TISAX?汽車可信信息安全評估交換

服務(wù)背景

希望在數(shù)字時代保持競爭力的企業(yè)必須高度重視信息安全。對于汽車行業(yè)來說尤其如此，每天都會交換大量機密數(shù)據(jù)。

• 盡管 COVID-19 減緩了許多汽車運營的速度，但網(wǎng)絡(luò)攻擊卻呈上升趨勢；

• 大多數(shù)汽車網(wǎng)絡(luò)黑客都是出于惡意進(jìn)行的；

• 過去十年中最常見的三種攻擊媒介是服務(wù)器、無鑰匙進(jìn)入系統(tǒng)和移動應(yīng)用程序，2020年服務(wù)器攻擊增長了 73%。

• 汽車相關(guān) CVEs 的數(shù)量正在增加；

• 2020 年，數(shù)據(jù)與車輛盜竊是網(wǎng)絡(luò)攻擊的嚴(yán)重影響之一。

TISAX?評估方案確保汽車制造商、服務(wù)提供商和供應(yīng)商之間的信息安全水平一致。它通過確保制造過程中的完整性和可用性來幫助保護(hù)數(shù)據(jù)。專用的在線平臺可以在汽車行業(yè)內(nèi)交換信息安全評估結(jié)果。

標(biāo)準(zhǔn)概述

TISAX?涉及生產(chǎn)過程中的數(shù)據(jù)保護(hù)、完整性和可用性。為此開發(fā)了一個專門的在線平臺，用于交流汽車行業(yè)的信息安全評估結(jié)果。注冊后，公司可以訪問這些文件。TISAX一共有AL1，AL2，AL3三個級別。其中 AL2，AL3由授權(quán)的第三方認(rèn)證機構(gòu)進(jìn)行評估，企業(yè)通過后可以使用TISAX標(biāo)簽?，F(xiàn)行TISAX（5.1版本）目前一共定義了10個標(biāo)簽，包括：2個信息安全標(biāo)簽，2個可用性標(biāo)簽，4個原型保護(hù)標(biāo)簽以及2個數(shù)據(jù)保護(hù)標(biāo)簽，企業(yè)通過申請，通過幾個，就獲得幾個標(biāo)簽。

汽車行業(yè)的核心信息安全問題-信息安全是汽車行業(yè)的關(guān)鍵成功因素

隱私保護(hù)問題：隱私或個人數(shù)據(jù)的保護(hù)與合規(guī)

56%的消費者表示信息安全和隱私保護(hù)將成為他們未來做出車輛購買決定時的主要考慮因素；

信息安全管理問題：成體系、開放式、可兼容、多層次的信息安全管理與實踐

信息安全必須融入到企業(yè)的文化精髓之中，并在車輛的整個生命周期確保信息的安全性；

風(fēng)險控制問題：從設(shè)計、制造、駕駛到服務(wù)的整體信息安全風(fēng)險控制

在互聯(lián)互通式汽車時代，沒有信息保護(hù)的車輛就不是完全安全的。

TISAX?評估

TISAX?評估的優(yōu)勢

? TISAX?平臺上的評估結(jié)果具公信力，有助取得客戶信任；

    (TISAX?)-VDA ISA的控制要求內(nèi)容統(tǒng)一，參與者的評估結(jié)果具有可比較性。

    許多歐系車廠如Volkswagen / BMW / ZF已開始要求供應(yīng)鏈必須取得TISAX? 認(rèn)證。

? 共同接受的評估標(biāo)準(zhǔn)使評估結(jié)果得到交流；

? 節(jié)省時間和資金；

? 為公司樹立信心；

? 消除重復(fù)和多重評估，降低重復(fù)性的審核工作，每三年評估一次即可。

TISAX?評估的四步法

VDA在2003年成立了信息安全工作小組。這一合作的一個主要成果VDA ISA目錄。該目錄是信息安全評估的行業(yè)標(biāo)準(zhǔn)，其基于ISO/IEC27001信息安全管理體系標(biāo)準(zhǔn)。VDA建議參與汽車行業(yè)價值鏈的公司建立信息安全。

的快速安全評估流程：

TISAX?認(rèn)證流程

TISAX?審核

TISAX?審核內(nèi)容

● TISAX是成熟度評估，其評估基于VDA ISA的評估表。

● VDA ISA當(dāng)前版本（V5.X）一共有三個部分67個控制措施組成：

● 信息安全含可用性（41個控制點）

● 原型保護(hù)（22個控制點）

● 數(shù)據(jù)保護(hù)（4個控制點）

● 第三方認(rèn)證機構(gòu)將按照VDA ISA評估表所列項目對企業(yè)進(jìn)行評估，綜合得分達(dá)到7分以上且沒有不符合項遺留，合格；

TISAX審核的基本流程

TISAX 審核的基本過程（參考流程）

● Step1-TISAX審核范圍確認(rèn)

● Step2-TISAX初步評估

● Step3-TISAX改進(jìn)行動計劃評估

● Step4-TISAX信息安全管理體系改進(jìn)

● Step5-TISAX運行和完善階段

● Step6-TISAX跟蹤審核

● Step7-TISAX審核報告和標(biāo)簽獲取

● Step8-TISAX審核結(jié)果公示

為什么選擇？

 中國境內(nèi)首家獲得中國合格評定國家認(rèn)可委員會(CNAS) ISO 17020認(rèn)可的第三方合資檢驗機構(gòu)，提供本土化解決方案；

 我們擁有廣泛的全球和當(dāng)?shù)禺a(chǎn)品經(jīng)理網(wǎng)絡(luò)，可為客戶提供洞察和前沿的技術(shù)專長及優(yōu)質(zhì)的服務(wù)，同時也意味著我們可以高效、持續(xù)地支持客戶的國際業(yè)務(wù)和全球發(fā)展計劃；

 主導(dǎo)和參與了多項國際級標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)編寫，成功完成了諸多規(guī)模龐大，內(nèi)容復(fù)雜的國際項目，憑借的國際聲譽，獲得全球范圍內(nèi)的認(rèn)可；

 在全球IT領(lǐng)域，全球首批獲得 ISO/IEC 20000和ISO/IEC 27001認(rèn)證服務(wù)資質(zhì)的機構(gòu)之一，在信息和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、認(rèn)證和培訓(xùn)方面處于先進(jìn)地位；

 全球范圍內(nèi)第一家同時擁有CSA STAR云安全評估以及EuroCloud歐盟云認(rèn)證資格的認(rèn)證機構(gòu)，提供汽車行業(yè)與信息安全專業(yè)知識的強大組合；

 最早被歐盟云端聯(lián)盟(EuroCloud Europe, ECE)認(rèn)可在中國開展ECSA培訓(xùn)的認(rèn)證機構(gòu)。

相關(guān)服務(wù)

● ISO/IEC 27001 信息安全管理體系

● IATF 16949 汽車行業(yè)質(zhì)量管理體系

● ISO/IEC 27701 隱私信息管理體系

● VDA6.3 過程審核

● VDA6.5 產(chǎn)品審核

● ISO/SAE21434道路車輛網(wǎng)絡(luò)安全工程

● ISO 14064 溫室氣體審核

● ISO 14067產(chǎn)品碳足跡

● 汽車行業(yè)低碳解決方案