freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

青驥原創 | 關于TISAX的簡要介紹
2020-05-13 10:36:43

1589193600_5eb92b806a753.png!small? ? ?Hi同路人,這里是青驥汽車信息安全公益小組,上一篇我們對車輛的T-BOX的安全威脅和安全防護策略做了簡單的介紹,今天我們將為大家介紹目前非?;鸬腡ISAX認證相關內容。

????本期責編作者為青驥公益團隊核心成員?毛佳?@+-+(任職于四大的信息安全高級咨詢顧問,參與多家國內外頭部OEM信息安全體系建設),感謝公益小組其他核心成員提出修訂意見。

-- 主理人:?@Keellee

責編導讀:

最近信安行業有個比較火熱的管理辦法——關于關鍵信息基礎設施的《網絡安全審查辦法》,為何熱門以致從業人員紛紛轉發呢?首先因為它是十二家部委機構參與制定聯合發布的啦!不知你們有沒有注意到,它是基于供應鏈安全提出的行政法規。而我們今天要介紹的TISAX,這個標準設計的核心目的也是汽車產業供應鏈安全。唉嘛,供應鏈安全,莫名有種賈躍亭宣傳生態圈的即視感!

以下是嚴肅的正兒八經的科普淺析時間(當然可能偶爾陷入一個咨詢顧問的廣闊腦洞中):

1. TISAX是什么?

TISAX的英文全稱是“Trusted Information Security Assessment Exchange (TISAX) ”,直譯為可信信息安全評估交換。當然這個可信跟等級保護沈院士提的可信還不是同一個概念,這里的“可信”,可以理解為,TISAX作為汽車行業共同認可信任的一個信息安全能力的評估結果,進一步推動行業上下游企業(例如零部件廠商,供應商,服務商)在滿足不同相關方(主要是OEM)的VDA-ISA信息安全評估的同時,其評估結果能夠進一步相互認可,交換和信任,從而減少不同OEM的頻繁審核。

德國汽車工業協會?(VDA) 多年前就推動成員企業符合信息安全標準,很多年前就建立了VDA-ISA(?Information Security Assessment)信息安全評估標準,然后在2017年聯合ENX(歐洲汽車工業安全數據交換協會)推出新的TISAX機制,同年,TISAX已成為VDA的一項信息安全強制要求,是供應商采購訂單、項目合作、數據交換、資格延續的必備前提條件。

簡而言之,雖然當前TISAX認證的強制范圍暫限定在德系車企,但歐系、美系和國內廠商也在紛紛跟進。為了確保供應鏈安全,很多德國主機廠(如奔馳、寶馬、大眾、奧迪等)都已強制要求其各個級別的供應商必須通過TISAX認證才能與他們交換數據,國內很多汽車零部件供應商公司也都收到了強制認證的通知。


2. 為何國內外都信這個標準呢?

一般而言,標準即基于良好實踐形成的適用性較強的規定,難道這個標準真的優秀得突破天際,憑啥歐盟、美國、國內對其認可度不一般?

主要是因為TISAX認證是唯一對汽車產業鏈進行信息安全認證的機制,而且基于它的強制屬性及德系車企對其實踐落地效果的認可,所以在汽車行業它的認可度高。

就像目前廣泛應用的ISO27001,其實最早也是基于英國的BS7799來的,(哪家公司沒有ISO9001和ISO27001,感覺都不好意思投標似的,狗頭~),也許哪天TISAX也成了汽車行業的國際標準,基于汽車行業歷史性變革,“電動化、網聯化、智能化、共享化”,也許這塊即將登臺(其實TISAX本身就參考多項標準要求,比如ISO27001、CMM等)。比如,國內剛發布的《信息安全技術 車載網絡設備信息安全技術要求》(征求意見稿)。


3.哪些企業應進行TISAX認證?TISAX認證適用于整個汽車行業的供應鏈。各位看官,可對應以下例子,簡單對號入座。

1589337056_5ebb5be08788c.png!small圖片來源:KPMG公眾號?


A.?傳統汽車零部件供應商涉及到的汽車零部件太多啦,基本上就是把整車解構。比如輪胎、保險杠、儀表盤、減震器、安全氣囊、發動機、剎車片等,甚至車窗玻璃、主地毯、座椅也算。

B.?汽車技術研發比如現在國內的新能源汽車、自動駕駛等企業。不知百度的無人車事業部是否有考慮通過TISAX認證。

C.?汽車周邊產業市場研究,比如行業報告等。

D.?ICT服務提供商最典型的就是云服務,比如,國內阿里云通過TISAX認證,成為亞洲首家通過該認證的云提供商。另外為汽車行業客戶提供系統運維服務、郵箱服務也在本范圍內。

