(文:張綺芳)
汽車資訊安全可信任的重要性
汽車/摩托車產業是世界上最具挑戰性的產業之一。 如今,大部分的汽車製造商和供應商僅以數位方式共享數據和資訊。汽車供應鏈的流程通常相當冗長,原始設備製造商(OEM)與許多供應商和合作夥伴經常在網路上合作,為新車從設計階段到上路階段做出貢獻。為了完成工作,敏感資訊在供應鏈之間共享,一旦資料保護疏失可能會導致整個鏈條上的資料遺失甚至被盜取。處理這些來自汽車供應鏈客戶的高度敏感資訊,企業可以透過評估TISAX®來證明資訊保護的能力,以提升客戶及消費者的信任度。
認識TISAX®
ISA(Information Security Assessment)的TISAX®(可信任資訊安全評估交換)稽核與交換機制建立於2016年。德國汽車工業協會(VDA)和歐洲汽車製造商及供應商協會(ENX)作為資訊安全工作小組,決定提出一項基於ISO 27001要求的穩健且更加強化的標準,並添加了VDA開發的資訊安全評估(ISA)目錄。會員公司可以利用TISAX®於其內部管理,且用於稽核處理這些企業敏感資訊的產品或服務供應商。
TISAX®是基於VDA編制的資訊安全評估 (ISA) 中規定的一組安全要求,以及 ISO 27001 的許多技術控制措施以及附加原型和資料保護規則。透過應用汽車行業最先進的資訊安全管理系統(ISMS)和VDA資訊安全評估(ISA)來保護數位資料和文檔。TISAX®適用於產品設計和開發,特別是原型產品管理以及製造流程設備和基礎設施。隨著數位應用程式、軟體和使用者(包括惡意軟體和駭客攻擊)的蓬勃發展,汽車供應鏈透過保護數位資料避免遭受攻擊和破壞的概念來進行預防。
驗證TISAX®的優勢
為了保護汽車產業內的商業機密、原型資訊、客戶資訊和其他機密數據,大多數德國主要OEM都要求其汽車生產和供應鏈中的合作夥伴獲得TISAX®驗證,尤其BMW、戴姆勒和大眾汽車強制要求供應商遵守TISAX®。這可確保資料在汽車生產的設計、製造和分銷階段保持安全,以便在數位資訊管理的品質和安全性方面被評為「最可靠」供應商。擴大到其他OEM,TISAX®正成為汽車工業和資訊安全管理的驗證參考標準。
不僅如此,能夠證明其TISAX®合規性的組織比其他不合規的組織具有競爭優勢,使其在潛在客戶眼中值得信賴。TISAX®於2016年底推出,應汽車產業的即時需求,在推出近2年後,已有近2000家公司接受了TISAX®評估。
TISAX®評估等級
由於整車廠與其供應商之間的合作程度不同,規模和複雜程度不同,TISAX®的評估分為三個等級。獲得TISAX®驗證所需的稽核方法因每個等級而異。每個組織都可以自行決定要遵守哪個層級的評估。
1 級:「正常」安全等級。只需填寫一份自我評估問卷並在TISAX®共享。
2 級:「高」安全等級。經批准的稽核單位將透過電話進行稽核以確認自我評估有效性。
3 級:「非常高」的安全等級。由經批准的稽核單位根據自我評估進行現場檢查、訪談和ISMS(資訊安全管理系統)稽核。
Bureau Veritas已正式獲得ENX協會認可進行TISAX®稽核評估,且有台灣稽核員執行TISAX®稽核,在地化服務減少溝通障礙,TISAX®(可信任資訊安全評估交換)驗證可以讓企業滿足產業要求,並向消費者表明認真對待資料保護的優勢。
作者簡歷
台灣衛理國際品保驗證股份有限公司-稽核員