汽車信息安全評估標(biāo)準(zhǔn)—VDA TISAX介紹
歐盟于2016年4月14日投票通過了商討四年的《一般數(shù)據(jù)保護(hù)條例》(General Data
Protection Regulation�,以下簡稱GDPR),該法案在2018年5月25日生效�。
2018年發(fā)生多起汽車行業(yè)信息安全:蘋果前員工張曉浪(Xiaolang Zhang)因涉嫌竊取商業(yè)機密罪于7月7日在圣何塞機場通過安檢時被美國聯(lián)邦調(diào)查局(FBI)逮捕并被起訴,而張曉浪在4月向蘋果公司提出離職后��,在5月初加入了中國新造互聯(lián)網(wǎng)車企小鵬汽車�����。參與蘋果公司無人駕駛汽車項目“泰坦”的開發(fā)
近百家汽車廠商核心機密數(shù)據(jù)泄露---特斯拉/通用/大眾/豐田都中招:
2018-7 月初外媒報道����,來自 UpGuard 安全團(tuán)隊的研究員 Chris Vickery 在網(wǎng)上發(fā)現(xiàn)了汽車供應(yīng)商 Level One 的不安全數(shù)據(jù)庫,數(shù)據(jù)庫包括將近 47000 份文件�,涵蓋汽車制造廠商近十年的詳細(xì)藍(lán)圖、工廠原理圖����、客戶材料(如合同、發(fā)票����、工作計劃等),以及各種保密協(xié)議文件����,甚至連員工的駕駛證和護(hù)照掃描件等隱私信息也包含在內(nèi)����。通過 Level One 的文件傳輸協(xié)議 rsync�����,可以不需要密碼���,直接訪問他發(fā)現(xiàn)的這個數(shù)據(jù)庫;
政府和企業(yè)越來越意識到信息安全至關(guān)重要���,未來是信息化時代����,信息安全至關(guān)重要�����,在這樣的背景下���,德國汽車工業(yè)聯(lián)合會(VDA)信息安全要求ISA( Information Security Assessment)的升級版——TISAX(Trusted Information Security Assessment Exchange)已于2017年底“重磅”推出�����。
VDA聯(lián)合ENX推出了得到大部分成員組織認(rèn)可的信息安全評估流程��,并將據(jù)此得到的審核結(jié)果放在一個可供信息交換的可信平臺(TISAX)上�����,以替代之前各主機廠的頻繁審核����,供各需求方進(jìn)行經(jīng)授權(quán)的查詢。
TISAX推出已經(jīng)有差不多1年的時間��,德國大眾����,寶馬,保時捷總公司都在不遺余力的要求供應(yīng)商獲得TISAX認(rèn)證����,拿到Participant-ID,以便于信息數(shù)據(jù)的交換��。
德國汽車工業(yè)協(xié)會(VDA)十多年前成立了“VDA信息安全委員會Information Security Committee”����,開發(fā)了一個關(guān)于信息安全的標(biāo)準(zhǔn)ISA( Information
Security Assessment����,簡稱VDA ISA)��,它是基于國際標(biāo)準(zhǔn)ISO/IEC 27001的主要內(nèi)容修改而來����。VDA信息安全委員會始終致力于開發(fā)成熟的適用于汽車行業(yè)的信息安全要求���。近些年���,不少標(biāo)準(zhǔn)都已成為適用于工業(yè)行業(yè)的信息安全標(biāo)準(zhǔn),如IEC62443�、NIST SP800、GB/T 30976等����。
近年來,VDA ISA逐漸成為汽車行業(yè)信息安全的行業(yè)標(biāo)準(zhǔn)�����。目前,它由一個基本組件加上用于原型保護(hù)的附加模塊�,與第三方的連接(例如項目辦公室和項目區(qū)域)和數(shù)據(jù)保護(hù)(聯(lián)邦數(shù)據(jù)保護(hù)法BDSG關(guān)于委托處理數(shù)據(jù)的第11節(jié)),可以在審核期間使用���。根據(jù)需要開發(fā)其他模塊并將其添加到目錄中�。
作為VDA的成員���,之前的ISA通常被用于組織的內(nèi)部控制要求����,或者是作為那些能接觸組織敏感信息的供應(yīng)商(服務(wù)商)的審核要求��。從供應(yīng)商(服務(wù)商)的角度來說����,頻繁的接受來自于不同客戶的審核,且其審核要求大同小異�����,已經(jīng)越來越成為供應(yīng)商(服務(wù)商)自身運營的負(fù)擔(dān)����。為此,VDA聯(lián)合ENX推出了得到大部分成員組織認(rèn)可的信息安全評估流程,并將據(jù)此得到的審核結(jié)果放在一個可供信息交換的可信平臺(TISAX)上���,以替代之前各主機廠的頻繁審核�����,供各需求方進(jìn)行經(jīng)授權(quán)的查詢�。
