Hi同路人,这里是青骥汽车信息安全公益小组,上一篇我们对车辆的T-BOX的安全威胁和安全防护策略做了简单的介绍,今天我们将为大家介绍目前非常火的TISAX认证相关内容。
本期责编作者为青骥公益团队核心成员 毛佳 @+-+(任职于四大的信息安全高级咨询顾问,参与多家国内外头部OEM信息安全体系建设),感谢公益小组其他核心成员提出修订意见。
— 主理人: @Keellee
责编导读:
最近信安行业有个比较火热的管理办法——关于关键信息基础设施的《网络安全审查办法》,为何热门以致从业人员纷纷转发呢?首先因为它是十二家部委机构参与制定联合发布的啦!不知你们有没有注意到,它是基于供应链安全提出的行政法规。而我们今天要介绍的TISAX,这个标准设计的核心目的也是汽车产业供应链安全。唉嘛,供应链安全,莫名有种贾跃亭宣传生态圈的即视感!
以下是严肃的正儿八经的科普浅析时间(当然可能偶尔陷入一个咨询顾问的广阔脑洞中):
1. TISAX是什么?
TISAX的英文全称是“Trusted Information Security Assessment Exchange (TISAX) ”,直译为可信信息安全评估交换。当然这个可信跟等级保护沈院士提的可信还不是同一个概念,这里的“可信”,可以理解为,TISAX作为汽车行业共同认可信任的一个信息安全能力的评估结果,进一步推动行业上下游企业(例如零部件厂商,供应商,服务商)在满足不同相关方(主要是OEM)的VDA-ISA信息安全评估的同时,其评估结果能够进一步相互认可,交换和信任,从而减少不同OEM的频繁审核。
德国汽车工业协会 (VDA) 多年前就推动成员企业符合信息安全标准,很多年前就建立了VDA-ISA( Information Security Assessment)信息安全评估标准,然后在2017年联合ENX(欧洲汽车工业安全数据交换协会)推出新的TISAX机制,同年,TISAX已成为VDA的一项信息安全强制要求,是供应商采购订单、项目合作、数据交换、资格延续的必备前提条件。
简而言之,虽然当前TISAX认证的强制范围暂限定在德系车企,但欧系、美系和国内厂商也在纷纷跟进。为了确保供应链安全,很多德国主机厂(如奔驰、宝马、大众、奥迪等)都已强制要求其各个级别的供应商必须通过TISAX认证才能与他们交换数据,国内很多汽车零部件供应商公司也都收到了强制认证的通知。
2. 为何国内外都信这个标准呢?
一般而言,标准即基于良好实践形成的适用性较强的规定,难道这个标准真的优秀得突破天际,凭啥欧盟、美国、国内对其认可度不一般?
主要是因为TISAX认证是唯一对汽车产业链进行信息安全认证的机制,而且基于它的强制属性及德系车企对其实践落地效果的认可,所以在汽车行业它的认可度高。
就像目前广泛应用的ISO27001,其实最早也是基于英国的BS7799来的,(哪家公司没有ISO9001和ISO27001,感觉都不好意思投标似的,狗头~),也许哪天TISAX也成了汽车行业的国际标准,基于汽车行业历史性变革,“电动化、网联化、智能化、共享化”,也许这块即将登台(其实TISAX本身就参考多项标准要求,比如ISO27001、CMM等)。比如,国内刚发布的《信息安全技术 车载网络设备信息安全技术要求》(征求意见稿)。
3.哪些企业应进行TISAX认证?TISAX认证适用于整个汽车行业的供应链。各位看官,可对应以下例子,简单对号入座。
图片来源:KPMG公众号
A. 传统汽车零部件供应商涉及到的汽车零部件太多啦,基本上就是把整车解构。比如轮胎、保险杠、仪表盘、减震器、安全气囊、发动机、刹车片等,甚至车窗玻璃、主地毯、座椅也算。
B. 汽车技术研发比如现在国内的新能源汽车、自动驾驶等企业。不知百度的无人车事业部是否有考虑通过TISAX认证。
C. 汽车周边产业市场研究,比如行业报告等。
D. ICT服务提供商最典型的就是云服务,比如,国内阿里云通过TISAX认证,成为亚洲首家通过该认证的云提供商。另外为汽车行业客户提供系统运维服务、邮箱服务也在本范围内。
E. 配套服务比如保险、移动云端互联APP等。总之,只要和德系主机厂或德系一级供应商有业务关系,相互之间存在数据交换,就必须通过TISAX。