E.?配套服務比如保險、移動云端互聯APP等??傊?,只要和德系主機廠或德系一級供應商有業務關系,相互之間存在數據交換,就必須通過TISAX。


4. TISAX的三步流程TISAX流程通常起始于供應商按照主機廠要求發起TISAX認證,向主機廠證明其信息安全管理所達到的規定級別。?1589337104_5ebb5c10aaea2.png!small1.?注冊

在ENX平**成信息注冊,獲得TISAX注冊憑證。

1)?與業務合作伙伴(如主機廠)溝通確認:

a)?確定評估范圍

b)?規定保護級別

c)?評估對象

2)?在線注冊流程(20min):1589337117_5ebb5c1dd011d.jpg!small

流程包括:

創建TISAX門戶賬號,注冊TISAX?ID,設置聯系信息,接受與ENX協會之間的“TISAX 參與一般條款和條件(TISAX GTC)”,登記評估范圍(包括付款),收到確認郵件。

2.?評估

經過TISAX認可的審核機構進行實際評估。

1)?評估準備:

a)?確定評估目標,即預期的評估級別;

b)?基于VDA-ISA目錄進行自我評估。

2)?選擇審核機構:必須選擇經TISAX認可的審核機構,審核機構名單可在ENX平臺和確認郵件中找到,審核機構如TUV、BV、SGS、KPMG、DDT等。同時審核機構僅對在ENX注冊的公司進行TISAX評估,即注冊憑證為審核機構的基本輸入。

3)?信息安全評估:按定義的評估范圍進行評估,一般包括初次評估、糾正措施計劃評估、后續評估。注:后兩項評估可能多次,直到所有差距關閉;或者退出評估;或者超過9個月的最長時間(如超期,需再次開始初次評估)。

4)?評估結果:如果通過,審核機構將正式的TISAX報告和結論上傳到ENX平臺,獲得TISAX標簽(評估結果三年有效)。TISAX報告模版(必須遵守)五個章節如下:

1589337217_5ebb5c8195809.png!small報告各章節部分示例:A.?評估相關信息1589337224_5ebb5c88e2904.png!smallB.?總體評估結果評估結果的管理總結

(符合、輕微不符合、重大不符合)

C.?評估結果一覽表? 1589337236_5ebb5c947da5c.png!small

D.?詳細評估結果1589337252_5ebb5ca43bde1.png!small

E.?VDA-ISA各控制項成熟度級別

3.?交換

與業務合作伙伴分享評估結果,需受審公司明確許可方會交換共享。

注:可按需選擇分享的對象、分享報告的相應章節;

分享許可在評估結果有效期內不可撤銷。


5. TISAX審計內容

TISAX審計的主體必需項是“信息安全(IS)”模塊,來源于ISO?27001,但增加了汽車行業的特定要求,以及對全供應鏈安全的審計內容。此外,根據不同供應商與主機廠的業務合作特點,還可能包括“第三方連接”、“原型保護”、“數據安全”這3個附加審計模塊。

盡管TISAX并不強制要求供應商取得ISO?27001認證,但依據ISO 27001標準,建議并執行企業信息安全管理體系,是通過TISAX審計的重要基礎。此外,TISAX審計強度要比ISO27001嚴格,不僅總分要達標,任何一個控制項均不允許存在偏差,不僅看制度文件。還需要收集證據材料。

1)?Information Security(IS)模塊——52

框架和控制點要求基本來自ISO27001,增加關于云服務在各個控制域的具體要求,并根據汽車行業特性進行了部分調整。

2)?Connection to 3rd parties模塊——4項

該模塊內容實質是從IS模塊中將第三方連接相關的四條控制項抽離,形成獨立模塊,主要考慮供應商如果存在與主機廠進行系統互通的情況下如何保證信息傳輸和使用的安全。

3)?Data protection模塊——4項

該模塊根據歐盟GDPR的條款28,實現對個人信息保護的法規要求的響應。即供應商是否制定和實施了與數據保護相關的制度和措施來對核心數據資產進行保護以滿足安全需求并符合法律合規。

4)?Prototype Protection模塊——22

原型保護模塊包含車輛原型(試驗車、核心零部件樣件)保護的物理和組織要求,并適用于組織處理車輛原型的各流程(運輸、停放等)。


以上,就是今天為大家簡單介紹的TISAX體系認證的內容,從是什么,到為什么,誰需要認證,以及具體的認證流程,想必大家對TISAX有了初步的認識,TISAX的體系認證的實際工作可能涉及到的內容和要素會更廣,考慮到對TISAX體系的認識需要,我們將會針對TISAX的內容做進一步解讀,敬請期待!


本文及系列原創作品版權歸青驥信息安全公益團隊及作者所有

歡迎您轉載分享點擊在看

誠邀關注同名微信公眾號汽車信息安全

希望伴君一路同行,做汽車信息安全知識的踐行與傳播者

本文作者:, 轉載請注明來自FreeBuf.COM

# 信息安全管理 # 智能網聯汽車安全 # 供應鏈安全
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网