百家智库 | 项目:2021TISAX汽车行业信息安全可靠性评估
2021年7月,以网络安全甲方专家为主的“百家智库”正式建立并公开招募。智库以务实又持续的机制和方式,向诸子云会员个人、所在企业及行业、网络安全产业,以及各类关注并从事网络安全相关工作的机构和个人,提供侧重最佳实践的价值输出,具体包括观点输出、专业分享、课题项目、调查报告、联合出版、顾问高参等方式或形式。
作为“百家智库”社群活动计划的一个部分,“诸子项目”第一期的成果已陆续于近日提交。第一期“诸子项目”共有13个,涵盖CSO知识体系、个人信息保护、红蓝对抗、渗透测试、数据安全、数字钱包、风险管理、安全开发、物联网安全等领域。
今天我们要介绍的项目,是通过大量调查研究,针对TISAX汽车行业信息安全评估和研究总结而出的——《2021TISAX汽车行业信息安全可靠性评估研究报告》。(获取方式见文末)
2021TISAX汽车行业信息安全可靠性评估研究报告
本项目由诸子云特聘专家自组项目组独立完成。
项目内容:本报告从评估的核心环节出发,针对如何满足信息安全要求,提出了相关建议。但是总的来说,它并不会具体告诉您应该如何去做,才能通过信息安全评估。
项目经理
孙权
浙江寰福科技有限公司车联网信息安全专家、人才教育联盟信息安全意识工作组专家、CISP、CDSPE、CCSSP、OSTA、INSPC、RC²商业安全师、汽车信息安全渗透测试工程师认证、ISO27001内部审核员、21434汽车网络安全工程师、IATF16949内部审核员。
项目成员
曹源灏
联合汽车电子高级信息安全工程师从事企业信息安全管理工作多年,获得CISA等相关专业认证。
刘洁
新能源汽车企业IT总监。IT合规及安全、IT战略及数字化规划、IT团队管理、IT项目实施及IT服务管理等领域有20年的本地及跨国企业工作经验。
Denis.zhu
联合汽车电子高级信息安全工程师从事企业信息安全管理工作多年,获得CISA等相关专业认证。
张元恺
上海市网络技术综合应用研究所等级保护中级测评师、CSA隐私法律工作组专家、DPO、CDSPE、CISP-PTE、CZTP、21434汽车网络安全工程师。
在此感谢参与项目工作的专家。由于时间仓促,存在很多不足的地方,请大家批评指正。欢迎大家提供修改意见,可发送邮件到下面邮箱:ddsmr119@126.com
我们谨代表中国企业网络安全专家联盟(诸子云),感谢所有为本报告提供时间和反馈的专家及个人。我们珍视您的志愿者贡献,相信像您这样的志愿者将继续引领诸子云走向未来。
项目概览
TISAX(Trusted Information Security Assessment Exchange,即“可信信息安全评估交换”)认证体系。本手册介绍了您需要采取的相关步骤,来确保顺利完成 TISAX 评估流程,并与合作伙伴共享评估结果,目的在于帮助您满足合作伙伴的要求,甚至是在合作伙伴提出此类要求之前,即可做好万全的应对准备。
TISAX流程启动的标志通常是,您的某个合作伙伴要求您证明,自己的信息安全管理体系符合“VDA ISA(德国汽车工业协会信息安全评估标准)”特定等级的要求。为了满足该要求,您需要完成 TISAX 流程三大步骤。
注册是完成 TISAX 流程的第一步。注册是所有后续步骤的先决条件,读本手册的目的是为了满足您的“客户”所提出的要求。然而,TISAX 本身并不区分这两种角色。对于TISAX而言,每一位注册人员都是“参与者”,也就是说,您与合作伙伴“参与”了信息安全评估结果的交换过程。
评估是TISAX流程的第二步,也是完成TISAX评估最主要的一个环节。首先,我们将介绍如何利用ISA 自我评估来确定,您是否已准备好接受 TISAX 评估。之后,我们将就如何选择TISAX 审计服务提供商,来相应给出建议。接下来,我们为您具体讲述评估流程。最后,我们将阐述“流程结果”。
已经完成了 TISAX 评估流程,但是您的合作伙伴依然未见到任何“证据”能够证明您的信息安全管理体系有能力保护自己的保密数据。如何与合作伙伴共享您的评估结果,从而展示所要求的证据。
为什么要做TISAX汽车行业信息安全可靠性评估研究报告
之所以做这个项目,源于诸子云上海会长锐少曾提到一个问题,即“目前国内汽车行业信息安全出了很多法规,你之前提过解决供应链安全问题,今年有没有什么新的动态和变化?”当时诸子云里增加了一些车联网安全的行业专家,正好其中有两位会员所在的企业正在做tisax认证审核,彼此交流之后,一拍即合,从而有了这份《TISAX汽车行业信息安全可靠性评估研究报告》。
由于队员们都比较给力,所以做此项目也比较顺利。孙权把自己2019年研究的经验分享给项目组成员然后制定计划,评估TISAX说明书和TISAX自查评估表做差距分析,最后再交流改善此研究报告。
最后,孙权表示参与该项目,从2019年到2021年刚好赶上2020年TISAX版本的调整,因此此项目对汽车行业信息安全的实践的有指导性意义。
如何获取这份资料?
目前,诸子云第一季至第三季的所有项目成果,均已上传至诸子云星球。随着百家智库第一期“诸子项目”的展开,所有项目成果也将陆续上传。除此之外,知识星球中还存有大量行业前沿报告等资料。现在加入诸子云知识星球,便可提前下载,领先他人一步,纵览全局,占据竞争高地。
诸子云星球“矿产资源”(标签)主要包括:
►#项目:诸子云会员协作项目成果;
►#活动:诸子云相关活动议题材料;
►#报告:安在发布及诸子云相关调查报告;
►#资料:相关群里分发的各类有价值资料;
►#话题:会员群话题讨论的分类整理;
►#讲堂:直播相关,课件、补充材料等;
►#社群:社群管理相关,介绍、月报等;
►#厂商:厂商可以在此标签下发布介绍、解决方案、案例等材料。
除上述“矿产资源”,加入诸子云星球,还可获得如下福利:
1.参加“安在讲堂”精品课程折扣;
2.购买安在出品包括调查报告、征文文集在内各类知识商品的优惠;
3.优先参加安在组织的各类线下活动。
另外,本星球已开通“分享有赏”,20%分享奖励,以当前价格计,您只需引荐5位付费新星友,您就完全赚回“门票”支出了。
本期项目一览
百家智库 | 诸子项目:13个项目发布招募并实施
百家智库 | 项目:关于安全需求与安全设计活动执行情况的调研
过往项目荐读