4. TISAX的三步流程TISAX流程通常起始于供应商按照主机厂要求发起TISAX认证,向主机厂证明其信息安全管理所达到的规定级别。 1. 注册
在ENX平**成信息注册,获得TISAX注册凭证。
1) 与业务合作伙伴(如主机厂)沟通确认:
a) 确定评估范围
b) 规定保护级别
c) 评估对象
2) 在线注册流程(20min):
流程包括:
创建TISAX门户账号,注册TISAX ID,设置联系信息,接受与ENX协会之间的“TISAX 参与一般条款和条件(TISAX GTC)”,登记评估范围(包括付款),收到确认邮件。
2. 评估
经过TISAX认可的审核机构进行实际评估。
1) 评估准备:
a) 确定评估目标,即预期的评估级别;
b) 基于VDA-ISA目录进行自我评估。
2) 选择审核机构:必须选择经TISAX认可的审核机构,审核机构名单可在ENX平台和确认邮件中找到,审核机构如TUV、BV、SGS、KPMG、DDT等。同时审核机构仅对在ENX注册的公司进行TISAX评估,即注册凭证为审核机构的基本输入。
3) 信息安全评估:按定义的评估范围进行评估,一般包括初次评估、纠正措施计划评估、后续评估。注:后两项评估可能多次,直到所有差距关闭;或者退出评估;或者超过9个月的最长时间(如超期,需再次开始初次评估)。
4) 评估结果:如果通过,审核机构将正式的TISAX报告和结论上传到ENX平台,获得TISAX标签(评估结果三年有效)。TISAX报告模版(必须遵守)五个章节如下:
报告各章节部分示例:A. 评估相关信息B. 总体评估结果评估结果的管理总结
(符合、轻微不符合、重大不符合)
C. 评估结果一览表
D. 详细评估结果
E. VDA-ISA各控制项成熟度级别
3. 交换
与业务合作伙伴分享评估结果,需受审公司明确许可方会交换共享。
注:可按需选择分享的对象、分享报告的相应章节;
分享许可在评估结果有效期内不可撤销。
5. TISAX审计内容
TISAX审计的主体必需项是“信息安全(IS)”模块,来源于ISO 27001,但增加了汽车行业的特定要求,以及对全供应链安全的审计内容。此外,根据不同供应商与主机厂的业务合作特点,还可能包括“第三方连接”、“原型保护”、“数据安全”这3个附加审计模块。
尽管TISAX并不强制要求供应商取得ISO 27001认证,但依据ISO 27001标准,建议并执行企业信息安全管理体系,是通过TISAX审计的重要基础。此外,TISAX审计强度要比ISO27001严格,不仅总分要达标,任何一个控制项均不允许存在偏差,不仅看制度文件。还需要收集证据材料。
1) Information Security(IS)模块——52项
框架和控制点要求基本来自ISO27001,增加关于云服务在各个控制域的具体要求,并根据汽车行业特性进行了部分调整。
2) Connection to 3rd parties模块——4项
该模块内容实质是从IS模块中将第三方连接相关的四条控制项抽离,形成独立模块,主要考虑供应商如果存在与主机厂进行系统互通的情况下如何保证信息传输和使用的安全。
3) Data protection模块——4项
该模块根据欧盟GDPR的条款28,实现对个人信息保护的法规要求的响应。即供应商是否制定和实施了与数据保护相关的制度和措施来对核心数据资产进行保护以满足安全需求并符合法律合规。
4) Prototype Protection模块——22项
原型保护模块包含车辆原型(试验车、核心零部件样件)保护的物理和组织要求,并适用于组织处理车辆原型的各流程(运输、停放等)。
以上,就是今天为大家简单介绍的TISAX体系认证的内容,从是什么,到为什么,谁需要认证,以及具体的认证流程,想必大家对TISAX有了初步的认识,TISAX的体系认证的实际工作可能涉及到的内容和要素会更广,考虑到对TISAX体系的认识需要,我们将会针对TISAX的内容做进一步解读,敬请期待!
本文及系列原创作品版权归青骥信息安全公益团队及作者所有
欢迎您转载分享点击在看
诚邀关注同名微信公众号:汽车信息安全
希望伴君一路同行,做汽车信息安全知识的践行与传播者
来源:freebuf.com 2020-05-13 10:36:43 by: 汽车信息安全
请登录后发表评论
注册