度来说,频繁的客户认证,已经造成供应商的营运负担。为此,VDA联合ENX推出了多数得到大部分组织成员认可的信息安全评估流程,并将审计结果放在可信赖的信息交换平台-TISAX。许多车厂如德国大众、宝马、保时捷总公司皆已强力要求其供应链都应获得TISAX认证,取得标签,以利信息数据的交换、整合认证资源、节省双方认证成本。
欧系车厂大众/宝马/保时捷已开始要求供应链必须取得TISAX认证
TISAX平台推出后,欧系车厂Volkswagen/BMW/保时捷等车厂已开始要求供应链必须取得TISAX认证。在TISAX上的参与方只有两种角色,评估者和被评估者。一个参与组织(participant)可能受另一个参与组织的要求,进行TISAX符合性评估,并对其公布自己的评估结果。透过TISAX信息分享平台,其它的参与组织也可以向被认证者提出申请或授权查看评估结果。
汽车产业信息安全随着电子信息化智能化,促使欧系车厂加速供应链完成汽车安全评估讯息交换平台(TISAX)-VDAISA的决心,范例如下
1.TOYOTA日本总公司表示旗下5家Toyota经销商、2家Lexus经销售及一家Corolla经销商的网络及服务器遭到未经授权的存取,近三百一十万名顾客资料遭到未经授权的存取。
2.PenTestPartners揭发两款高阶汽车防盗系统有远端挟持安全漏洞,让黑客能直接偷走车辆或让车辆在行进中停止,影响到Mazda、RangeRover、Kia、Toyota旗下特定车款的安全性。
3.日本汽车大厂本田汽车(HondaMotor)一个内含超过1亿份文件,包含员工计算机主机名称、IP、使用哪套安全软件的数据库,由于未设密码,恐让全球公司计算机安全部署及漏洞状况被人看光。
有鉴于此,汽车产业资安事件层出不穷,促使欧系车厂加速供应链完成汽车安全评估讯息交换平台(TISAX)-VDAISA的决心。
什么是VDAISA?
发行单位:德国汽车工业联合会(VDA)ISA:InformationSecurityAssessment版本:
VDA-ISA标准背景:欧盟于年4月14日投票通过欧盟法规(GeneralDataProtectionRegulation,以下简称GDPR),该法案在年5月25日生效。德国汽车工业协会(VDA)多年前成立了「VDA信息安全委员会InformationSecurityCommittee」,并制定了汽车行业的信息安全的标准InformationSecurityAssessment,简称VDAISA,其结构主要参照国际标准ISO/IEC,也加入了ISO/IEC和ISO/IEC等标准。该标准系由一个基本内容加上:
(1)用于原型保护(Prototypeprotection)的附加模块
(2)资料保护(Dataprotection)
GDPR第28条规定处理者应履行的义务
※资料保护方面,可参考于年发布的ISO/IEC隐私信息管理系统,该系统考量了GDPR及ISO等国际标准,有助更完整的遵循资料及隐私保护相关规范。
如何进行TISAX认证?
提醒您导入TISAX或信息安全管理,涉及硬件及管理制度的调整及改善,准备相对耗时,建议预留导入时间6~12个月。当然,如果有一定信息安全管理基础(如已取得ISO认证),建立TISAX可以减少不少时间。以下是执行步骤:
Step1:明确TISAX认证范围以及认证等级
认证范围有双重意思,一个是公司地址,另外一个就是认证目标的范围。
1、地址范围的很容易区分:分公司、哪些厂区需要进行信息安全防护;
2、认证目标范围需要与客户达成共识,了解客户期待组织取得何等级。认证等级分为AL2和AL3。
3、AL1一般是自评AL2和AL3需要第三方认证对公司进行认证,一般获得AL2和AL3才能够获得TISAX的认可。
4、Note:此项要求一般需要和客户沟通好,需要获得什么等级、认证哪些目标,不同客户提出不同需求,并考虑最大化的满足他们的要求。
Step2:自评估阶段
确定好以上的各种范围(Scope)之后,就需要对TISAX的要求和公司内部进行诊断分析。主要从InformationSecurityAssessment(ISA)的要求进行评分。
Step3:ISMS体系文件建立阶段Realization
依照ISA之要求,建立程序文件及表单,并改善Step2中出现的问题,满足评估的要求,通常这个阶段会委托顾问公司协助。
Step4:完善阶段Operation
持续改善直到达到认证目标
Step5:TISAX认证
最后一步进行TISAX认证,并完成整个认证获得标签。
联系电话: