受到新冠肺炎疫情影響,汽車供應鏈面臨成員的調整與變動在所難免,這也可以視為車廠為了分散風險,另尋新合作夥伴的契機。而車廠應注意些什麼要點,以確保既有廠商及新合作廠商在研發過程中合乎資安標準呢?
歐系車廠強制供應商須通過 TISAX
汽車具有零組件多且複雜度高的特性,車廠多需與大量委外廠商一起合作開發,並投入大量研發資源建立護城河,以滿足消費者的各種用車需求。因此,如何確保在合作開發的過程中,研發參數等機密資料不會外洩,甚至被營業間諜或駭客惡意竊取資料,在這個萬物聯網的時代下更顯重要。
無論是有心或無意,供應鏈成員的機密資料外洩事件層出不窮,因此 Audi、Volkswagen、BMW 等歐系車廠已強制要求供應商須具備 TISAX 認證資格,才可以進入供應鏈體系。若無法取得車廠對我方資訊安全管控能力的信任,不但無法取得供應鏈門票、甚至被排除在合作名單之外,將大大影響組織競爭力。
TISAX「原型保護」的管控重點有哪些
在 TISAX 的資訊安全、資料保護、第三方連結、原型保護等四大構面當中,屬「原型保護」較為特別。原型保護係指針對尚未公開發佈且被歸類為必要保護的車輛,其零組件項目的管控。值得探討的是,當中會依據汽車行業流程特性,將汽車供應鏈在研發過程中可能遇到的議題,完整的提出實務上應注意的管控重點。
從查檢表中可一覽相對重要的管控重點,提供我們從中評估在這些項目上是否已有相對應的管控措施,以及評估管控程度是否足夠。以下是規範中的管控重點:
- 實體及環境安全
- 是否做好內、外部區隔,確保非授權人員無法進入、窺視觀察、存取資產?
- 建築物結構是否穩固,降低人員可輕易破壞的可能?
- 製造、加工、存放之車輛、零組件是否受到嚴密監控?
- 訪客管理機制是否確實執行?有效性高嗎?
- 專屬於不同專案、客戶間的資產是否有效進行隔離分區管制?
- 組織要求
- 與外部合作單位間簽署的保密協議是否合乎當地法令法規?
- 複委託分包商是否滿足相關規範?是否有相關佐證?
- 人員對於原型保護的資安意識是否足夠?如何評估?教育訓練文件是否確實留存?
- 進出用於製造、加工、存放重要車輛、零組件之保全區域是否已有管控流程?
- 車輛、零組件之影像資料之創建、儲存、傳輸、刪除是否有相應的規範?
- 保全區域是否有管控攝錄影裝置的流程
- 原型處理
- 車輛、組件、零件在運輸過程中是否落實客戶要求進行相關防護流程?
- 車輛、組件、零件之存放是否符合客戶要求?
- 測試車輛的要求
- 專案成員確實依照隱蔽規範執行作業的程度為何?
- 經核准的測試及試驗場域之保護措施,是否確實被遵循及實施?
- 取得客戶對於(被分類為必須保護的)測試車輛在公共道路運作之要求的流程,是否已被描述及實施?
- 活動、照片/汽車安全評估訊息交換平台 TISAX-VDA ISA 影像要求
- 被分類為須保護的車輛、零組件之呈現及活動的安全規範,是否已被清楚描述並實施?
- 對於被分類為必須保護之車輛、零組件之影像、照片拍攝的客戶特定安全規範是否已被清楚知道。
- 是否已有特殊事件發生時的行動準則?
TISAX 為汽車供應鏈量身打造的-資訊安全標準
綜上所述,可以了解到 TISAX 在原型保護中從實體管控、客戶合約規範到車輛測試及拍攝等作業流程都有所要求,管控面向相當廣泛,因此可作為研發過程中資料安全是能否打入歐系車廠汽車供應鏈的重要評判依據。
是否能將研發過程中相關機密資料外洩的風險降到最低,取決於車廠及委外廠商間是否遵循規範、遵循程度高或低、是否留存佐證資料。在資安事故屢見不鮮的情況下,TISAX 將是汽車供應鏈成員應加強哪些資安管控重點的重要指引。
TISAX延伸閱讀:
什麼是汽車安全評估訊息交換平台 (TISAX)-VDA ISA?
-
本月活動好康報報
【免費線上研討會】TISAX 汽車資訊安全評估交換機制入門研習
本研討會針對所有車廠供應鏈,為想瞭解 TISAX 基礎概要的朋友設計,研討會將會告訴你 6大重點: TISAX 成立背景、風險管理與分析、TISAX 標準說明、ISO 27001 標準概述、評分依據、申請流程..等獨家精華資訊。
領導力企管作為國內首度發表新版 FMEA 車用資訊的顧問機構,本次為因應後疫情時代來臨,近期國內外車廠供應鏈大風吹,我們 9/24 當天將在 領導力企管的粉絲專頁,為各位帶來第一手 TISAX 的介紹,想知道更多 TISAX 的相關訊息嗎?業界最前線、佈署最超前,千萬不要錯過了!
.png)
COMMENTS