欧美一区二区三区高清在线_国产一线二线三线女_日韩一区二区三区最新_好男人的影视免费观看_日韩伦理中文字幕_欧洲高清无码在线_欧美人妻视频精品_国产欧美亚洲精品专区不卡_黄色网站大全免费2023_少妇太紧了在线观看

全國服務熱線:

400-677-1258

企航服務

SERVICE

聯系我們

400-677-1258

上海市長寧區番禺路390號時代大廈21層

office@isosqt.com

新聞資訊 >更多
專業資訊

當前位置: 首頁 > 專業資訊

TISAX? ISA 6.0新版實施指南

2024/02/25

汽車行業數字化轉型迅猛發展,各類制造供應商和服務提供商的涌入構成了極其復雜的上下游供應鏈,其中任何一家組織發生信息安全問題都可能會對整個供應鏈造成巨大影響。在此背景下,TISAX?(Trusted Information Security Assessment Exchange可信信息安全評估交換)應運而生,旨在建立一個專門服務于汽車行業的信息安全評估框架,確保汽車行業內信息安全的一致性和高標準。


TISAX? 為汽車行業提供了一個全面、高效的信息安全管理框架。通過實施TISAX? 認證,組織不僅能夠提高其信息安全水平,還能在競爭激烈的市場中獲得優勢。隨著VDA ISA 6.0的發布,TISAX? 的標準被進一步提高,更好地反映了當前的安全威脅和技術發展趨勢,也為整個汽車行業的數據安全和合作提供了更堅實的基礎。


企航顧問TISAX服務-1.jpg


延伸閱讀


1、企航顧問TISAX?可信信息安全評估交換機制服務介紹
2、TISAX?與ISO/IEC27001的比較研究
3、TISAX?(可信信息安全評估及交換機制)合規體系建設方案


TISAX? ISA 6.0新版過渡期要求


2023年10月16日,VDA ISA 6.0發布,將于2024年4月1日生效。這意味著在此之后注冊的新TISAX評估將使用VDA ISA 6.0版本進行。不過,如果組織在2023年3月31日前完成ENX注冊、選擇TISAX審核機構并預約審核,則仍可在一定期限內采用VDA ISA 5.1版本進行審核。若企業近期希望獲取TISAX標簽或標簽即將失效,可根據實際需求選擇審核版本,并盡早為新版本審核做準備。


【圖1】TISAX.jpg


TISAX? ISA 6.0新版標簽的變更


較之前的5.1版本,VDA ISA 6.0將信息安全目錄下的“Info High(處理保護需求較高的信息)”和“Info Very High(處理保護需求極高的信息)”標簽更改為“Confidential(訪問保密信息)”和“Strictly Confidential(訪問嚴格保密的信息)”標簽,并引入了全新的“High Availability(信息高可用性)”、“Very High Availability(信息的極高可用性)”標簽。該目錄下的標簽重組,說明了汽車制造供應商和服務提供商除了可以確保傳遞的敏感信息保密,也能證明其具備一定的彈性,以應對網絡威脅和突發事件造成的業務中斷。


已經按照舊版本完成的審核仍將保留其有效性。如果組織的 TISAX標簽未過期,其已經擁有的“Info High”或“Info Very High”標簽將自動轉換為“Confidential”或“Strictly Confidential”標簽,原有的 “Info High” 或 “Info Very High” 標簽仍將繼續保持有效。


【圖2】TISAX.jpg


TISAX? ISA 6.0新版換版要點


VDA ISA 6.0強調信息技術(IT)和運營技術(OT)的可用性,防范網絡領域和物理安全方面的中斷,其關鍵變化點具體如下:


1、信息安全模塊

VDA ISA 6.0對多個控制描述做了調整,并新增了5個控制點,涉及話題有軟件安全、事件與危機管理、備份與恢復。


2、實施參考指南

VDA ISA 6.0索引至德國聯邦信息安全辦公室IT基本保護匯編(BSI IT-Grundschutz-Compendium)、信息系統和組織的安全和隱私控制(NIST SP800-53r5)等標準,為控制要求如何落地實施提供方向。


3、實施參考標準

除了新版ISO/IEC 27001:2022外,VDA ISA 6.0還參考了工業自動化和控制系統信息安全(ISA/IEC 62443-2)和美國國家標準與技術研究所網絡安全框架(NIST Cyber Security Framework Version 1.1)等標準,確保TISAX符合國際公認的信息安全最佳實踐。


4、簡化集團評估 (Simplified Group Assessments)

當大型組織具有足夠成熟的信息安全體制時,可以選擇接受簡化集團評估。VDA ISA 6.0說明了可選擇簡化集團評估的前提條件。


5、原型保護模塊

VDA ISA 6.0明確原型保護模塊的保護對象為“物理原型”,這意味著圖紙、程序、照片等將不再是該模塊的關注重點。


6、數據保護模塊

VDA ISA 6.0重塑了數據保護模塊的架構,細化了每個控制點的要求,方便組織理解控制目標及要求。


TISAX? ISA 6.0新增控制要求解讀及實施指南


VDA ISA 6.0對現有控制提出了以下3個方面的新要求:


一、事件與危機管理:

關注快速識別和處理與安全有關的事件,尤其是對危機情況的應對。


1、相關控制點:1.6.1

控制目標:

任何人都有意識地去檢測潛在的安全事件或跡象。更關鍵的是,任何人都知道何時以及如何報告所觀察到的具有潛在安全危害的事件或跡象,以便專家可以決定是否需要處理以及如何處理。


實施指南

1、設立報告渠道:應定義和設立用于安全事件識別的報告渠道

2、建立流程:應實施適當的程序,以迅速和標準化地評估并處理事件,包括與事件報告者溝通、引入其他利益相關者等

3、培訓與意識:處理事件是一項共同的責任,應確保所有員工都了解相關流程


2、相關控制點:1.6.2

控制目標

一旦報告了安全事件,對事件的處理進行管理是至關重要的。這意味著要迅速識別所報告事件的類型和嚴重性以及責任人,以確保及時處理時間緊迫的事項。一旦識別完成,確保責任人意識到并在合理的時間框架內處理事件的必要性。此外,如果事件影響到多個不同的人,協調溝通也是事件管理的重要組成部分。最后,如果需向外部(出于合同或監管要求)報告事件情況,確保以專業的方式來滿足這些要求也很重要。


實施指南

1、事件響應:應根據類型和嚴重程度及時評估事件,并在預定義的響應時間內處理事件

2、升級流程:應定義和實施明確的上報渠道和程序,包括與高級管理層的溝通

3、溝通策略:應指定和建立向內部或外部進行安全事件溝通的責任和策略

4、流程檢驗:應定期審閱及模擬處理不同類別及優先次序的事件,以確保事件發生時已作好準備


3、相關控制點:1.6.3

控制目標

如果異常情況(例如自然災害、物理攻擊、流行病、異常社會情況、導致關鍵基礎設施故障的網絡攻擊)嚴重擾亂了關鍵業務運營,則發生危機情況。在這種情況下,組織的首要任務是有條不紊地處理這種情況,并盡可能地快速恢復。由于時間緊迫,為使組織能夠應對這種危機情況,通常的做法是切換到危機管理模式,執行設有明確職責分配的預先計劃的程序。


實施指南

1、建立流程:應實施適當的程序,以確保在危機情況下迅速而協調的行動

2、溝通策略:應建立有效的溝通策略,以便能夠在危機期間和危機之后與所有利益相關者進行適當的溝通

3、流程檢驗:應定期測試以識別流程中的弱點,并適應不斷變化的條件和需求


二、備份與恢復:


關注IT服務的連續性計劃和全面的備份和恢復措施,以最大限度地減少業務中斷和中斷造成的損害。


1、相關控制點:5.2.8

控制目標

IT服務的連續性計劃(包括應急計劃)是實現組織使命和關鍵業務功能的連續運行的整體計劃的一部分。在連續性計劃中處理的操作包括在安全事件發生時執行有序的系統降級、系統停止運行、回退到手動模式、備用信息流以及在預設的模式下運行。


實施指南

1、識別關鍵IT服務:應根據業務影響,識別和評估關鍵IT服務

2、流程檢驗:應定期審查和更新連續性計劃,以確保適應新的可能發生的情況


2、相關關控制點:5.2.9

控制目標

數據和IT服務可能會因硬件故障、軟件缺陷、操作員失誤或攻擊等事件而不可用。備份和恢復使組織能夠從相關事件中恢復,并將對組織的潛在危害限制在合理的范圍內。


實施指南

1、備份和恢復策略:應定義和實施成體系的備份策略和有效的恢復策略,以便在中斷的情況下迅速恢復,并將潛在的損害限制在可接受的水平

2、持續監測:應通過監測以在早期階段識別潛在風險

3、流程檢驗:應定期執行恢復性測試,以確保可恢復性


三、軟件安全:


