汽車產業資安實務指引 • 上集:ISO 21434、TISAX、ASPICE for Cybersecurity 框架說明

 Jacky Pan / FDS Thailand Country Manager 

全球汽車供應鏈的現況顯示,隨著技術的快速發展,尤其是物聯網 (IoT)、人工智慧 (AI) 與車聯網技術的應用,資訊安全成為了一個日益重要的議題。汽車不僅僅是物理裝置,更已成為複雜的資訊系統,能夠收集、處理並分享大量資料。這增加了車輛受到網路攻擊的風險,從而威脅到駕駛者和乘客的安全。

在此背景下,各國政府和知名車廠開始實施一系列資訊安全規範和標準,以保障車輛及其系統的安全。例如,歐洲聯盟通過 UNECE R155 和 R156 規範要求汽車製造商實施和維護一個全面的網路安全管理系統,以及就車輛的整個生命週期進行網路安全活動。這些規範對於全球汽車供應鏈的台灣業者而言,意味著必須遵守相關的資訊安全標準,才能進入或維持在這些市場的地位。

本文首先將針對 ISO/SAE 21434、TISAX 以及 ASPICE for Cybersecurity 等國際公認的資安標準進行概述,闡述它們的目標、要求以及對汽車產業的具體影響。尤其在台灣,隨著 ISO 21434 成為主導標準,本地業者必須加快腳步以滿足這些標準設定的高標準。

緊接著,下集文章將介紹如何將這些規範與標準落實到日常的營運與管理之中。我們將分享一系列的最佳實務,包含建立起一套符合標準的資訊安全管理系統、進行有效的風險評估和管理、以及實施網路安全防護措施。這些措施不僅將幫助台灣業者強化產品和服務的資訊安全,同時也能為進軍國際市場打下堅實的基礎。

 

一、相關資安標準背景與要求

在本文的框架中,我們將深入探討當前汽車產業內三項主要的資訊安全規範與標準。這些標準是制定和實施資訊安全控制措施的基石,它們分別針對不同的資安風險管理領域,為汽車產業提供了清晰的指導方針和執行標準。

 

1. ISO/SAE 21434

  • 目的與重點:ISO/SAE 21434 關注於汽車網路安全風險管理,目的在於提供一套全面性的指南,幫助識別、評估及應對來自各種來源的資安威脅。包含從設計階段就開始整合安全措施,以及在車輛整個生命週期中持續的風險評估和管理。
  • 適用性:在台灣,ISO 21434 已成為汽車產業資安管理的主流標準。它適用於所有參與車輛設計、製造、維護的業者,無論是 OEM 廠商還是供應鏈中的各級供應商。

2. TISAX

  • 目的與重點:TISAX 是一個針對汽車產業供應鏈的資訊安全評估和交換機制。它基於 ISO 27001,但增加了專為汽車產業量身訂做的要求,特別強調供應鏈安全和保護敏感資訊免受未授權存取。
  • 適用性:TISAX 主要是歐系車廠的要求,對於希望進入或已經是歐洲汽車市場供應鏈一部分的台灣企業來說,瞭解並遵守 TISAX 的要求是進入這些市場的關鍵。

 

3. ASPICE for Cybersecurity

  • 目的與重點:ASPICE for Cybersecurity 專注於軟體開發過程中的資安管理,它利用ASPICE的評估模型,幫助組織識別與網路安全相關的產品和流程風險。
  • 適用性:雖然ASPICE for Cybersecurity主要關注產品開發流程中的資安風險,但對於所有需要UNECE R155合規的組織來說都非常關鍵,包括那些致力於提高其軟體開發過程中資安管理能力的台灣企業。

 ISO 21434, Tisax, 與ASPICE for cybersecurity 比較圖表

當我們探討汽車產業中的 ISO 21434、TISAX 以及 ASPICE for Cybersecurity這三個資安框架時,我們可以看到它們之間有著一些相互整合的地方,但也有其各自獨特的特點和挑戰。

首先,ISO 21434 標準與 ASPICE for Cybersecurity 都著重於道路車輛的網路安全工程,提供全車輛生命週期的框架。兩者在流程上有著許多相似之處,從識別工作項目開始,進行風險與威脅的檢測,並尋找緩解這些風險與威脅的方法。此外,這兩個標準在管理階段、概念階段、產品開發階段和產品開發後階段的描述也有所相似​​​​。

然而,這兩者也有明顯的不同。ISO 21434 增加了特別關注於網路安全的新階段,比如網路安全管理和持續的網路安全活動。這表示網路安全是一個持續的活動,新的威脅需要被分析,汽車軟體必須更新以應對這些威脅。這與功能安全標準有很大的不同,功能安全風險和相關的風險被分析後,安全機制就會被建立​​。

TISAX 則是專門針對汽車產業供應鏈的資訊安全評估和交換機制,重點是保護供應鏈安全和防止敏感資訊被未授權存取。TISAX 與 ISO 21434 和 ASPICE 相比,更強調供應鏈的角色,要求業者不僅要關注自身的資安管理,也要管理供應商及其供應鏈中的資安措施​​。

在實務驗證經驗上,創建一個統一的過程來滿足特定客戶的需求並達到所需的保護是可行的。許多驗證公司也都提供整合標整的驗證框架。這個過程滿足了所有行業特定要求,同時整合了 ASPICE 框架與 ISO 21434 和 UNECE 法規的網路安全要求​​。

總的來說,這三個框架提供了一個全面的資安管理方法,幫助汽車產業從各個方面保護其產品免受網路威脅。業者需要熟悉這些標準的相互整合和獨特之處,以確保其資安措施既全面又適應未來的挑戰。這需要不斷的學習和適應,因為這些框架和標準是為了應對一個快速變化且日益複雜的網路環境而設計的。