近十年來,智慧連網汽車的興起導致涉及汽車的網路攻擊急劇增加。根據 Upstream Security 的《2020 年汽車網路安全報告》,自 2016 年以來,每年的汽車網路安全事件數量增加了驚人的 605%。常見的攻擊媒介包括無鑰匙進入系統、後端伺服器和行動應用程式。
因此,汽車行業採取措施保護其汽車和機密資訊免受此類事件的侵害也就不足為奇了。在德國,汽車集團德國汽車工業協會 (VDA) 於 2017 年建立了可信賴資訊安全評估交換 (TISAX),作為評估和交換機制,各組織可透過該機制提交符合VDA 資訊安全評估(ISA) 的審計。 VDA ISA 主要基於現有的國際標準ISO/IEC 27001和27002。
TISAX 由 ENX 協會管理,該協會由汽車製造商、供應商和四個國家汽車協會組成,旨在確保統一的資訊安全水平,並為 VDA ISA 合規帶來標準化、品質保證和審計互認。
TISAX 適用於誰?
德國汽車供應鏈中的任何公司都需要根據 VDA ISA 規定的要求 電話號碼 證明其資訊安全管理達到規定的等級。 TISAX 在整個產業範圍內實施,適用於汽車製造商和原始設備製造商 (OEM),也適用於合作夥伴和供應商,無論他們是否位於德國。
三步驟流程
合作夥伴提出證明其符合 VDA ISA 要求的請求,引發了對 TISAX 評估報告的需求。為了獲得評估,公司必須經歷三個步驟:
註冊:需要支付費用,此初始步驟可讓 ENX 收集有關公司的資訊並確定評估需要包含的內容。
評估:公司透過 ENX 授權的 TISAX 審計提供者之一進行評估。審核是基於與要求公司證明 VDA ISA 合規性的合作夥伴的要求相符的評估範圍。如果公司未能通過評估,TISAX 流程可能需要額外的步驟。
交流:最後,公司可以與要求提供 VDA ISA 合規性證明的合作夥伴分享評估結果。
TISAX 評估範圍
TISAX 評估範圍有兩種類型:標準和客製化。自訂範圍允許公司選擇更窄或擴大的評估範圍。然而,許多要求符合VDA ISA的公司只會接受基於標準範圍的資訊安全評估結果。這就是為什麼 ENX 鼓勵所有 TISAX 參與者選擇標準範圍。
標準範圍包括公司現場所有符合汽車業合作夥伴安全要求的流程和資源。過程包括資訊的收集、儲存和處理。根據公司的規模,站點可以指辦公空間、開發和生產站點以及資料中心。同時,資源可以指工作設備、員工、承包商和 IT 基礎設施。
- Board index
- All times are UTC
- Delete cookies
- Contact us