汽车信息安全评估标准—VDA TISAX介绍
欧盟于2016年4月14日投票通过了商讨四年的《一般数据保护条例》(General Data
Protection Regulation,以下简称GDPR),该法案在2018年5月25日生效。
2018年发生多起汽车行业信息安全:苹果前员工张晓浪(Xiaolang Zhang)因涉嫌窃取商业机密罪于7月7日在圣何塞机场通过安检时被美国联邦调查局(FBI)逮捕并被起诉,而张晓浪在4月向苹果公司提出离职后,在5月初加入了中国新造互联网车企小鹏汽车。参与苹果公司无人驾驶汽车项目“泰坦”的开发
近百家汽车厂商核心机密数据泄露---特斯拉/通用/大众/丰田都中招:
2018-7 月初外媒报道,来自 UpGuard 安全团队的研究员 Chris Vickery 在网上发现了汽车供应商 Level One 的不安全数据库,数据库包括将近 47000 份文件,涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等),以及各种保密协议文件,甚至连员工的驾驶证和护照扫描件等隐私信息也包含在内。通过 Level One 的文件传输协议 rsync,可以不需要密码,直接访问他发现的这个数据库;
政府和企业越来越意识到信息安全至关重要,未来是信息化时代,信息安全至关重要,在这样的背景下,德国汽车工业联合会(VDA)信息安全要求ISA( Information Security Assessment)的升级版——TISAX(Trusted Information Security Assessment Exchange)已于2017年底“重磅”推出。
VDA联合ENX推出了得到大部分成员组织认可的信息安全评估流程,并将据此得到的审核结果放在一个可供信息交换的可信平台(TISAX)上,以替代之前各主机厂的频繁审核,供各需求方进行经授权的查询。
TISAX推出已经有差不多1年的时间,德国大众,宝马,保时捷总公司都在不遗余力的要求供应商获得TISAX认证,拿到Participant-ID,以便于信息数据的交换。
德国汽车工业协会(VDA)十多年前成立了“VDA信息安全委员会Information Security Committee”,开发了一个关于信息安全的标准ISA( Information
Security Assessment,简称VDA ISA),它是基于国际标准ISO/IEC 27001的主要内容修改而来。VDA信息安全委员会始终致力于开发成熟的适用于汽车行业的信息安全要求。近些年,不少标准都已成为适用于工业行业的信息安全标准,如IEC62443、NIST SP800、GB/T 30976等。
近年来,VDA ISA逐渐成为汽车行业信息安全的行业标准。目前,它由一个基本组件加上用于原型保护的附加模块,与第三方的连接(例如项目办公室和项目区域)和数据保护(联邦数据保护法BDSG关于委托处理数据的第11节),可以在审核期间使用。根据需要开发其他模块并将其添加到目录中。
作为VDA的成员,之前的ISA通常被用于组织的内部控制要求,或者是作为那些能接触组织敏感信息的供应商(服务商)的审核要求。从供应商(服务商)的角度来说,频繁的接受来自于不同客户的审核,且其审核要求大同小异,已经越来越成为供应商(服务商)自身运营的负担。为此,VDA联合ENX推出了得到大部分成员组织认可的信息安全评估流程,并将据此得到的审核结果放在一个可供信息交换的可信平台(TISAX)上,以替代之前各主机厂的频繁审核,供各需求方进行经授权的查询。
TISAX的参与方主要包括认可的审核服务方、汽车主机厂和众多的供应商(服务商),以及那些潜在的对此有兴趣的第三方。在TISAX上的参与方只有两种角色,访问评估结果方和提供评估结果方。一个参与组织可能受另一家参与组织的要求,进行了信息安全评估,并对其公布自己的评估结果。当然,其它的参与组织也可以向其提出查看评估结果的要求,但这取决于后者自身的决定和授权范围。这样,可以避免重复的、频繁的审核要求,并提供可信的评估结果供需求方查询。
TISAX由4方面组成:
包括通用的信息安全要求,以及原型保护、第三方的联系和数据保护。当然,其它的模块也将陆续地加入TISAX的评估要求中。在每个方面都有不同的安全控制点,见下图:
(图3)
