對(duì)象

德系汽車客戶

目的

通過3天課程，了解汽車信息安全評(píng)估標(biāo)準(zhǔn)—VDA TISAX，建立相關(guān)的管理制度，滿足客戶審核

內(nèi)容

汽車信息安全評(píng)估標(biāo)準(zhǔn)—VDA TISAX介紹

歐盟于2016年4月14日投票通過了商討四年的《一般數(shù)據(jù)保護(hù)條例》（General Data

Protection Regulation，以下簡(jiǎn)稱GDPR），該法案在2018年5月25日生效。

2018年發(fā)生多起汽車行業(yè)信息安全：蘋果前員工張曉浪（Xiaolang Zhang）因涉嫌竊取商業(yè)機(jī)密罪于7月7日在圣何塞機(jī)場(chǎng)通過安檢時(shí)被美國聯(lián)邦調(diào)查局（FBI）逮捕并被起訴，而張曉浪在4月向蘋果公司提出離職后，在5月初加入了中國新造互聯(lián)網(wǎng)車企小鵬汽車。參與蘋果公司無人駕駛汽車項(xiàng)目“泰坦”的開發(fā)

近百家汽車廠商核心機(jī)密數(shù)據(jù)泄露---特斯拉/通用/大眾/豐田都中招：

2018-7 月初外媒報(bào)道，來自 UpGuard 安全團(tuán)隊(duì)的研究員 Chris Vickery 在網(wǎng)上發(fā)現(xiàn)了汽車供應(yīng)商 Level One 的不安全數(shù)據(jù)庫，數(shù)據(jù)庫包括將近 47000 份文件，涵蓋汽車制造廠商近十年的詳細(xì)藍(lán)圖、工廠原理圖、客戶材料（如合同、發(fā)票、工作計(jì)劃等），以及各種保密協(xié)議文件，甚至連員工的駕駛證和護(hù)照掃描件等隱私信息也包含在內(nèi)。通過 Level One 的文件傳輸協(xié)議 rsync，可以不需要密碼，直接訪問他發(fā)現(xiàn)的這個(gè)數(shù)據(jù)庫；

政府和企業(yè)越來越意識(shí)到信息安全至關(guān)重要，未來是信息化時(shí)代，信息安全至關(guān)重要，在這樣的背景下，德國汽車工業(yè)聯(lián)合會(huì)(VDA)信息安全要求ISA（ Information Security Assessment）的升級(jí)版——TISAX（Trusted Information Security Assessment Exchange）已于2017年底“重磅”推出。

VDA聯(lián)合ENX推出了得到大部分成員組織認(rèn)可的信息安全評(píng)估流程，并將據(jù)此得到的審核結(jié)果放在一個(gè)可供信息交換的可信平臺(tái)(TISAX)上，以替代之前各主機(jī)廠的頻繁審核，供各需求方進(jìn)行經(jīng)授權(quán)的查詢。

TISAX推出已經(jīng)有差不多1年的時(shí)間，德國大眾，寶馬，保時(shí)捷總公司都在不遺余力的要求供應(yīng)商獲得TISAX認(rèn)證，拿到Participant-ID，以便于信息數(shù)據(jù)的交換。

德國汽車工業(yè)協(xié)會(huì)（VDA）十多年前成立了“VDA信息安全委員會(huì)Information Security Committee”，開發(fā)了一個(gè)關(guān)于信息安全的標(biāo)準(zhǔn)ISA（ Information

Security Assessment，簡(jiǎn)稱VDA ISA），它是基于國際標(biāo)準(zhǔn)ISO/IEC 27001的主要內(nèi)容修改而來。VDA信息安全委員會(huì)始終致力于開發(fā)成熟的適用于汽車行業(yè)的信息安全要求。近些年，不少標(biāo)準(zhǔn)都已成為適用于工業(yè)行業(yè)的信息安全標(biāo)準(zhǔn)，如IEC62443、NIST SP800、GB/T 30976等。

