管理系統與國際標準
車用資安國際標準,汽車供應鏈發展趨勢
什麼是 ISO 21434 道路車輛 – 資訊安全工程?
隨著資通訊技術的進步以及網際網路的普及,帶來更多的便利和商機,但也相對增加了運作上的風險和受攻擊的
管道。因此道路車輛整體性的安全考量,從機械、功能安全延伸到資通訊安全的領域,電子、電機系統及其元件的
安全性也越來越受到重視。
ISO 21434 道路車輛-資通訊安全工程 (Road vehicles – Cybersecurity engineering) 是一項提供道路車輛產業上、中、下游業者風險管理的標準。範圍涵蓋車輛產品所需之電子、電機系統及其元件、界面在概念、研發、
製造、營運、維護和除役等各階段需要考量和監控之資通訊安全風險管理要求。
本項標準的管理架構和精神引用自 ISO 的各項管理系統,涵蓋資訊安全管理系統 ISO 27001、風險管理系統
ISO 31000、品質管理系統 ISO 9001 和道路車輛功能安全 ISO 26262 等之相關要求,從管理系統的整體思維、風險管理的方法、專案管理的注意項、客戶的溝通和供應商管理,來落實道路車輛在資通訊安全風險的管控。
ISO 21434 車用資安標準架構
- 資訊安全管理系統(CSMS):第 5 ~ 8 章
- 概念(Concept):第 9 章
- 產品開發(Product development):第 10 章
- 網路安全確認(Cybersecurity Validation):第 11 章
- 生產(Production):第 12 章
- 維護(Maintenance):第 13 ~ 15 章
ISO 21434 車用資安適用對象
道路車輛產業業者及其供應鏈。
ISO 21434 車用資安驗證效益
- 滿足客戶要求
- 落實品質管理
- 提升品牌形象
- 強化競爭優勢
- 減低營運風險
- 提升競爭門檻
什麼是 TISAX 汽車安全評估訊息交換?
想要在數位時代保持競爭力的企業必須密切注意資訊安全,對於每天都會交換大量機密數據的汽車產業來說尤其如此。
TISAX 係由德國汽車工業協會 (VDA) 根據 ISO 27001 的標準規範所制訂並推出的資訊安全評估 (ISA) 結果平台,確保汽車製造商、服務提供商和供應商之間的資訊安全統一標準,並藉由確保製造過程及車輛運作的完整性及可用性來協助保護數據,以提供交換汽車產業的資訊安全評估與審核結果。
透過一次評估與多方資訊共享的機制,為汽車製造商和供應商提供了長達三年的安全驗證,且每個登錄參與並通過 TISAX 的企業組織可自行授權合作夥伴以共享 TISAX 上的評估結果,藉此讓汽車供應鏈合作夥伴暸解其在資訊安全及資料保護上的成果。
TISAX 驗證主要架構
- TISAX 驗證範圍:為涵蓋汽車合作夥伴所列資安要求,相關廠區場址所有流程及關聯資源皆應列入範圍,
包含資料蒐集、資料儲存與資料處理。
- TISAX 驗證三大類型:資訊安全控制措施 (共 41 項)、原型保護 (共 22 項)及隱私保護 (共 4 項)
- 成熟度評鑑:每個控制措施分 0 ~ 5 等級,目標通過等級至少為等級 3
TISAX 適用對象
適用於藉由共享資安評估的結果讓合作夥伴瞭解其資訊安全及資料保護成果的汽車供應鏈組織。
TISAX 驗證效益
- 所有參與者都認可的驗證結果
- 被供應商和原始委託製造商所接受
- 建立共用驗證確信平台
- 建立企業信任度
- 節省時間及成本
- 減少重複和多次驗證
什麼是 ASPICE 汽車產業軟體流程改進與能力測定標準?
跟隨著科技和產品的演進,汽車產業從單純的機械製造業帶入支援性電子元件,並逐漸整合入單一或多功能
資訊系統;雖然汽車產業對於品質和安全性高規格的要求從未改變,但是關注的層面卻從機械、電子、電機擴展到資訊系統及相關元件。
ASPICE 是一項適用於汽車產業評估並持續改善軟體及其相關元件,引用 ISO 33020 和 ISO/IEC 15504 軟體流程評估方式,用來提升軟體、車用的電子控制單元(ECU)/車載電腦的品質,在研發階段監控與管理相關流程之標準。可使開發產品在整個研發生命周期考量並落實品質、功能安全和資通訊安全的管控。其架構可適用於傳統和敏捷式 (Agile) 開發方法且支援關鍵產品工程。
並藉由三大生命週期流程、流程參考模型 PRM (ProcessReference Model)、流程評估模型PAM (Process
Assess Model) 以及六個階段的成熟度評估 (Level 0 Incomplete、Level 1 Performed、
Level 2 Managed、Level 3 Established、Capability Level 4 Predictable、Capability Level 5 Innovating),
展現並回應對於客戶期待、產品設計和品質管理等相關要求。
在汽車產業,ASPICE 逐漸成為廣泛適用標準,全球各大車商 (Audi、BMW、Ford…) 開始對於其電子零件和軟體供應鏈要求通過 ASPICE 評估
ASPICE 汽車產業軟體流程改進與能力測定標準架構
ASPICE 標準包含 3 個部分,分別為:3 大類別、8 個領域、32 個流程
| 類別 |
領域 |
流程 |
| 主要生命週期 |
採購 |
ACQ.3
ACQ.4
ACQ.11~15 |
| 供應 |
SPL.1~2 |
| 系統 |
SYS.1~5 |
| 軟體 |
SWE.1~6 |
| 支持生命週期 |
支持 |
SUP.1~2
SUP.4
SUP.7~10 |
| 組織生命週期 |
管理 |
MAN.3
MAN.5~6 |
| 過程改善 |
PIM.3 |
| 重用 |
REU.2 |
ASPICE 適用對象
汽車產業製造商、汽車產業供應鏈。
ASPICE 驗證效益
- 滿足客戶要求
- 落實品質管理
- 提升品牌形象
- 強化競爭優勢
- 減低營運風險
- 提升競爭門檻
課程名稱