汽車產業的資安要求已經法制化:UN R155 要求車廠建立車輛網路安全管理系統並對供應鏈課責,不符合者面臨歐盟等市場的型式認證障礙,等同禁售;德系車廠以 TISAX 評鑑作為供應商資訊安全的入場券,AL3 等級涉及高度機密資料與原型保護;ISO/SAE 21434 則定義車輛電子電氣系統的資安工程流程。對台灣的車用零組件、車電與軟體供應商而言,這三者不是選配,而是訂單存續條件。
不處理的代價:車用供應鏈的風險場景
| 風險場景 | 衝擊 | 對應標準 | 法規時鐘 |
|---|---|---|---|
| 未通過 TISAX 評鑑被剔出供應商名單 | 德系與國際車廠訂單直接中止 | TISAX(AL2/AL3) | 車廠盡調與換約時點由客戶決定 |
| 產品無法對應 UN R155 要求 | 客戶車型無法取得型式認證,等同歐盟市場禁售 | UN R155+ISO/SAE 21434 | 法規已全面適用於新車 |
| 原型資料或圖紙外洩 | 違反保密義務面臨求償,AL3 等級要求更嚴 | TISAX 原型保護 | 事故不預約 |
| 產線中斷影響車廠 JIT 供應 | 高額違約金與供應商評等降級 | ISO 22301 BCM | 車廠韌性盡調已成常態 |
建議合規路徑
建議路徑以車用資安輔導(TISAX×ISO 21434)為主軸取得入場券,歐盟合規整合對應 UN R155 與 CRA 疊加要求,BCM 滿足車廠韌性盡調,ERM 把分散的客戶要求整併為一套制度——避免每接一張單就重做一次合規。
認證與標準全景
| 領域 | 標準/法規 |
|---|---|
| 品質管理 | IATF 16949 |
| 資訊安全評鑑 | TISAX |
| 車輛資安工程 | ISO/SAE 21434 |
| 軟體流程能力 | ASPICE |
| 功能安全 | ISO 26262 |
| AI 治理 | ISO 42001 |
| 網路安全管理(車型認證) | UN R155 |
| OTA 軟體更新安全 | UN R156 |
| 歐盟產品網路安全 | EU Cyber Resilience Act(CRA) |
上表為該產業的認證與法規全景;實際導入組合依您的客戶要求與產品型態而定。積穗科研協助您以共用文件骨架規劃最具商業價值的取證順序,避免重複建置。
為什麼選擇積穗科研
積穗科研熟悉車廠盡調語言與 TISAX 評鑑實務,從差距分析、制度建置到陪同評鑑一站完成,並以 ERM 與 BCM 補強車廠日益重視的營運韌性要求——目標是一次通過目標等級。
適用對象
- 車用零組件與模組製造商
- 車用電子與軟體供應商
- 正被車廠要求 TISAX 的一二階供應商
- 切入車用市場的科技業者
常見問題
汽車零組件廠需要哪些資安認證?
核心三件:TISAX 評鑑(車廠供應商資訊安全入場券)、ISO/SAE 21434(產品涉及電子電氣系統時必要)、UN R155 對應能力(支持客戶車型型式認證)。實際組合依產品型態與客戶要求而定——積穗科研建議先做差距分析定位,再決定導入順序。
TISAX 的 AL2 和 AL3 怎麼選?
取決於接觸資料的機密等級:一般機密資料對應 AL2;涉及高度機密或原型保護(如試作件、未發表車型資料)則需 AL3。車廠通常會在盡調文件中載明要求等級。
已有 ISO 27001,離 TISAX 還有多遠?
TISAX 以 VDA ISA 問卷為基準,與 ISO 27001 高度重疊但增加原型保護、資料保護等汽車產業特定要求,且採評鑑等級制。既有 ISO 27001 制度可大幅縮短導入期,差距主要在產業特定控制項。
輔導包含陪同評鑑嗎?
包含。從差距分析、制度建置、內部稽核到評鑑機構協調與現場陪同,積穗科研採一站式輔導。