干货 - 德系汽车行业信息安全评估介绍.docxVIP

干货 | 德系汽车行业信息安全评估介绍 2021-01-29 欧盟于2016年4月14日投票通过了商讨四年的《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR），该法案在2018年5月25日生效。政府和企业越来越意识到信息安全至关重要，未来是信息化时代，信息安全至关重要，在这样的背景下，德国汽车工业联合会(VDA)信息安全要求ISA（ Information Security Assessment）的升级版——TISAX（Trusted Information Security Assessment Exchange）已于2017年底“重磅”推出。 VDA联合ENX推出了得到大部分成员组织认可的信息安全评估流程，并将据此得到的审核结果放在一个可供信息交换的可信平台(TISAX)上，以替代之前各主机厂的频繁审核，供各需求方进行经授权的查询。 TISAX推出已经有差不多1年的时间，德国大众，宝马，保时捷总公司都在不遗余力的要求供应商获得TISAX认证，拿到Participant-ID，以便于信息数据的交换。 什么是TISAX？ 德国汽车工业协会（VDA）十多年前成立了“VDA信息安全委员会Information Security Committee”，开发了一个关于信息安全的标准ISA（ Information Security Assessment，简称VDA ISA），它是基于国际标准ISO/IEC 27001的主要内容修改而来。VDA信息安全委员会始终致力于开发成熟的适用于汽车行业的信息安全要求。近些年，不少标准都已成为适用于工业行业的信息安全标准，如IEC62443、NIST SP800、GB/T 30976等。 近年来，VDA ISA逐渐成为汽车行业信息安全的行业标准。目前，它由一个基本组件加上用于原型保护的附加模块，与第三方的连接（例如项目办公室和项目区域）和数据保护（联邦数据保护法BDSG关于委托处理数据的第11节），可以在审核期间使用。根据需要开发其他模块并将其添加到目录中。 作为VDA的成员，之前的ISA通常被用于组织的内部控制要求，或者是作为那些能接触组织敏感信息的供应商（服务商）的审核要求。从供应商（服务商）的角度来说，频繁的接受来自于不同客户的审核，且其审核要求大同小异，已经越来越成为供应商（服务商）自身运营的负担。为此，VDA联合ENX推出了得到大部分成员组织认可的信息安全评估流程，并将据此得到的审核结果放在一个可供信息交换的可信平台(TISAX)上，以替代之前各主机厂的频繁审核，供各需求方进行经授权的查询。 （图2） TISAX的参与方主要包括认可的审核服务方、汽车主机厂和众多的供应商（服务商），以及那些潜在的对此有兴趣的第三方。在TISAX上的参与方只有两种角色，访问评估结果方和提供评估结果方。一个参与组织可能受另一家参与组织的要求，进行了信息安全评估，并对其公布自己的评估结果。当然，其它的参与组织也可以向其提出查看评估结果的要求，但这取决于后者自身的决定和授权范围。这样，可以避免重复的、频繁的审核要求，并提供可信的评估结果供需求方查询。 TISAX由四方面组成，包括基本的信息安全要求，以及原型保护、第三方的联系和数据保护。当然，其它的模块也将陆续地加入TISAX的评估要求中。在每个方面都有不同的安全控制点，见下图： （图3） 这些安全控制点，涉及到ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等标准。最新的ISA要求（版本：4.0.3）去除了ISO/IEC 27001的114项控制中20多项要求，增加了ISO/IEC 27002和ISO/IEC 27017的7项要求。对于所有的82项控制点来说，评估方都会对组织的各项实施状体予以成熟度的评估，从而展现出组织的各项改进空间。 对于国内众多的汽车主机供应商（服务商）而言，如何应对升级后的TISAX，建立自身的信息安全内控要求将是一条必经之路。 怎样通过TISAX审核? 第一步 明确TISAX审核范围，审核等级 审核范围有两重意思，一个是地理上的范围，另外一个就是审核目标上的范围。 地理上的很容易区分：分公司，分部门，哪些公司，哪些部门需要牵涉信息安全这块； 审核目标一般需要和客户沟通，看看他们需要达到等级的要求，需要审核哪些内容。审核等级分为AL1、AL2和AL3。AL1一般是自评，AL2和AL3需要第三方审核员对工厂进行现场审核，一般获得AL2和AL3才能够获得TISAX的认可。 审核目标主要分为以下几块： （图4） Note:此项要求一般需要和客户沟通好，需要获得什么等级，审核哪些目标，不同客户提出不同需求怎样最大化的满足他们的要求。 第二步