马小姐13077875505您好,欢迎来到TISAX|21434|VDA6.3|汽车6大工具|IATF16949!

当前位置:首页>>翔标院课程>>汽车TISAX汽车TISAX

VDA TISAX 5.1信息安全要求咨询项目

发布时间:2018-10-19 14:39

汽车信息安全评估标准—VDA TISAX介绍

欧盟于2016年4月14日投票通过了商讨四年的《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR),该法案在2018年5月25日生效。

2018年发生多起汽车行业信息安全:苹果前员工张晓浪(Xiaolang Zhang)因涉嫌窃取商业机密罪于7月7日在圣何塞机场通过安检时被美国联邦调查局(FBI)逮捕并被起诉,而张晓浪在4月向苹果公司提出离职后,在5月初加入了中国新造互联网车企小鹏汽车。参与苹果公司无人驾驶汽车项目“泰坦”的开发

近百家汽车厂商核心机密数据泄露---特斯拉/通用/大众/丰田都中招:

 2018-7 月初外媒报道,来自 UpGuard 安全团队的研究员 Chris Vickery 在网上发现了汽车供应商 Level One 的不安全数据库,数据库包括将近 47000 份文件,涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等),以及各种保密协议文件,甚至连员工的驾驶证和护照扫描件等隐私信息也包含在内。通过 Level One 的文件传输协议 rsync,可以不需要密码,直接访问他发现的这个数据库;

政府和企业越来越意识到信息安全至关重要,未来是信息化时代,信息安全至关重要,在这样的背景下,德国汽车工业联合会(VDA)信息安全要求ISA( Information Security Assessment)的升级版——TISAX(Trusted Information Security Assessment Exchange)已于2017年底“重磅”推出。

VDA联合ENX推出了得到大部分成员组织认可的信息安全评估流程,并将据此得到的审核结果放在一个可供信息交换的可信平台(TISAX)上,以替代之前各主机厂的频繁审核,供各需求方进行经授权的查询。


TISAX推出已经有差不多1年的时间,德国大众,宝马,保时捷总公司都在不遗余力的要求供应商获得TISAX认证,拿到Participant-ID,以便于信息数据的交换。


德国汽车工业协会(VDA)十多年前成立了“VDA信息安全委员会Information Security Committee”,开发了一个关于信息安全的标准ISA( Information Security Assessment,简称VDA ISA),它是基于国际标准ISO/IEC 27001的主要内容修改而来。VDA信息安全委员会始终致力于开发成熟的适用于汽车行业的信息安全要求。近些年,不少标准都已成为适用于工业行业的信息安全标准,如IEC62443、NIST SP800、GB/T 30976等。

近年来,VDA ISA逐渐成为汽车行业信息安全的行业标准。目前,它由一个基本组件加上用于原型保护的附加模块,与第三方的连接(例如项目办公室和项目区域)和数据保护(联邦数据保护法BDSG关于委托处理数据的第11节),可以在审核期间使用。根据需要开发其他模块并将其添加到目录中。

作为VDA的成员,之前的ISA通常被用于组织的内部控制要求,或者是作为那些能接触组织敏感信息的供应商(服务商)的审核要求。从供应商(服务商)的角度来说,频繁的接受来自于不同客户的审核,且其审核要求大同小异,已经越来越成为供应商(服务商)自身运营的负担。为此,VDA联合ENX推出了得到大部分成员组织认可的信息安全评估流程,并将据此得到的审核结果放在一个可供信息交换的可信平台(TISAX)上,以替代之前各主机厂的频繁审核,供各需求方进行经授权的查询。


(图2)

TISAX的参与方主要包括认可的审核服务方、汽车主机厂和众多的供应商(服务商),以及那些潜在的对此有兴趣的第三方。在TISAX上的参与方只有两种角色,访问评估结果方和提供评估结果方。一个参与组织可能受另一家参与组织的要求,进行了信息安全评估,并对其公布自己的评估结果。当然,其它的参与组织也可以向其提出查看评估结果的要求,但这取决于后者自身的决定和授权范围。这样,可以避免重复的、频繁的审核要求,并提供可信的评估结果供需求方查询。


TISAX由3方面组成:

括通用的信息安全要求,以及原型保护和数据保护。当然,其它的模块也将陆续地加入TISAX的评估要求中。在每个方面都有不同的安全控制点,见下图: