對象

德系汽車客戶

目的

通過3天課程，了解汽車信息安全評估標準—VDA TISAX，建立相關的管理制度，滿足客戶審核

內容

汽車信息安全評估標準—VDA TISAX介紹

歐盟于2016年4月14日投票通過了商討四年的《一般數據保護條例》（General Data

Protection Regulation，以下簡稱GDPR），該法案在2018年5月25日生效。

2018年發生多起汽車行業信息安全：蘋果前員工張曉浪（Xiaolang Zhang）因涉嫌竊取商業機密罪于7月7日在圣何塞機場通過安檢時被美國聯邦調查局（FBI）逮捕并被起訴，而張曉浪在4月向蘋果公司提出離職后，在5月初加入了中國新造互聯網車企小鵬汽車。參與蘋果公司無人駕駛汽車項目“泰坦”的開發

近百家汽車廠商核心機密數據泄露---特斯拉/通用/大眾/豐田都中招：

2018-7 月初外媒報道，來自 UpGuard 安全團隊的研究員 Chris Vickery 在網上發現了汽車供應商 Level One 的不安全數據庫，數據庫包括將近 47000 份文件，涵蓋汽車制造廠商近十年的詳細藍圖、工廠原理圖、客戶材料（如合同、發票、工作計劃等），以及各種保密協議文件，甚至連員工的駕駛證和護照掃描件等隱私信息也包含在內。通過 Level One 的文件傳輸協議 rsync，可以不需要密碼，直接訪問他發現的這個數據庫；

政府和企業越來越意識到信息安全至關重要，未來是信息化時代，信息安全至關重要，在這樣的背景下，德國汽車工業聯合會(VDA)信息安全要求ISA（ Information Security Assessment）的升級版——TISAX（Trusted Information Security Assessment Exchange）已于2017年底“重磅”推出。

VDA聯合ENX推出了得到大部分成員組織認可的信息安全評估流程，并將據此得到的審核結果放在一個可供信息交換的可信平臺(TISAX)上，以替代之前各主機廠的頻繁審核，供各需求方進行經授權的查詢。

TISAX推出已經有差不多1年的時間，德國大眾，寶馬，保時捷總公司都在不遺余力的要求供應商獲得TISAX認證，拿到Participant-ID，以便于信息數據的交換。

德國汽車工業協會（VDA）十多年前成立了“VDA信息安全委員會Information Security Committee”，開發了一個關于信息安全的標準ISA（ Information

Security Assessment，簡稱VDA ISA），它是基于國際標準ISO/IEC 27001的主要內容修改而來。VDA信息安全委員會始終致力于開發成熟的適用于汽車行業的信息安全要求。近些年，不少標準都已成為適用于工業行業的信息安全標準，如IEC62443、NIST SP800、GB/T 30976等。

近年來，VDA ISA逐漸成為汽車行業信息安全的行業標準。目前，它由一個基本組件加上用于原型保護的附加模塊，與第三方的連接（例如項目辦公室和項目區域）和數據保護（聯邦數據保護法BDSG關于委托處理數據的第11節），可以在審核期間使用。根據需要開發其他模塊并將其添加到目錄中。

作為VDA的成員，之前的ISA通常被用于組織的內部控制要求，或者是作為那些能接觸組織敏感信息的供應商（服務商）的審核要求。從供應商（服務商）的角度來說，頻繁的接受來自于不同客戶的審核，且其審核要求大同小異，已經越來越成為供應商（服務商）自身運營的負擔。為此，VDA聯合ENX推出了得到大部分成員組織認可的信息安全評估流程，并將據此得到的審核結果放在一個可供信息交換的可信平臺(TISAX)上，以替代之前各主機廠的頻繁審核，供各需求方進行經授權的查詢。

TISAX的參與方主要包括認可的審核服務方、汽車主機廠和眾多的供應商（服務商），以及那些潛在的對此有興趣的第三方。在TISAX上的參與方只有兩種角色，訪問評估結果方和提供評估結果方。一個參與組織可能受另一家參與組織的要求，進行了信息安全評估，并對其公布自己的評估結果。當然，其它的參與組織也可以向其提出查看評估結果的要求，但這取決于后者自身的決定和授權范圍。這樣，可以避免重復的、頻繁的審核要求，并提供可信的評估結果供需求方查詢。

TISAX由4方面組成:

包括通用的信息安全要求，以及原型保護、第三方的聯系和數據保護。當然，其它的模塊也將陸續地加入TISAX的評估要求中。在每個方面都有不同的安全控制點，見下圖：

（圖3）

這些安全控制點，涉及到ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等標準。最新的ISA要求（版本：4.0.3）去除了ISO/IEC 27001的114項控制中20多項要求，增加了ISO/IEC 27002和ISO/IEC 27017的7項要求。對于所有的82項控制點來說，評估方都會對組織的各項實施狀體予以成熟度的評估，從而展現出組織的各項改進空間。

對于國內眾多的汽車主機供應商（服務商）而言，如何應對升級后的TISAX，建立自身的信息安全內控要求將是一條必經之路。

第一步 明確TISAX審核范圍，審核等級

審核范圍有兩重意思，一個是地理上的范圍，另外一個就是審核目標上的范圍。

地理上的很容易區分：分公司，分部門，哪些公司，哪些部門需要牽涉信息安全這塊；

審核目標一般需要和客戶溝通，看看他們需要達到等級的要求，需要審核哪些內容。審核等級分為AL1、AL2和AL3。AL1一般是自評，AL2和AL3需要第三方審核員對工廠進行現場審核，一般獲得AL2和AL3才能夠獲得TISAX的認可。

Note:此項要求一般需要和客戶溝通好，需要獲得什么等級，審核哪些目標，不同客戶提出不同需求怎樣最大化的滿足他們的要求。

第二步 風險評估階段Risk assessment

確定好以上的各種SCOPE范圍之后，就需要對TISAX的要求和自身工廠的情況做一個診斷分析。主要從Information Security Assessment( ISA)的要求進行打分，看看自身公司的差距在哪里，主要內容如下：

第三步 ISMS體系文件建立階段realization

此階段是在第二步評估完之后，編寫文件，完善第二步中出現的問題，滿足評估的要求，不符合項都需要整改，硬件軟件方便的實力都需要跟上，需要培訓的還需要安排培訓老師對公司其他同事進行信息安全方面的培訓。

第四步 運行和完善階段operation

完善第三步后，就需要運行一段時間的信息安全體系，做內部體系審核，管理評審方面的工作，運行中發現的問題需要整改。

第五步 TISAX審核認證

經過前面幾個步驟的完善，就可以應對德國審核的審核了，需要說明的一點是，因為德國審核員需要提前一段時間安排，加上德國到中國距離較遠，需要盡早和審核機構確定下來審核的日期，以免耽擱進度。

深圳中標國際標準咨詢有限公司專注IATF16949和27001咨詢，培訓，認證服務  

為您提供提供TISAX咨詢，TISAX培訓，TISAX認證服務：

歐盟于2016年4月14日投票通過了商討四年的《一般數據保護條例》（General Data

Protection Regulation，以下簡稱GDPR），該法案在2018年5月25日生效。

2018年發生多起汽車行業信息安全：蘋果前員工張曉浪（Xiaolang Zhang）因涉嫌竊取商業機密罪于7月7日在圣何塞機場通過安檢時被美國聯邦調查局（FBI）逮捕并被起訴，而張曉浪在4月向蘋果公司提出離職后，在5月初加入了中國新造互聯網車企小鵬汽車。參與蘋果公司無人駕駛汽車項目“泰坦”的開發

近百家汽車廠商核心機密數據泄露---特斯拉/通用/大眾/豐田都中招：

2018-7 月初外媒報道，來自 UpGuard 安全團隊的研究員 Chris Vickery 在網上發現了汽車供應商 Level One 的不安全數據庫，數據庫包括將近 47000 份文件，涵蓋汽車制造廠商近十年的詳細藍圖、工廠原理圖、客戶材料（如合同、發票、工作計劃等），以及各種保密協議文件，甚至連員工的駕駛證和護照掃描件等隱私信息也包含在內。通過 Level One 的文件傳輸協議 rsync，可以不需要密碼，直接訪問他發現的這個數據庫；

政府和企業越來越意識到信息安全至關重要，未來是信息化時代，信息安全至關重要，在這樣的背景下，德國汽車工業聯合會(VDA)信息安全要求ISA（ Information Security Assessment）的升級版——TISAX（Trusted Information Security Assessment Exchange）已于2017年底“重磅”推出。

VDA聯合ENX推出了得到大部分成員組織認可的信息安全評估流程，并將據此得到的審核結果放在一個可供信息交換的可信平臺(TISAX)上，以替代之前各主機廠的頻繁審核，供各需求方進行經授權的查詢。

TISAX推出已經有差不多1年的時間，德國大眾，寶馬，保時捷總公司都在不遺余力的要求供應商獲得TISAX認證，拿到Participant-ID，以便于信息數據的交換。

德國汽車工業協會（VDA）十多年前成立了“VDA信息安全委員會Information Security Committee”，開發了一個關于信息安全的標準ISA（ Information

Security Assessment，簡稱VDA ISA），它是基于國際標準ISO/IEC 27001的主要內容修改而來。VDA信息安全委員會始終致力于開發成熟的適用于汽車行業的信息安全要求。近些年，不少標準都已成為適用于工業行業的信息安全標準，如IEC62443、NIST SP800、GB/T 30976等。

近年來，VDA ISA逐漸成為汽車行業信息安全的行業標準。目前，它由一個基本組件加上用于原型保護的附加模塊，與第三方的連接（例如項目辦公室和項目區域）和數據保護（聯邦數據保護法BDSG關于委托處理數據的第11節），可以在審核期間使用。根據需要開發其他模塊并將其添加到目錄中。

作為VDA的成員，之前的ISA通常被用于組織的內部控制要求，或者是作為那些能接觸組織敏感信息的供應商（服務商）的審核要求。從供應商（服務商）的角度來說，頻繁的接受來自于不同客戶的審核，且其審核要求大同小異，已經越來越成為供應商（服務商）自身運營的負擔。為此，VDA聯合ENX推出了得到大部分成員組織認可的信息安全評估流程，并將據此得到的審核結果放在一個可供信息交換的可信平臺(TISAX)上，以替代之前各主機廠的頻繁審核，供各需求方進行經授權的查詢

TISAX的參與方主要包括認可的審核服務方、汽車主機廠和眾多的供應商（服務商），以及那些潛在的對此有興趣的第三方。在TISAX上的參與方只有兩種角色，訪問評估結果方和提供評估結果方。一個參與組織可能受另一家參與組織的要求，進行了信息安全評估，并對其公布自己的評估結果。當然，其它的參與組織也可以向其提出查看評估結果的要求，但這取決于后者自身的決定和授權范圍。這樣，可以避免重復的、頻繁的審核要求，并提供可信的評估結果供需求方查詢。

TISAX由4方面組成:

包括通用的信息安全要求，以及原型保護、第三方的聯系和數據保護。當然，其它的模塊也將陸續地加入TISAX的評估要求中。在每個方面都有不同的安全控制點，見下圖：

這些安全控制點，涉及到ISO/IEC 27001、ISO/IEC 27002和ISO/IEC 27017等標準。最新的ISA要求（版本：4.0.3）去除了ISO/IEC 27001的114項控制中20多項要求，增加了ISO/IEC 27002和ISO/IEC 27017的7項要求。對于所有的82項控制點來說，評估方都會對組織的各項實施狀體予以成熟度的評估，從而展現出組織的各項改進空間。

對于國內眾多的汽車主機供應商（服務商）而言，如何應對升級后的TISAX，建立自身的信息安全內控要求將是一條必經之路。

第一步 明確TISAX審核范圍，審核等級

審核范圍有兩重意思，一個是地理上的范圍，另外一個就是審核目標上的范圍。

地理上的很容易區分：分公司，分部門，哪些公司，哪些部門需要牽涉信息安全這塊；

審核目標一般需要和客戶溝通，看看他們需要達到等級的要求，需要審核哪些內容。審核等級分為AL1、AL2和AL3。AL1一般是自評，AL2和AL3需要第三方審核員對工廠進行現場審核，一般獲得AL2和AL3才能夠獲得TISAX的認可。

審核目標主要分為以下幾塊：

Note:此項要求一般需要和客戶溝通好，需要獲得什么等級，審核哪些目標，不同客戶提出不同需求怎樣最大化的滿足他們的要求。

第二步 風險評估階段Risk assessment

確定好以上的各種SCOPE范圍之后，就需要對TISAX的要求和自身工廠的情況做一個診斷分析。主要從Information Security Assessment( ISA)的要求進行打分，看看自身公司的差距在哪里，主要內容如下：

第三步 ISMS體系文件建立階段realization

此階段是在第二步評估完之后，編寫文件，完善第二步中出現的問題，滿足評估的要求，不符合項都需要整改，硬件軟件方便的實力都需要跟上，需要培訓的還需要安排培訓老師對公司其他同事進行信息安全方面的培訓。

第四步 運行和完善階段operation

完善第三步后，就需要運行一段時間的信息安全體系，做內部體系審核，管理評審方面的工作，運行中發現的問題需要整改。

第五步 TISAX審核認證

經過前面幾個步驟的完善，就可以應對德國審核的審核了，需要說明的一點是，因為德國審核員需要提前一段時間安排，加上德國到中國距離較遠，需要盡早和審核機構確定下來審核的日期，以免耽擱進度。

深圳中標國際標準咨詢有限公司專注IATF16949和27001咨詢，培訓，認證服務  

為您提供提供TISAX咨詢，TISAX培訓，TISAX認證服務