就目前的汽車配置來看,車載電腦已經是車上的標準配備。例如車載導航、影片播放、上網、電話、故障診斷等功能都是車載電腦的應用,但也因網路安全漏洞及資料外洩事件層出不窮,車載資訊保安問題成為社會關注的焦點。以下我們彙總在輔導經驗中常被詢問到的幾個常見問題予以說明。
Q1。 什麼是 TISAX?
ANS:
TISAX(Trusted Information Security Assessment Exchange)資訊保安的評估和交換機制是2017年由德國汽車工業聯合會 (VDA) 聯合歐洲網路交換所 (ENX) 所推出的資訊交換平臺,把受多陣列織成員認可的資訊保安評估流程 VDA ISA (Information Security Assessment) 之稽核結果放上平臺,供參與者在得到被稽核者授權後做查詢,是一個參考 ISO 27001、ISO 27002等標準規範所制定的資訊保安評估結果的交換平臺。
ISA: 用於組織的內部控制要求, 接觸組織敏感資訊的供應商(服務商)的稽核要求。
VDA聯合ENX推出成員組織認可的資訊保安評估流程,將稽核結果放在的授權平臺上以供資訊查詢和交換。
ENX:為歐洲汽車工業提供開發、採購和生產控制安全交換關鍵資料解決方案的協會
ENX協會:TISAX的監管和組織的角色。
由ENX認可稽核機構並且監督稽核機構的稽核結果以及稽核的合規性。
透過監管“ENX治理三角”得到保證,包括ENX協會與ENX認可的稽核機構之間以及ENX協會與每個參與者之間的合作。
Q2。 誰會需要使用到 TISAX?
ANS:
汽車零件製造廠、汽車應用產品廠商及汽車供應鏈成員。
Q3. 匯入 TISAX的好處?
ANS:
TISAX平臺上的評估結果具公信力,有助取得客戶信任。
(TISAX)-VDA ISA的問項內容統一,參與者之評估結果具可比較性。
降低重複性的稽核作業,每三年評估一次即可。
許多歐系車廠如 Volkswagen / BMW / Porsche 已開始要求供應鏈必須取得 TISAX 認證。
Q4。 TISAX目前在國內的現狀
ANS:
目前大眾,奧迪和保時捷要求供應商必須透過TISAX認證。後續其他德國車企也會跟進要求供應商透過TISAX認證。
Q5。 匯入 TISAX及 ISO 27001之目的及應用層面有何差異?
ANS:
兩者皆可提升組織的資訊保安能力,降低資訊保安事件、事故的發生,只是應用層面有所不同。
1。 ISO 27001是一應用層面廣泛的資訊保安管理系統的認證,適於各產業採用。
2。 TISAX則提供了汽車產業一資訊保安評估結果的平臺,在評估方獲得被稽核者授權後 (在 ENX Portal上授予許可權),讓被稽核者可自行決定那些夥伴可在平臺得知其資訊保安評估結果,藉此讓汽車供應鏈合作伙伴瞭解其在網路安全及資料保護上的成果。
Q6。 ISO 27001及(TISAX)-VDA ISA之章節內容有何不同?
ANS:
ISO 27001共包含兩部分,除了條文第四章至第十章,另外還有附錄 A的 114個資安控制措施,透過 ISO27001認證代表企業已建立、實施及維持及持續改善ISMS要求之事項
TISAX VDA-ISA (Information Security Assessment) 參考 ISO 27001、ISO 27002等規範外,並參酌法規(例如:歐盟個資法 GDPR)及汽車產業之要求做為管制專案,四大管制面向及內容簡述如下:
1。 資訊保安 (information security) : 因屬核心的強制(mandatory)評估專案,故必須評估,無法排除。及下列選擇性問項,共三類
2。 第三方的連線 (Connection to 3rd parties) : 如專案辦公室和專案區域。
3。 資料保護 (Data protection) : GDPR第28條資料處理者。
4。 原型保護 (Prototype protection) : 針對尚未對外公佈的車、元件、零件之保護。
Q7。 TISAX與ISO27001主要差異為何?
ANS:
2。 級別制: ISO 27001無級別制,TISAX則採用級別制,
共有三種稽核等級 (Assessment level (AL),AL1一般是自評,AL2和 AL3需要第三方稽核員對公司進行現場稽核,一般獲得 AL2和 AL3才能夠獲得TISAX的認可。
而 AL2或 AL3則由客戶依照與供應商的資料串接情況做選定,各級別評估方式如下:
(source:TISAX Participant Handbook)
另外,TISAX在四大管制面向六個成熟度級別做評分,讓組織瞭解現況級別,並可供往更高級別進步之參考,六個成熟度級別定義如下:級別0:不完整級別1:已執行級別2:已管理級別3:已建立級別4:可預測級別5:持續最佳化。
Q8。 透過TISAX稽核的步驟是怎樣的?
ANS:
初始診斷階段:明確TISAX稽核範圍,稽核等級。
風險評估階段
體系檔案編寫階段
體系試執行階段
體系完善階段
TISAX稽核認證
售後服務階段