近年來，VDA ISA逐漸成為汽車行業(yè)信息安全的行業(yè)標(biāo)準(zhǔn)。目前，它由一個(gè)基本組件加上用于原型保護(hù)的附加模塊，與第三方的連接（例如項(xiàng)目辦公室和項(xiàng)目區(qū)域）和數(shù)據(jù)保護(hù)（聯(lián)邦數(shù)據(jù)保護(hù)法BDSG關(guān)于委托處理數(shù)據(jù)的第11節(jié)），可以在審核期間使用。根據(jù)需要開發(fā)其他模塊并將其添加到目錄中。

作為VDA的成員，之前的ISA通常被用于組織的內(nèi)部控制要求，或者是作為那些能接觸組織敏感信息的供應(yīng)商（服務(wù)商）的審核要求。從供應(yīng)商（服務(wù)商）的角度來說，頻繁的接受來自于不同客戶的審核，且其審核要求大同小異，已經(jīng)越來越成為供應(yīng)商（服務(wù)商）自身運(yùn)營的負(fù)擔(dān)。為此，VDA聯(lián)合ENX推出了得到大部分成員組織認(rèn)可的信息安全評(píng)估流程，并將據(jù)此得到的審核結(jié)果放在一個(gè)可供信息交換的可信平臺(tái)(TISAX)上，以替代之前各主機(jī)廠的頻繁審核，供各需求方進(jìn)行經(jīng)授權(quán)的查詢。

TISAX的參與方主要包括認(rèn)可的審核服務(wù)方、汽車主機(jī)廠和眾多的供應(yīng)商（服務(wù)商），以及那些潛在的對(duì)此有興趣的第三方。在TISAX上的參與方只有兩種角色，訪問評(píng)估結(jié)果方和提供評(píng)估結(jié)果方。一個(gè)參與組織可能受另一家參與組織的要求，進(jìn)行了信息安全評(píng)估，并對(duì)其公布自己的評(píng)估結(jié)果。當(dāng)然，其它的參與組織也可以向其提出查看評(píng)估結(jié)果的要求，但這取決于后者自身的決定和授權(quán)范圍。這樣，可以避免重復(fù)的、頻繁的審核要求，并提供可信的評(píng)估結(jié)果供需求方查詢。

TISAX由4方面組成:

包括通用的信息安全要求，以及原型保護(hù)、第三方的聯(lián)系和數(shù)據(jù)保護(hù)。當(dāng)然，其它的模塊也將陸續(xù)地加入TISAX的評(píng)估要求中。在每個(gè)方面都有不同的安全控制點(diǎn)，見下圖：

（圖3）

這些安全控制點(diǎn)，涉及到ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等標(biāo)準(zhǔn)。最新的ISA要求（版本：4.0.3）去除了ISO/IEC 27001的114項(xiàng)控制中20多項(xiàng)要求，增加了ISO/IEC 27002和ISO/IEC 27017的7項(xiàng)要求。對(duì)于所有的82項(xiàng)控制點(diǎn)來說，評(píng)估方都會(huì)對(duì)組織的各項(xiàng)實(shí)施狀體予以成熟度的評(píng)估，從而展現(xiàn)出組織的各項(xiàng)改進(jìn)空間。

對(duì)于國內(nèi)眾多的汽車主機(jī)供應(yīng)商（服務(wù)商）而言，如何應(yīng)對(duì)升級(jí)后的TISAX，建立自身的信息安全內(nèi)控要求將是一條必經(jīng)之路。

第一步 明確TISAX審核范圍，審核等級(jí)

審核范圍有兩重意思，一個(gè)是地理上的范圍，另外一個(gè)就是審核目標(biāo)上的范圍。

地理上的很容易區(qū)分：分公司，分部門，哪些公司，哪些部門需要牽涉信息安全這塊；

審核目標(biāo)一般需要和客戶溝通，看看他們需要達(dá)到等級(jí)的要求，需要審核哪些內(nèi)容。審核等級(jí)分為AL1、AL2和AL3。AL1一般是自評(píng)，AL2和AL3需要第三方審核員對(duì)工廠進(jìn)行現(xiàn)場(chǎng)審核，一般獲得AL2和AL3才能夠獲得TISAX的認(rèn)可。

