谁来保卫汽车行业信息安全?



2019年5月17日 | 产品安全

      

如果科技是一粒毒品

——确实感觉像毒品

——那么它的副作用到底是什么呢?

《黑镜》”黑函之舞”(Shut Up and Dance)描述一名青少年的笔记本电脑遭病毒感染后,面临令人害怕的抉择:执行文字讯息下达的指令,或是让隐私就此曝光。在这次勒索病毒事件中,少年因害怕隐私曝光,身陷囹圄,跌落深渊。

信息技术深刻影响人们的生产和生活方式,对经济社会各领域正在产生革命性影响。而信息安全事件随之频频发生,不仅威胁到个人生命与财产安全,也给企业、组织带来损失和信誉危机。由信息安全漏洞而触发的一系列胆战心惊的严重后果,让企业不得不重视信息安全管理。

 

一个规范安全的信息管理体系将成为企业保障信息安全的防护墙。

不同的问题,都有自己独特的解决方案。当遇到类似的问题,企业通常希望能够通过一个规范性文件或最佳实践,为解决方案提供参考。ISO/IEC 27001信息安全管理体系标准,作为企业信息安全管理的最佳实践方法,为企业与合作方提供了共同的基础。

信息安全管理体系的核心是风险评估和管理。我们需要对信息资产的保密、完整和可用性管理过程中的薄弱环节加以处理,并通过PDCA不断循环的过程,来确保企业的信息安全。

 

汽车行业的信息安全

目前,信息安全已成为汽车行业企业的关键成功要素之一:在开发流程设计中的数据交换、制造流程中的功能安全、网络生产系统间的自动数据交换,以及生产的可用性和可靠性等方面,信息安全都占据了至关重要的地位。这同样适用于车辆本身,它们逐渐演变成” 四个轮子上的计算机”。汽车行业的服务提供商或供应商均需定期向客户提交证明,以表明是否遵守信息安全相关的标准和具体要求。

德国汽车工业联合会(VDA)信息安全工作组致力于推动汽车行业信息安全标准,并在多年前建立了信息安全评估标准(VDA ISA),以用于组织的内部控制要求。 VDA与ENX协会更进一步推出:TISAX(可信信息安全评估交换)–基于VDA-ISA的第三方独立评估,以实现汽车行业信息安全评估的相互认可,从而减少不同整车制造商的频繁审核。

 

TISAX 与VDA ISA关系?

VDA-ISA是基于汽车行业要求的量身定制的标准,更加适合汽车工业企业的需要,并被汽车行业广泛接受。如果客户或合作伙伴要求你的信息安全管理水平符合VDA-ISA

可信信息安全评估交换(TISAX),以VDA-ISA 检查目录为基础,包括了国际标准ISO/IEC 27001(信息安全管理体系)的内容。通过授权认证审核服务提供商,根据全行业认可的国际标准定期开展审核,并将审核结果放在一个可信信息安全评估交换(TISAX)平台之上,可以让注册用户交换及采信。

如果说VDA ISA定义了安全要求,那么TISAX则可以让企业“证明其安全性”。

 

为什么企业要进行TISAX 评估

目前,欧洲大型汽车整车制造商如大众、宝马、保时捷、戴姆勒都会希望或要求供应商和服务提供商必须通过TISAX认证,才能与其建立业务联系。因此,汽车制造商的供应商和相关服务提供商需要到VDA和ENX注册成为ITSAX机制参与方,然后通过由VDA/ENX授权认证的审核服务机构(例如TÜV莱茵)执行审核,审核结果会发布在ENX平台上,一旦发布后TISAX的其他被授权的参与方可以在平台上进行访问和查阅其结果,通过这些步骤建立起相互共享,相互信任的平台机制。

 

谁可以提供TISAX审核服务?

TISAX 评估只能由经过认可的第三方机构执行,而全球范围内合格的机构数量非常有限。作为全球为数不多的经过授权的TISAX 评估机构之一,TÜV 莱茵能够为汽车企业提供全面的评估服务。

 

TISAX 评估的益处:

• 现有供应商关系的更新工作更加简便。

• 全行业包括个人客户都认可TISAX评估。

• 多重测试工作将更新迭代,成为过去。

• 避免多次检查,节省时间和管理成本。

 

TISAX评估的流程:

 

为何选择TÜV莱茵?

TÜV莱茵是国际知名的独立检测认证机构,已积累超过145年的经验。集团在全球拥有超过20,000员工。

15年来, TÜV莱茵积极投身于数字化转型,为IT、网络安全和电信领域的私营和公共部门提供全面的咨询和解决方案。TÜV莱茵力邀全球600多名专家针对系统的实施、运营和认证等工作提供战略咨询、设计和流程优化建议等服务。

 

具体事宜,请咨询专家:

Bryan Hu

TÜV莱茵大中华区管理体系服务信息行业产品经理

ISO/IEC 27001, ISO/IEC 20000-1主任审核员

CSA, ECSA, 云安全审核员

Email: bryan.hu@tuv.com

为了帮助企业解疑释惑,TÜV莱茵诚邀您参加“ISO/IEC 27001&TISAX研讨会”活动,TÜV莱茵专家将与您面对面探讨ISO/IEC 27001标准及TISAX审核的主要内容和关注点,助力企业建立信息安全体系工作。

06月11日 深圳站

06月28日 上海站

07月19日 广州站

08月09日 北京站