BSI剖析汽车产业资安标准规范，ISO/SAE 21434与TISAX将受重视

自驾车与车联网的技术发展，正受到全球重视，现阶段2021年自驾车的能力，已经到达半自驾车的Level 3水准，未来10年，将朝向全自驾的Level 5迈进，台湾产业也正积极要投入，但新的科技应用之下，也将面临新的风险，因此，车联网资安同样备受关注，近日BSI国际资安标准年会上，特别提到这方面的资安标准进展。事实上，今年8月车辆网络安全标准ISO/SAE 21434已经发布，不仅如此，在供应链透明化的趋势下，之前已存在于汽车产业的TISAX规范，也值得重视。

BSI台湾隐私保护与车联网资安产品经理孙文良表示，联网汽车与物联网的概念是一样的，在相互连结的过程中，不只包含车辆与驾驶员的互动，也有车辆与其他车辆之间的互动（V2V），车辆与交通基础设施的互动（V2I），以及车辆与云端的互动（V2C）等。

关于自驾车的分级，业界普遍采用国际汽车工程师协会（SAE）的定义，从无自动化的Level 0，到全车自动化的Level 5，共有6个等级。自动化程度越高，车上的驾驶电脑辅助系统、感测器与影音需求，将产生大量即时资料，并透过网络交换。未来，要实现的Level 5自驾车，每小时将向云端发送多达25 GB的资料。

为了提升汽车产业安全，从产业标准生态来看，孙文良表示，可分成三大构面来看，不仅是传统的功能安全（Functional Safety）、品质（Quality），并扩及到资讯与网络安全（Information & Cyber Security）。

以功能安全面而言，有产业界熟知的ISO 26262，以及仍在开发的ISO/PAS 21448等；在品质方面，则有IATF 16949、ISO 9001等；在资讯与网络安全方面，资安管理标准ISO 27001是所有产业适用的基本要求之外，还有今年正式出炉的ISO/SAE 21434，以及信任资讯安全评估交流机制TISAX等，而后两者是现阶段汽车产业的瞩目焦点。

ISO/SAE 21434标准要求整个汽车供应链确保网络安全

以ISO/SAE 21434而言，其重要性显而易见。孙文良指出，在当今的车辆安全法规潮流之下，已规范车辆制造商须符合网络安全管理体系（Cyber-Security Management System，CSMS）的要求，这将是重要组成，同时，ISO/SAE 21434标准，其实就是CSMS的展现。

ISO/SAE 21434也将为整个汽车产业带来许多优点，例如，对于客户要求的合规性，有助于组织增强相关的准备，可采取合理且相称的措施来预防网络安全问题，同时，也证明了自身对网络安全的承诺，以及能培育组织的网络安全文化。

关于ISO/SAE 21434标准的内容架构，孙文良提出简单的说明。他表示，基本上，此标准从SAE J6031演进而来，因此，与普遍企业熟知的ISO/IEC 27001相比，较为不同，当中并没有管理系统的架构，以及PDCA的循环等。

在此标准第5到第8的条款里面，一开始就是了解全组织层面的网络安全政策，以及建立与维护组织层面的规则与流程，并且特别着重在专案管理，以及强调持续性风险与漏洞管理的监控，还有定义新的网络安全风险程度评估方法。这当中，主要还是基于ISO 31000风险管理原则的方法论，但也有强化威胁建模的概念。

而在第9到第11的条款，主要考量车辆整体开发流程（V-model）与产品生命周期的概念，从概念开发、验证到生产、维运、退役等各阶段，提出要求。

特别的是，他指出，这里的每个条款都要有对应产出的文件。例如，在概念阶段，为识别产品中的网络安全风险，须产出网络安全概念的验证报告；在产品开发阶段，须产出完善的网络安全规范、开发后期的网络安全要求，完善的网络安全规范的验证报告；而在网络安全验证阶段，须产出验证规范与验证报告。因此，当客户要求实施ISO/SAE 21434来确保运作程度，在每个产品生命周期的每个阶段，产出必要的文件，并透过相应的风险控制方法来实作。

关于ISO/IEC 27001与ISO/SAE 21434的异同，孙文良认为，前者考量的是组织自身安全的问题，而后者考量的范围是整个供应链，例如，在第15条款包括整个供应链的要求，因此，整体构面更为开阔。

而在ISO/SAE 21434风险评鉴方法上，他指出，其实与ISO 27001的风险识别有一点类似，但更为扩展，而在附录E中的网络安全保证等级（Cybersecurity Assurance Levels，CAL），是从4个攻击面向与4种影响程度，订出CAL 1到CAL 4的网络安全评估等级。

ISO/SAE 21434条款内容简介

目的	条款
网络安全管理	§ 5 包括组织的网络安全政策、规则和流程的实施，以进行整体网络安全管理
专案相关网络安全管理	§ 6 专案相关的网络安全管理
持续的网络安全活动	§ 7 定义活动，该活动为正在进行风险评估和E/E系统的漏洞管理提供资讯，直至支援终止
风险评估方法	§ 8 定义出确定网络安全风险程度的方法
概念阶段	§ 9 定义项目和相关资产，确定了网络安全险，并定义了网络安全目标
开发阶段	§ 10 定义网络安全规范，实现并验证了特定于项目或组件的网络安全要求
验证阶段	§ 11 描述在车辆等级上某项的网络安全验证
生产阶段	§ 12 规定与项目或组件的制造、组装或校准有关的网络安全方面
营运及维护	§ 13 规定与网络安全事件回应和对项目或组件的更新有关的活动
退役	§ 14 包括与项目或组件退役有关的网络安全注意事项
分散式网络安全活动	§ 15 包括对供应商管理的要求
资料来源：BSI，iThome整理，2021年11月

TISAX将帮助供应链安全透明化并减少稽核所需资源

另一关注焦点，是资讯产业较陌生的TISAX规范，全名是可信任资料安全评估交换（Trusted Information Security Assessment Exchange），这是德国汽车工业联合会（VDA），以及欧盟汽车制造及供应商协会（ENX），所共同推出的机制，已经存在多年。

基本上，这套资讯安全管理机制，聚焦于汽车供应链，主要针对的是组织业务合作伙伴。孙文良表示，资讯安全交换的作用，就是希望安全能够透明化，进而确保大家都能达到一致的安全评估等级，在TISAX平台之上，无论是供应链中的那个环节，都可借由此一受认可的资讯安全评估流程，将稽核结果将放在TISAX平台，以利于资讯交换，甚至是较敏感资料的交换。目前，已经有超过40国、2,500家公司使用这样的机制。

那么，TISAX与ISO 27001之间有何关连？彼此的差异是？孙文良表示，以VDA-ISA TISAX评估机制而言，在资讯安全评估要求中，主要分为三个领域，包括资讯安全、原型保护与资料保护。

而关于资讯安全的41个控件，其实与ISO 27001附录A的控件类似，但TISAX还多了另两个领域；原型保护的部分，有22个控件；资料保护则对应GDPR第28条款，有4个控件。因此，如已取得ISO 27001认证，也将容易执行评估获得TISAX标章。

此外，ISO 27001侧重组织自身资讯安全，TISAX强调组织资讯安全管理制度中第三方的资讯安全。

目前，TISAX画分8个评估项目，以及3种评估等级。而当中的Level 1为最基本，标准供应商只需完成VDA ISA调查问卷，并在TISAX中发布自我评估；Level 2属于复杂度较高的供应商，将经过核可的稽核者透过电话进行合理性调查；Level 3为高度敏感资料的供应商，将进行现场稽核。

孙文良指出，现在的安全不再只是厂商自己单打独斗，而是整个供应链共同承担的事情。透过TISAX这样的产业机制，能让整个供应链了解彼此的安全程度，当中已经建立了标准化的范围，用于确保业务合作伙伴适当解决资讯安全风险。

而这么做的最大好处，就是帮助汽车产业在资讯安全评估的共同认可，避免重复评估的成本问题，并建立通用的资讯安全等级，使得制造商与供应商在合作上更有效率。

BSI台湾隐私保护与车联网资安产品经理孙文良表示，TISAX平台的资讯安全交换机制，其作用是希望安全能够透明化，进而确保处于供应链的安全程度都能朝向一致，而在TISAX VDA-ISA评估机制中，包含三个领域：分别是资讯安全、原型保护与资料保护，其中资讯安全的安全控制措施，其实与ISO/IEC 27001相近。（图片来源：BSI）