(圖2)
TISAX的參與方主要包括認(rèn)可的審核服務(wù)方�����、汽車主機廠和眾多的供應(yīng)商(服務(wù)商)���,以及那些潛在的對此有興趣的第三方。在TISAX上的參與方只有兩種角色��,訪問評估結(jié)果方和提供評估結(jié)果方�。一個參與組織可能受另一家參與組織的要求,進(jìn)行了信息安全評估���,并對其公布自己的評估結(jié)果��。當(dāng)然�����,其它的參與組織也可以向其提出查看評估結(jié)果的要求�����,但這取決于后者自身的決定和授權(quán)范圍����。這樣,可以避免重復(fù)的���、頻繁的審核要求��,并提供可信的評估結(jié)果供需求方查詢�����。
TISAX由4方面組成:
包括通用的信息安全要求���,以及原型保護(hù)、第三方的聯(lián)系和數(shù)據(jù)保護(hù)��。當(dāng)然�����,其它的模塊也將陸續(xù)地加入TISAX的評估要求中。在每個方面都有不同的安全控制點���,見下圖:
(圖3)
這些安全控制點�����,涉及到ISO/IEC 27001��、ISO/IEC 27002和ISO/IEC 27017等標(biāo)準(zhǔn)�。最新的ISA要求(版本:4.0.3)去除了ISO/IEC 27001的114項控制中20多項要求��,增加了ISO/IEC 27002和ISO/IEC 27017的7項要求���。對于所有的82項控制點來說,評估方都會對組織的各項實施狀體予以成熟度的評估����,從而展現(xiàn)出組織的各項改進(jìn)空間。
對于國內(nèi)眾多的汽車主機供應(yīng)商(服務(wù)商)而言�����,如何應(yīng)對升級后的TISAX,建立自身的信息安全內(nèi)控要求將是一條必經(jīng)之路�。
第一步 明確TISAX審核范圍,審核等級
審核范圍有兩重意思����,一個是地理上的范圍,另外一個就是審核目標(biāo)上的范圍��。
地理上的很容易區(qū)分:分公司��,分部門�,哪些公司,哪些部門需要牽涉信息安全這塊���;
審核目標(biāo)一般需要和客戶溝通�����,看看他們需要達(dá)到等級的要求��,需要審核哪些內(nèi)容���。審核等級分為AL1、AL2和AL3����。AL1一般是自評�����,AL2和AL3需要第三方審核員對工廠進(jìn)行現(xiàn)場審核���,一般獲得AL2和AL3才能夠獲得TISAX的認(rèn)可。
Note:此項要求一般需要和客戶溝通好�,需要獲得什么等級,審核哪些目標(biāo)�,不同客戶提出不同需求怎樣最大化的滿足他們的要求。
第二步 風(fēng)險評估階段Risk assessment
確定好以上的各種SCOPE范圍之后���,就需要對TISAX的要求和自身工廠的情況做一個診斷分析��。主要從Information Security Assessment( ISA)的要求進(jìn)行打分��,看看自身公司的差距在哪里,主要內(nèi)容如下:
第三步 ISMS體系文件建立階段realization
此階段是在第二步評估完之后�����,編寫文件���,完善第二步中出現(xiàn)的問題�����,滿足評估的要求���,不符合項都需要整改����,硬件軟件方便的實力都需要跟上����,需要培訓(xùn)的還需要安排培訓(xùn)老師對公司其他同事進(jìn)行信息安全方面的培訓(xùn)。
第四步 運行和完善階段operation
完善第三步后�����,就需要運行一段時間的信息安全體系��,做內(nèi)部體系審核����,管理評審方面的工作,運行中發(fā)現(xiàn)的問題需要整改����。
第五步 TISAX審核認(rèn)證
經(jīng)過前面幾個步驟的完善���,就可以應(yīng)對德國審核的審核了,需要說明的一點是���,因為德國審核員需要提前一段時間安排���,加上德國到中國距離較遠(yuǎn),需要盡早和審核機構(gòu)確定下來審核的日期��,以免耽擱進(jìn)度�����。
深圳中標(biāo)國際標(biāo)準(zhǔn)咨詢有限公司專注IATF16949和27001咨詢�����,培訓(xùn)���,認(rèn)證服務(wù)
為您提供提供TISAX咨詢,TISAX培訓(xùn)���,TISAX認(rèn)證服務(wù):
浙公網(wǎng)安備 33010802003509號