Note:此項(xiàng)要求一般需要和客戶溝通好，需要獲得什么等級(jí)，審核哪些目標(biāo)，不同客戶提出不同需求怎樣最大化的滿足他們的要求。

第二步 風(fēng)險(xiǎn)評(píng)估階段Risk assessment

確定好以上的各種SCOPE范圍之后，就需要對(duì)TISAX的要求和自身工廠的情況做一個(gè)診斷分析。主要從Information Security Assessment( ISA)的要求進(jìn)行打分，看看自身公司的差距在哪里，主要內(nèi)容如下：

第三步 ISMS體系文件建立階段realization

此階段是在第二步評(píng)估完之后，編寫文件，完善第二步中出現(xiàn)的問題，滿足評(píng)估的要求，不符合項(xiàng)都需要整改，硬件軟件方便的實(shí)力都需要跟上，需要培訓(xùn)的還需要安排培訓(xùn)老師對(duì)公司其他同事進(jìn)行信息安全方面的培訓(xùn)。

第四步 運(yùn)行和完善階段operation

完善第三步后，就需要運(yùn)行一段時(shí)間的信息安全體系，做內(nèi)部體系審核，管理評(píng)審方面的工作，運(yùn)行中發(fā)現(xiàn)的問題需要整改。

第五步 TISAX審核認(rèn)證

經(jīng)過前面幾個(gè)步驟的完善，就可以應(yīng)對(duì)德國審核的審核了，需要說明的一點(diǎn)是，因?yàn)榈聡鴮徍藛T需要提前一段時(shí)間安排，加上德國到中國距離較遠(yuǎn)，需要盡早和審核機(jī)構(gòu)確定下來審核的日期，以免耽擱進(jìn)度。

深圳中標(biāo)國際標(biāo)準(zhǔn)咨詢有限公司專注IATF16949和27001咨詢，培訓(xùn)，認(rèn)證服務(wù)  

為您提供提供TISAX咨詢，TISAX培訓(xùn)，TISAX認(rèn)證服務(wù)：

歐盟于2016年4月14日投票通過了商討四年的《一般數(shù)據(jù)保護(hù)條例》（General Data

Protection Regulation，以下簡(jiǎn)稱GDPR），該法案在2018年5月25日生效。

2018年發(fā)生多起汽車行業(yè)信息安全：蘋果前員工張曉浪（Xiaolang Zhang）因涉嫌竊取商業(yè)機(jī)密罪于7月7日在圣何塞機(jī)場(chǎng)通過安檢時(shí)被美國聯(lián)邦調(diào)查局（FBI）逮捕并被起訴，而張曉浪在4月向蘋果公司提出離職后，在5月初加入了中國新造互聯(lián)網(wǎng)車企小鵬汽車。參與蘋果公司無人駕駛汽車項(xiàng)目“泰坦”的開發(fā)

近百家汽車廠商核心機(jī)密數(shù)據(jù)泄露---特斯拉/通用/大眾/豐田都中招：

2018-7 月初外媒報(bào)道，來自 UpGuard 安全團(tuán)隊(duì)的研究員 Chris Vickery 在網(wǎng)上發(fā)現(xiàn)了汽車供應(yīng)商 Level One 的不安全數(shù)據(jù)庫，數(shù)據(jù)庫包括將近 47000 份文件，涵蓋汽車制造廠商近十年的詳細(xì)藍(lán)圖、工廠原理圖、客戶材料（如合同、發(fā)票、工作計(jì)劃等），以及各種保密協(xié)議文件，甚至連員工的駕駛證和護(hù)照掃描件等隱私信息也包含在內(nèi)。通過 Level One 的文件傳輸協(xié)議 rsync，可以不需要密碼，直接訪問他發(fā)現(xiàn)的這個(gè)數(shù)據(jù)庫；

