汽车信息安全评估标准—VDATISAX介绍
欧盟于2016年4月14日投票通过了商讨四年的《一般数据保护条例》(GeneralDataProtectionRegulation,以下简称GDPR),该法案在2018年5月25日生效。
2018年发生多起汽车行业信息安全:苹果前员工张晓浪(XiaolangZhang)因涉嫌窃取商业机密罪于7月7日在圣何塞机场通过安检时被美国联邦调查局(FBI)逮捕并被起诉,而张晓浪在4月向苹果公司提出离职后,在5月初加入了中国新造互联网车企小鹏汽车。参与苹果公司无人驾驶汽车项目“泰坦”的开发
近百家汽车厂商核心机密数据泄露---特斯拉/通用/大众/丰田都中招:
2018-7月初外媒报道,来自UpGuard安全团队的研究员ChrisVickery在网上发现了汽车供应商LevelOne的不安全数据库,数据库包括将近47000份文件,涵盖汽车制造厂商近十年的详细蓝图、工厂原理图、客户材料(如合同、发票、工作计划等),以及各种保密协议文件,甚至连员工的驾驶证和护照扫描件等隐私信息也包含在内。通过LevelOne的文件传输协议rsync,可以不需要密码,直接访问他发现的这个数据库;
政府和企业越来越意识到信息安全至关重要,未来是信息化时代,信息安全至关重要,在这样的背景下,德国汽车工业联合会(VDA)信息安全要求ISA(InformationSecurityAssessment)的升级版——TISAX(TrustedInformationSecurityAssessmentExchange)已于2017年底“重磅”推出。
德国汽车工业协会(VDA)十多年前成立了“VDA信息安全委员会InformationSecurityCommittee”,开发了一个关于信息安全的标准ISA(InformationSecurityAssessment,简称VDAISA),它是基于国际标准ISO/IEC27001的主要内容修改而来。VDA信息安全委员会始终致力于开发成熟的适用于汽车行业的信息安全要求。近些年,不少标准都已成为适用于工业行业的信息安全标准,如IEC62443、NISTSP800、GB/T30976等。
近年来,VDAISA逐渐成为汽车行业信息安全的行业标准。目前,它由一个基本组件加上用于原型保护的附加模块,与第三方的连接(例如项目办公室和项目区域)和数据保护(联邦数据保护法BDSG关于委托处理数据的第11节),可以在审核期间使用。根据需要开发其他模块并将其添加到目录中。
(图2)
TISAX由4方面组成:
包括通用的信息安全要求,以及原型保护、第三方的联系和数据保护。当然,其它的模块也将陆续地加入TISAX的评估要求中。在每个方面都有不同的安全控制点,见下图:
(图3)
这些安全控制点,涉及到ISO/IEC27001、ISO/IEC27002和ISO/IEC27017等标准。最新的ISA要求(版本:4.0.3)去除了ISO/IEC27001的114项控制中20多项要求,增加了ISO/IEC27002和ISO/IEC27017的7项要求。对于所有的82项控制点来说,评估方都会对组织的各项实施状体予以成熟度的评估,从而展现出组织的各项改进空间。
对于国内众多的汽车主机供应商(服务商)而言,如何应对升级后的TISAX,建立自身的信息安全内控要求将是一条必经之路。
第一步明确TISAX审核范围,审核等级
审核范围有两重意思,一个是地理上的范围,另外一个就是审核目标上的范围。
地理上的很容易区分:分公司,分部门,哪些公司,哪些部门需要牵涉信息安全这块;
审核目标一般需要和客户沟通,看看他们需要达到等级的要求,需要审核哪些内容。审核等级分为AL1、AL2和AL3。AL1一般是自评,AL2和AL3需要第三方审核员对工厂进行现场审核,一般获得AL2和AL3才能够获得TISAX的认可。
审核目标主要分为以下几块:
(图4)
Note:此项要求一般需要和客户沟通好,需要获得什么等级,审核哪些目标,不同客户提出不同需求怎样最大化的满足他们的要求。
第二步风险评估阶段Riskassessment
确定好以上的各种SCOPE范围之后,就需要对TISAX的要求和自身工厂的情况做一个诊断分析。主要从InformationSecurityAssessment(ISA)的要求进行打分,看看自身公司的差距在哪里,主要内容如下:
(图5)
第三步ISMS体系文件建立阶段realization
此阶段是在第二步评估完之后,编写文件,完善第二步中出现的问题,满足评估的要求,不符合项都需要整改,硬件软件方便的实力都需要跟上,需要培训的还需要安排培训老师对公司其他同事进行信息安全方面的培训。
第四步运行和完善阶段operation
第五步TISAX审核认证
深圳中标国际标准咨询有限公司专注IATF16949和27001咨询,培训,认证服务