今年12月初,德國媒體指出駭客集團 Ocean Lotus嘗試駭入汽車產業,而德國汽車工業協進會(VDA)也曾於今年示警有駭客組織意圖對德國汽車工業竊取營業秘密。
汽車供應鏈多元的各式零組件特性,讓一台車的製造流程涉及許多供應商的參與,也伴隨著資料交換讓商業機密外洩風險大幅增加。如何投降低攻擊表面積(attack surface),應是汽車供應鏈成員首要議題,這也是促使歐系車廠供應鏈著手汽車安全評估訊息交換平台(TISAX)-VDA ISA的重要原因之一。 延伸閱讀→「汽車供應鏈為什麼要導入 TISAX? 關於 TISAX與 ISO 27001的6個 FAQ」
TISAX VDA-ISA (Information Security Assessment) 參考 ISO 27001、ISO 27002、ISO 27017等規範外,並參酌法規(例如:歐盟個資法 GDPR)及汽車產業之要求做為管制項目,四大管制面向及內容簡述如下(版本V4.1.1)▼
一. 資訊安全 (lnformation Security)
因屬核心的強制(mandatory)評估項目,為各家公司必須評估項目,其控制項包括:資安組織、資產管理、委外廠商關係、資安事故管理等構面,是資安流程及管理成熟度的基本評分依據。一共有52個控制項,主要內容出自於 ISO 27001、ISO 27002、ISO 27017三項標準規範。
二. 第三方連接 (Connection To 3rd Parties)
當委外廠商可連線至企業內部網路或進行機密資料交換或可進入專案辦公室和專案區域時,即須要進行第三方連結評估,共有4個控制項,控制項項內容包括了:人力資源、存取控制、實體(物理)及環境安全、通訊安全。
第三方的連接著重在確認:
- 人力資源安全:員工在日常作業中之資安意識。
- 存取控制:機密性地處理使用者存取權限及身分驗證資訊。
- 實體(物理)及環境安全:機敏資訊及處理設施之保全區域的界定、保護、監督。
- 通訊安全:連網的 IT系統間彼此做適度的隔離、分割。
三. 資料保護 (Data Protection)
GDPR第28條資料處理者。當委外廠商會處理到客戶相關個資時,須進行該類評估,共有4個控制項,控制項項內容是資料保護。
資料保護著重在確認:
- 組織符合 GDPR規範,例如設立 DPO資料保護長、
- 確認個人可識別資訊(PII)處理及資料保護作業流程符合法令法規要求,
- 做好相關文件化資訊,並確保足以作為法庭可採納之證據。
四. 原型保護 (Prototype Protection)
原型保護主要是針對尚未對外公佈的車、元件、零件之機密資訊保護。當委外廠商會經手原型機密資訊,須進行該類評估。共有22個控制,控制項項內容包括了: 實體(物理)及環境安全、組織要求、車子及零組件的處理、測試車輛的規範、事件及相片/影片生產的要求,內容著重實體周界的保護、確保不同客戶間之區域有所隔離、防止未經授權的觀看、紀錄及存取圖像等,實體控制措施。
結論:
雖然資安難以達到滴水不露,汽車供應鏈亦是如此,若您是汽車供應鏈成員,建議您留意 TISAX的四大管控面向,藉由導入相對安全的管控措施,降低被外部駭入、或內部人員造成的資料外洩風險外,若進一步取得 TISAX認證,也能降低不必要的重複性客戶稽核作業外,取得客戶信任確保供應鏈夥伴間的協同合作關係。
-
更多資訊請參考:
領導力企管官網:http://www.isoleader.com.tw
ISO/IEC 27001:2013資訊安全管理系統:
https://www.isoleader.com.tw/home/iso-coaching-detail/ISO27001
線上專人諮詢:https://iso2u.cc/AskMe / 0800-222007
.png)
COMMENTS