政府和企業(yè)越來越意識(shí)到信息安全至關(guān)重要，未來是信息化時(shí)代，信息安全至關(guān)重要，在這樣的背景下，德國汽車工業(yè)聯(lián)合會(huì)(VDA)信息安全要求ISA（ Information Security Assessment）的升級(jí)版——TISAX（Trusted Information Security Assessment Exchange）已于2017年底“重磅”推出。

VDA聯(lián)合ENX推出了得到大部分成員組織認(rèn)可的信息安全評(píng)估流程，并將據(jù)此得到的審核結(jié)果放在一個(gè)可供信息交換的可信平臺(tái)(TISAX)上，以替代之前各主機(jī)廠的頻繁審核，供各需求方進(jìn)行經(jīng)授權(quán)的查詢。

TISAX推出已經(jīng)有差不多1年的時(shí)間，德國大眾，寶馬，保時(shí)捷總公司都在不遺余力的要求供應(yīng)商獲得TISAX認(rèn)證，拿到Participant-ID，以便于信息數(shù)據(jù)的交換。

德國汽車工業(yè)協(xié)會(huì)（VDA）十多年前成立了“VDA信息安全委員會(huì)Information Security Committee”，開發(fā)了一個(gè)關(guān)于信息安全的標(biāo)準(zhǔn)ISA（ Information

Security Assessment，簡(jiǎn)稱VDA ISA），它是基于國際標(biāo)準(zhǔn)ISO/IEC 27001的主要內(nèi)容修改而來。VDA信息安全委員會(huì)始終致力于開發(fā)成熟的適用于汽車行業(yè)的信息安全要求。近些年，不少標(biāo)準(zhǔn)都已成為適用于工業(yè)行業(yè)的信息安全標(biāo)準(zhǔn)，如IEC62443、NIST SP800、GB/T 30976等。

近年來，VDA ISA逐漸成為汽車行業(yè)信息安全的行業(yè)標(biāo)準(zhǔn)。目前，它由一個(gè)基本組件加上用于原型保護(hù)的附加模塊，與第三方的連接（例如項(xiàng)目辦公室和項(xiàng)目區(qū)域）和數(shù)據(jù)保護(hù)（聯(lián)邦數(shù)據(jù)保護(hù)法BDSG關(guān)于委托處理數(shù)據(jù)的第11節(jié)），可以在審核期間使用。根據(jù)需要開發(fā)其他模塊并將其添加到目錄中。

作為VDA的成員，之前的ISA通常被用于組織的內(nèi)部控制要求，或者是作為那些能接觸組織敏感信息的供應(yīng)商（服務(wù)商）的審核要求。從供應(yīng)商（服務(wù)商）的角度來說，頻繁的接受來自于不同客戶的審核，且其審核要求大同小異，已經(jīng)越來越成為供應(yīng)商（服務(wù)商）自身運(yùn)營的負(fù)擔(dān)。為此，VDA聯(lián)合ENX推出了得到大部分成員組織認(rèn)可的信息安全評(píng)估流程，并將據(jù)此得到的審核結(jié)果放在一個(gè)可供信息交換的可信平臺(tái)(TISAX)上，以替代之前各主機(jī)廠的頻繁審核，供各需求方進(jìn)行經(jīng)授權(quán)的查詢

TISAX的參與方主要包括認(rèn)可的審核服務(wù)方、汽車主機(jī)廠和眾多的供應(yīng)商（服務(wù)商），以及那些潛在的對(duì)此有興趣的第三方。在TISAX上的參與方只有兩種角色，訪問評(píng)估結(jié)果方和提供評(píng)估結(jié)果方。一個(gè)參與組織可能受另一家參與組織的要求，進(jìn)行了信息安全評(píng)估，并對(duì)其公布自己的評(píng)估結(jié)果。當(dāng)然，其它的參與組織也可以向其提出查看評(píng)估結(jié)果的要求，但這取決于后者自身的決定和授權(quán)范圍。這樣，可以避免重復(fù)的、頻繁的審核要求，并提供可信的評(píng)估結(jié)果供需求方查詢。

TISAX由4方面組成:

包括通用的信息安全要求，以及原型保護(hù)、第三方的聯(lián)系和數(shù)據(jù)保護(hù)。當(dāng)然，其它的模塊也將陸續(xù)地加入TISAX的評(píng)估要求中。在每個(gè)方面都有不同的安全控制點(diǎn)，見下圖：

這些安全控制點(diǎn)，涉及到ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等標(biāo)準(zhǔn)。最新的ISA要求（版本：4.0.3）去除了ISO/IEC 27001的114項(xiàng)控制中20多項(xiàng)要求，增加了ISO/IEC 27002和ISO/IEC 27017的7項(xiàng)要求。對(duì)于所有的82項(xiàng)控制點(diǎn)來說，評(píng)估方都會(huì)對(duì)組織的各項(xiàng)實(shí)施狀體予以成熟度的評(píng)估，從而展現(xiàn)出組織的各項(xiàng)改進(jìn)空間。

對(duì)于國內(nèi)眾多的汽車主機(jī)供應(yīng)商（服務(wù)商）而言，如何應(yīng)對(duì)升級(jí)后的TISAX，建立自身的信息安全內(nèi)控要求將是一條必經(jīng)之路。

第一步 明確TISAX審核范圍，審核等級(jí)

審核范圍有兩重意思，一個(gè)是地理上的范圍，另外一個(gè)就是審核目標(biāo)上的范圍。

地理上的很容易區(qū)分：分公司，分部門，哪些公司，哪些部門需要牽涉信息安全這塊；

審核目標(biāo)一般需要和客戶溝通，看看他們需要達(dá)到等級(jí)的要求，需要審核哪些內(nèi)容。審核等級(jí)分為AL1、AL2和AL3。AL1一般是自評(píng)，AL2和AL3需要第三方審核員對(duì)工廠進(jìn)行現(xiàn)場(chǎng)審核，一般獲得AL2和AL3才能夠獲得TISAX的認(rèn)可。

審核目標(biāo)主要分為以下幾塊：

Note:此項(xiàng)要求一般需要和客戶溝通好，需要獲得什么等級(jí)，審核哪些目標(biāo)，不同客戶提出不同需求怎樣最大化的滿足他們的要求。

第二步 風(fēng)險(xiǎn)評(píng)估階段Risk assessment

確定好以上的各種SCOPE范圍之后，就需要對(duì)TISAX的要求和自身工廠的情況做一個(gè)診斷分析。主要從Information Security Assessment( ISA)的要求進(jìn)行打分，看看自身公司的差距在哪里，主要內(nèi)容如下：

第三步 ISMS體系文件建立階段realization

此階段是在第二步評(píng)估完之后，編寫文件，完善第二步中出現(xiàn)的問題，滿足評(píng)估的要求，不符合項(xiàng)都需要整改，硬件軟件方便的實(shí)力都需要跟上，需要培訓(xùn)的還需要安排培訓(xùn)老師對(duì)公司其他同事進(jìn)行信息安全方面的培訓(xùn)。

第四步 運(yùn)行和完善階段operation

完善第三步后，就需要運(yùn)行一段時(shí)間的信息安全體系，做內(nèi)部體系審核，管理評(píng)審方面的工作，運(yùn)行中發(fā)現(xiàn)的問題需要整改。

第五步 TISAX審核認(rèn)證

經(jīng)過前面幾個(gè)步驟的完善，就可以應(yīng)對(duì)德國審核的審核了，需要說明的一點(diǎn)是，因?yàn)榈聡鴮徍藛T需要提前一段時(shí)間安排，加上德國到中國距離較遠(yuǎn)，需要盡早和審核機(jī)構(gòu)確定下來審核的日期，以免耽擱進(jìn)度。

深圳中標(biāo)國際標(biāo)準(zhǔn)咨詢有限公司專注IATF16949和27001咨詢，培訓(xùn)，認(rèn)證服務(wù)  

為您提供提供TISAX咨詢，TISAX培訓(xùn)，TISAX認(rèn)證服務(wù)