隨著時代的演進,車用電腦已經是車上的標準配備。舉凡攝影、影片撥放、遊戲、上網、電話、故障診斷、ADAS先進駕駛輔助系統等功能都是車用電腦的應用,但也因網路安全漏洞及資料外洩事件層出不窮,車用資安問題成為社會關注的焦點。以下就顧問職人在輔導經驗中常被詢問到的六個常見問題提出說明:
Q1. 什麼是 TISAX?
ANS:
TISAX(汽車安全評估訊息交換平台)是2017年由德國汽車工業聯合會 (VDA) 聯合歐洲網絡交換所 (ENX) 所推出的資訊交換平台,把受多數組織成員認可的資訊安全評估流程 VDA ISA (Information Security Assessment) 之稽核結果放上平台,供參與者在得到被稽核者授權後做查詢,是一個參考 ISO 27001、ISO 27002等標準規範所制定的資安評估結果的交換平台。Q2. 誰會需要使用到 TISAX?
ANS:
汽車零件製造廠、汽車應用產品廠商及汽車供應鏈成員。
Q3. 導入 TISAX的好處?
ANS:
- TISAX平台上的評估結果具公信力,有助取得客戶信任。
- (TISAX)-VDA ISA的問項內容統一,參與者之評估結果具可比較性。
- 降低重複性的稽核作業,每三年評估一次即可。
- 許多歐系車廠如 Volkswagen / BMW / Porsche 已開始要求供應鏈必須取得 TISAX 認證。
Q4. 導入 TISAX及 ISO 27001之目的及應用層面有何差異?
ANS:
兩者皆可提升組織的資安能量,降低資安事件、事故的發生,只是應用層面有所不同。- ISO 27001是一應用層面廣泛的資訊安全管理系統的認證,適於各產業採用。
- TISAX則提供了汽車產業一資安評估結果的平台,在評估方獲得被稽核者授權後 (在 ENX Portal上授予權限),讓被稽核者可自行決定那些夥伴可在平台得知其資安評估結果,藉此讓汽車供應鏈合作夥伴了解其在網路安全及資料保護上的成果。
Q5. ISO 27001及(TISAX)-VDA ISA之章節內容有何不同?
ANS:
- ISO 27001 共包含兩部分,除了條文第四章至第十章,另外還有附錄 A 的 114個資安控制措施,通過 ISO 27001 認證代表企業已建立、實施及維持及持續改善 ISMS要求之事項
- TISAX VDA-ISA (Information Security Assessment) 參考 ISO 27001、ISO 27002 等規範外,並參酌法規(例如:歐盟個資法 GDPR)及汽車產業之要求做為管制項目,三大管制面向 及內容簡述如下:
- 資訊安全 (information security) : 因屬核心的強制(mandatory)評估項目,故必須評估,無法排除。
及下列選擇性問項,共三類 - 資料保護 (Data protection) : GDPR第28條資料處理者。
- 原型保護 (Prototype protection) : 針對尚未對外公佈的車、元件、零件之保護。
Q6. TISAX與ISO27001主要差異為何?
ANS:
- 範圍: ISO 27001 適用產業的範圍較 TISAX 廣。
- 級別制: ISO 27001 無級別制,TISAX 則採用級別制,
而 AL2或 AL3則由客戶依照與供應商的資料串接情況做選定,各級別評估方式如下:
(source:TISAX Participant Handbook)
另外,TISAX在四大管制面向採六個成熟度級別做評分,讓組織了解現況級別,並可供往更高級別進步之參考,六個成熟度級別定義如下:
級別0:不完整
級別1:已執行
級別2:已管理
級別3:已建立
級別4:可預測
級別5:持續優化
-
更多資訊請參考:
領導力企管官網:http://www.isoleader.com.tw
資安相關資訊&課程諮詢電話:service@isoleader.com.tw / 0800-222007
素材來源: Icon vector created by macrovector - www.freepik.com
COMMENTS