这些安全控制点,涉及到ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等标准。最新的ISA要求(版本:4.0.3)去除了ISO/IEC 27001的114项控制中20多项要求,增加了ISO/IEC 27002和ISO/IEC 27017的7项要求。对于所有的82项控制点来说,评估方都会对组织的各项实施状体予以成熟度的评估,从而展现出组织的各项改进空间。
对于国内众多的汽车主机供应商(服务商)而言,如何应对升级后的TISAX,建立自身的信息安全内控要求将是一条必经之路。
第一步 明确TISAX审核范围,审核等级
审核范围有两重意思,一个是地理上的范围,另外一个就是审核目标上的范围。
地理上的很容易区分:分公司,分部门,哪些公司,哪些部门需要牵涉信息安全这块;
审核目标一般需要和客户沟通,看看他们需要达到等级的要求,需要审核哪些内容。审核等级分为AL1、AL2和AL3。AL1一般是自评,AL2和AL3需要第三方审核员对工厂进行现场审核,一般获得AL2和AL3才能够获得TISAX的认可。
Note:此项要求一般需要和客户沟通好,需要获得什么等级,审核哪些目标,不同客户提出不同需求怎样最大化的满足他们的要求。
第二步 风险评估阶段Risk assessment
确定好以上的各种SCOPE范围之后,就需要对TISAX的要求和自身工厂的情况做一个诊断分析。主要从Information Security Assessment( ISA)的要求进行打分,看看自身公司的差距在哪里,主要内容如下:
第三步 ISMS体系文件建立阶段realization
此阶段是在第二步评估完之后,编写文件,完善第二步中出现的问题,满足评估的要求,不符合项都需要整改,硬件软件方便的实力都需要跟上,需要培训的还需要安排培训老师对公司其他同事进行信息安全方面的培训。
第四步 运行和完善阶段operation
完善第三步后,就需要运行一段时间的信息安全体系,做内部体系审核,管理评审方面的工作,运行中发现的问题需要整改。
第五步 TISAX审核认证
经过前面几个步骤的完善,就可以应对德国审核的审核了,需要说明的一点是,因为德国审核员需要提前一段时间安排,加上德国到中国距离较远,需要尽早和审核机构确定下来审核的日期,以免耽搁进度。
深圳中标国际标准咨询有限公司专注IATF16949和27001咨询,培训,认证服务
为您提供提供TISAX咨询,TISAX培训,TISAX认证服务:
欧盟于2016年4月14日投票通过了商讨四年的《一般数据保护条例》(General Data
Protection Regulation,以下简称GDPR),该法案在2018年5月25日生效。
2018年发生多起汽车行业信息安全:苹果前员工张晓浪(Xiaolang Zhang)因涉嫌窃取商业机密罪于7月7日在圣何塞机场通过安检时被美国联邦调查局(FBI)逮捕并被起诉,而张晓浪在4月向苹果公司提出离职后,在5月初加入了中国新造互联网车企小鹏汽车。参与苹果公司无人驾驶汽车项目“泰坦”的开发
近百家汽车厂商核心机密数据泄露---特斯拉/通用/大众/丰田都中招:
2018-7 月初外媒报道,来自 UpGuard 安全团队的研究员 Chris Vickery 在网上发现了汽车供应商 Level One 的不安全数据库,数据库包括将近 47000 份文件,涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等),以及各种保密协议文件,甚至连员工的驾驶证和护照扫描件等隐私信息也包含在内。通过 Level One 的文件传输协议 rsync,可以不需要密码,直接访问他发现的这个数据库;
政府和企业越来越意识到信息安全至关重要,未来是信息化时代,信息安全至关重要,在这样的背景下,德国汽车工业联合会(VDA)信息安全要求ISA( Information Security Assessment)的升级版——TISAX(Trusted Information Security Assessment Exchange)已于2017年底“重磅”推出。
VDA联合ENX推出了得到大部分成员组织认可的信息安全评估流程,并将据此得到的审核结果放在一个可供信息交换的可信平台(TISAX)上,以替代之前各主机厂的频繁审核,供各需求方进行经授权的查询。
TISAX推出已经有差不多1年的时间,德国大众,宝马,保时捷总公司都在不遗余力的要求供应商获得TISAX认证,拿到Participant-ID,以便于信息数据的交换。
德国汽车工业协会(VDA)十多年前成立了“VDA信息安全委员会Information Security Committee”,开发了一个关于信息安全的标准ISA( Information
