訂閱電子報

月刊專欄

期別選擇
期別:261
發布日期:2024-07-12
閱覽人數:135
淺析 TISAX 汽車業可信賴資訊安全評鑑(上)

前言

汽車產業為技術與資本密集的產業,其產業鏈涵蓋鋼鐵、塑(橡)膠、玻璃、機械、電機(子)、服務等不同類型產業,且相關從業人才專業包括研發、製造、採購、行銷、管理、保修等技能,匯集成完整的汽車產業。因此汽車產業的上游主要為相關零組件製造商,中游為整車中心大廠、組裝、修理及技術服務,下游則為品牌廠商與銷售服務據點。

▲ 資料來源:產業價值鏈資訊平台,作者整理繪製。


大部分的汽車製造商和供應商以數位方式共享數據和資訊。藉由產業供應鏈線上資訊共享,從設計到銷售階段做出貢獻。一旦資料保護疏失可能會導致整個鏈條上的資料遺失甚至被盜取,只要稍有環節洩露資安風險,即會造成整體供應鏈極大危害,如下列引述近期有關車載資安事件案例:


● 2023 年 7 月 24 日中華汽車於股市公開觀測站發布重大訊息,表示部分資訊系統遭到惡意攻擊,該公司資訊部門啟動防禦機制,並進行復原作業,協同外部資安專家後續處理,而對於營運帶來的影響,該公司表示尚在釐清。


● 趨勢科技鎖定過去 30 起駭客入侵汽車攻擊手法發現,駭客最喜歡設法「讓汽車失控」,最近半年有許多汽車駭客開始鎖定車用公用系統,希望能趁機埋入後門程式,而全球有 95 % 車用零組件供應鏈業者在臺灣,都應該對此汽車駭客攻擊手法謹慎以對。


TISAX 驗證緣起

TISAX(Trusted Information Security Assessment Exchange),中譯為可信賴之資訊安全評鑑交換,供應商可透過該平台之分享證明其資安管理符合 VDA ISA(Verband der Automobilindustrie Information Security Assessment,德國汽車工業協會資訊安全評鑑)要求。其結構主要參照國際標準 ISO/IEC 27001,也加入 ISO/IEC 27002 和 ISO/IEC 27017 等標準。該標準係由一個基本資訊安全再加上:用於原型保護(Prototype Protection)的附加模組操作、數據安全(Data Protection)GDPR 第 28 條規定處理者應履行的義務


VDA ISA 通常被保時捷、BMW 等企業用於進行資訊安全管理系統內部稽核或用於接觸企業敏感資訊的供應商進行二方稽核。而於 2017 年 VDA ISA 聯合 ENX(歐洲汽車工業安全數據交換協會)推出新的 TISAX 機制,當年 TISAX 已成為 VDA 的一項資訊安全強制要求,是供應商採購訂單、項目合作、數據交換、資格延續的必備前提條件。

▲ 資料來源:AFNOR 法國標準協會集團貝爾國際檢驗認證簡報,作者整理繪製。


TISAX 與 ISO 27001 系統之比較

ISO 27001 是一應用層面廣泛的資訊安全管理系統的認證,適於各產業採用。TISAX 則提供汽車產業資安評鑑結果的平台,差異比較如下:

▲ 資料來源:AFNOR CERTIFICATION/「TISAX WEBINAR PRESENTATION TISAXISO」簡報資料及 ISO 顧問職人,作者整理繪製。


TISAX 查檢表(VDA ISA 6.0.3)改版重點項目

德國汽車工業協會(VDA)推出全新優化 VDA ISA 6.0 版本,並於 2024 年 4 月 1 日生效,將使相關的稽核和交換機制更容易、更精簡,以下為改版重點:


資訊科技系統(IT)和營運技術系統(OT)可用性:ISA 6.0 意識到資訊科技系統(IT)和營運技術系統(OT)在汽車製造中的關鍵作用,因此更加重視確保其可用性。新標準提供了全面的指南和要求,以確保這些系统的穩健性和可靠性,降低生產過程中斷的風險。


領先的語言和翻譯:為了促進更好的全球合作和理解,ISA 6.0 採用英語做為主導語言。這種標準化旨在促進不同地區之間的溝通並確保清晰度。另外還計畫提供標準翻譯版本,以適應不同的語言需求。


使用指南:為幫助各組織有效遵守標準要求,ISA 6.0 還包括額外的使用指南。該指南為稽核人員、被稽核人員和員工提供了實用的見解、最佳實踐和建議,使他們能夠更有效地實施必要的控制和措施。


修訂後的數據保護目錄:ISA 6.0 全面修訂了數據保護目錄。這個更全面的目錄涉及數據保護的各個方面,包括數據隱私、保密性、完整性和可用性。通過與現行數據保護法規和行業最佳實踐保持一致,修訂後的目錄為保護敏感資訊設定了高標準。


與國際標準接軌:為了統一實踐並加強整體安全措施,ISA 6.0 引用了 ISO/IEC 27001:2022 和 NIST 網路安全框架 1.1 版等國際標準。確保實施 TISAX ® 的組織遵守全球公認的做法,並隨時更新最新的安全協議。


強調持續改進:ISA 6.0 強調持續改進和維護資訊與數據安全措施的重要性。以適應不斷變化的威脅和技術進步,確保積極穩健的安全態勢。


● 2024 年 4 月 1 日之前訂購的稽核仍保留在(ISA 5)版本上。


● 2024 年 4 月 1 日之後訂購的稽核將包含在新目錄(ISA 6)中。


新的評鑑網頁:(1)與 ISO/IEC 27001:2022 和 NIST 網路安全框架的連結更緊密。(2)考慮新的網路安全威脅(例如勒索軟體)。(3)翻譯成 8 種語言並持續改進。


TISAX 評鑑範疇

TISAX 包括通用資訊安全要求、原型保護及數據保護等 3 大管制面向。在不同面向都有不同的安全控制點,如下表:

▲ 資料來源:領導力汽車安全評鑑資訊交換平台(TISAX)-VDA ISA,作者整理繪製。


TISAX 申驗流程

當客戶要求證明公司的資訊安全管理,符合 VDA ISA 所定義的級別。您就必須透過 TISAX 平台,分享資訊安全管理之評鑑結果:(1)明確 TISAX 稽核範圍(對象)以及稽核等級;(2)風險評鑑階段:自主由 TISAX VDA ISA 6.0 自評表進行評鑑;(3)在 ENX 網站進行註冊,並獲得註冊號;(4)自行聯繫第三方稽核機構審查,進行 2 級或 3 級評鑑;(5)根據評鑑結果制定改進方案,並在有效期內提交修改結果;(6)在交換平台上形成最終報告;(7)取得 TISAX 標章。

▲ 資料來源:TISAX 參與者手冊,作者整理繪製。


*1:在 TISAX 上的參與方只有兩種角色:評鑑者與被稽核者。一個參與組織(Participant)可能受另一個參與組織的要求,進行 TISAX 符合性評鑑,並對其公佈自己的評鑑結果。透過 TISAX 資訊分享平台,其它的參與組織也可以向被稽核者提出申請或授權查看評鑑結果。


*2:矯正行動計畫評鑑(Corrective Action Plan Assessment):初始評鑑有不符合之情況才會進行,稽核員透過遠端或現場確認受評者提交之矯正行動計畫之適切性,可能不只安排一次。


*3:追蹤評鑑(Follow-up Assessment):確認矯正預防措施之執行成效,可多次追蹤評鑑,但最後一次追蹤評鑑與初始評鑑之時間間隔不得超過 9 個月,否則須重新回到初始評鑑階段。


參考來源:

● 產業價值鏈資訊平台 https://ic.tpex.org.tw/introduce.php?ic=3000

● iThome 新聞/趨勢科技預警:汽車駭客鎖定車用公版系統伺機埋入惡意程式,臺灣汽車供應鏈業者需留心」https://www.ithome.com.tw/news/147955&mid=59

●  iThome 新聞/資安日報:2023 年 7 月 25 日,中華汽車發布重大訊息證實遭到網路攻擊,並著手恢復受影響系統 https://www.ithome.com.tw/news/157937


延伸閱讀:

>> 淺析 TISAX 汽車業可信賴資訊安全評鑑(上)

上一篇:BellCERT 教育訓練開課訊息
下一篇:AS/IATF/IRIS 新近發布消息通知(上)
月刊專欄

貝爾國際檢驗認證集團總部

貝爾國際檢驗認證集團總部(台北聯絡處)

貝爾國際檢驗認證集團總部(台中聯絡處)

貝爾國際檢驗認證集團總部(高雄聯絡處)

Copyright © 2022 BellCERT Group TAIWAN.