關注只使用經過評估和批準的軟件來處理信息資產。


相關控制點:1.3.4

控制目標

信息處理(包括OT生產過程)大多通過使用專用軟件來完成。軟件的安全問題很容易成為處理信息的風險。因此,必須對軟件進行適當的管理。


實施指南

1、預防:應確保僅使用授權的軟件

2、監測:定期識別、驗證和更新所使用的軟件

3、培訓與意識:對員工進行信息安全培訓,確保員工了解并遵守安全規定和操作流程


企航顧問TISAX案例


7、同濟大學上海地面交通工具風洞中心TISAX咨詢項目.jpg

同濟大學上海地面交通工具風洞中心

8、耐克森斯汽車電子(天津)有限公司TISAX咨詢項目(黨偉寧)-1.jpg

耐克森斯汽車電子(天津)有限公司

9、桑尼泰克精密工業股份有限公司TISAX咨詢項目.jpg

桑尼泰克精密工業股份有限公司【股票代碼:832554】

10、靖江三鵬模具科技股份有限公司TISAX咨詢項目(黨偉寧)-1.jpg

靖江三鵬模具科技股份有限公司

11、寧波艾思科汽車音響通訊有限公司TISAX咨詢項目(吳楓&張勁)-1.jpg

寧波艾思科汽車音響通訊有限公司

1、感謝信:上海鷹峰電子科技股份有限公司TISAX咨詢項目(黨偉寧).jpg

【感謝信】上海鷹峰電子科技股份有限公司

2、感謝信:薩古拉科技(上海)有限公司TISAX咨詢項目(黨偉寧).png

【感謝信】薩古拉科技(上海)有限公司

3、感謝信:艾聯(上海)汽車零部件有限公司TISAX咨詢項目(吳楓).jpg

【感謝信】艾聯(上海)汽車零部件有限公司

4、感謝信:蘇州瑞瑪精密工業股份有限公司TISAX咨詢項目(黨偉寧).png

【感謝信】蘇州瑞瑪精密工業股份有限公司

5、感謝信:立衡科技(上海)有限公司TISAX項目(黨偉寧).jpeg

【感謝信】立衡科技(上海)有限公司

6、感謝信:桑尼泰克精密工業股份有限公司TISAX咨詢項目(黨偉寧).jpg

【感謝信】桑尼泰克精密工業股份有限公司

12、薩古拉科技(上海)有限公司TISAX咨詢項目.jpg

薩古拉科技(上海)有限公司

13、費爾特蘭(嘉興)過濾系統有限公司TISAX咨詢項目(吳楓).jpg

費爾特蘭(嘉興)過濾系統有限公司

14、泰信電機(蘇州)有限公司TISAX咨詢項目-1.jpg

泰信電機(蘇州)有限公司

15、上海鷹峰電子科技股份有限公司TISAX咨詢項目.jpg

上海鷹峰電子科技股份有限公司

16、寧波海威汽車零件股份有限公司TISAX-AL3咨詢項目.jpg

寧波海威汽車零件股份有限公司

17、蘇州瑞瑪精密工業股份有限公司TISAX咨詢項目.jpg

蘇州瑞瑪精密工業股份有限公司【股票代碼:002976】

18、常州市盛士達汽車空調有限公司TISAX咨詢項目.jpg

常州市盛士達汽車空調有限公司

19、浙江夏廈精密制造股份有限公司TISAX咨詢項目(張勁&吳楓).jpg

浙江夏廈精密制造股份有限公司

20、寧國市瑞普密封件有限公司TISAX咨詢項目(黨偉寧)-1.jpg

寧國市瑞普密封件有限公司

21、艾聯(上海)汽車零部件有限公司.jpg

艾聯(上海)汽車零部件有限公司

22、上海寶鹿車業有限公司TISAX咨詢項目(吳楓).jpg

上海寶鹿車業有限公司

23、耐克森斯汽車電子(天津)有限公司昌圖分公司TISAX咨詢項目(黨偉寧).jpg

耐克森斯汽車電子(天津)有限公司昌圖分公司

24、錢潮森威股份公司.jpg

錢潮森威股份公司

25、上海奧達科股份有限公司.jpg

上海奧達科股份有限公司


關于企航顧問


上海企航科技咨詢有限公司【中文簡稱:企航顧問 or 企航咨詢 ,英文簡稱:SQT


企航顧問 是從事卓越績效、智能制造、精益六西格瑪、管理體系的咨詢和培訓的管理顧問機構,是面向廣大企事業單位傳遞無文化障礙的先進管理理念與技術、提供國際化與本土化完美結合的管理咨詢和培訓的專業服務機構。


企航顧問 從1999年3月23日成立至今,為6,000多家不同類型的企業提供過管理咨詢服務和為10,000多家企業的數百萬人次提供過管理培訓服務,這其中包括了50%以上的國內五百強企業、420家世界五百強在華企業和1,000多家國內上市企業。 


企航顧問 同時也是全國六西格瑪推進工作委員會(CCPSS)委員單位、國家認證認可監督管理委員會(CNCA)首批備案批準且批準范圍最寬的管理顧問公司(備案批準號:CNCA-Z-02Q-2002-045)、中國認證認可協會(CCAA)理事單位和上海市認證協會(SCA)理事單位。

 

企航顧問——智能制造.png

 


關于我們 /ABOUT US
上海企航科技咨詢有限公司【中文簡稱:企航顧問or企航咨詢、英文簡稱:SQT】 企航顧問 是從事卓越績效、精益生產、六西格瑪、管理體系的咨詢和培訓的管理顧問公司,是面向廣大企事業單位傳遞無文化障礙的先進管理理念與技術、提供國際化與本土化完美結合的管理咨詢和培訓的專業服務機構。 企航顧問 從1999年3月23日成立至今,為6,000...

友情鏈接:

微信平臺

線上課程

網站首頁| 關于我們| 企航服務| 新聞資訊| 學員展示| 專業資訊| 聯系我們| 熱門課程|