Security Assessment,简称VDA ISA),它是基于国际标准ISO/IEC 27001的主要内容修改而来。VDA信息安全委员会始终致力于开发成熟的适用于汽车行业的信息安全要求。近些年,不少标准都已成为适用于工业行业的信息安全标准,如IEC62443、NIST SP800、GB/T 30976等。
近年来,VDA ISA逐渐成为汽车行业信息安全的行业标准。目前,它由一个基本组件加上用于原型保护的附加模块,与第三方的连接(例如项目办公室和项目区域)和数据保护(联邦数据保护法BDSG关于委托处理数据的第11节),可以在审核期间使用。根据需要开发其他模块并将其添加到目录中。
作为VDA的成员,之前的ISA通常被用于组织的内部控制要求,或者是作为那些能接触组织敏感信息的供应商(服务商)的审核要求。从供应商(服务商)的角度来说,频繁的接受来自于不同客户的审核,且其审核要求大同小异,已经越来越成为供应商(服务商)自身运营的负担。为此,VDA联合ENX推出了得到大部分成员组织认可的信息安全评估流程,并将据此得到的审核结果放在一个可供信息交换的可信平台(TISAX)上,以替代之前各主机厂的频繁审核,供各需求方进行经授权的查询
TISAX的参与方主要包括认可的审核服务方、汽车主机厂和众多的供应商(服务商),以及那些潜在的对此有兴趣的第三方。在TISAX上的参与方只有两种角色,访问评估结果方和提供评估结果方。一个参与组织可能受另一家参与组织的要求,进行了信息安全评估,并对其公布自己的评估结果。当然,其它的参与组织也可以向其提出查看评估结果的要求,但这取决于后者自身的决定和授权范围。这样,可以避免重复的、频繁的审核要求,并提供可信的评估结果供需求方查询。
TISAX由4方面组成:
包括通用的信息安全要求,以及原型保护、第三方的联系和数据保护。当然,其它的模块也将陆续地加入TISAX的评估要求中。在每个方面都有不同的安全控制点,见下图:
这些安全控制点,涉及到ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等标准。最新的ISA要求(版本:4.0.3)去除了ISO/IEC 27001的114项控制中20多项要求,增加了ISO/IEC 27002和ISO/IEC 27017的7项要求。对于所有的82项控制点来说,评估方都会对组织的各项实施状体予以成熟度的评估,从而展现出组织的各项改进空间。
对于国内众多的汽车主机供应商(服务商)而言,如何应对升级后的TISAX,建立自身的信息安全内控要求将是一条必经之路。
第一步 明确TISAX审核范围,审核等级
审核范围有两重意思,一个是地理上的范围,另外一个就是审核目标上的范围。
地理上的很容易区分:分公司,分部门,哪些公司,哪些部门需要牵涉信息安全这块;
审核目标一般需要和客户沟通,看看他们需要达到等级的要求,需要审核哪些内容。审核等级分为AL1、AL2和AL3。AL1一般是自评,AL2和AL3需要第三方审核员对工厂进行现场审核,一般获得AL2和AL3才能够获得TISAX的认可。
审核目标主要分为以下几块:
Note:此项要求一般需要和客户沟通好,需要获得什么等级,审核哪些目标,不同客户提出不同需求怎样最大化的满足他们的要求。
第二步 风险评估阶段Risk assessment
确定好以上的各种SCOPE范围之后,就需要对TISAX的要求和自身工厂的情况做一个诊断分析。主要从Information Security Assessment( ISA)的要求进行打分,看看自身公司的差距在哪里,主要内容如下:
第三步 ISMS体系文件建立阶段realization
此阶段是在第二步评估完之后,编写文件,完善第二步中出现的问题,满足评估的要求,不符合项都需要整改,硬件软件方便的实力都需要跟上,需要培训的还需要安排培训老师对公司其他同事进行信息安全方面的培训。
第四步 运行和完善阶段operation
完善第三步后,就需要运行一段时间的信息安全体系,做内部体系审核,管理评审方面的工作,运行中发现的问题需要整改。
第五步 TISAX审核认证
经过前面几个步骤的完善,就可以应对德国审核的审核了,需要说明的一点是,因为德国审核员需要提前一段时间安排,加上德国到中国距离较远,需要尽早和审核机构确定下来审核的日期,以免耽搁进度。
深圳中标国际标准咨询有限公司专注IATF16949和27001咨询,培训,认证服务
为您提供提供TISAX咨询,TISAX培训,TISAX认证服务: