TISAX? ISA 6.0新版實施指南
2024/02/25
汽車行業(yè)數(shù)字化轉(zhuǎn)型迅猛發(fā)展,各類制造供應商和服務提供商的涌入構(gòu)成了極其復雜的上下游供應鏈�����,其中任何一家組織發(fā)生信息安全問題都可能會對整個供應鏈造成巨大影響���。在此背景下,TISAX?(Trusted Information Security Assessment Exchange可信信息安全評估交換)應運而生���,旨在建立一個專門服務于汽車行業(yè)的信息安全評估框架����,確保汽車行業(yè)內(nèi)信息安全的一致性和高標準��。
TISAX? 為汽車行業(yè)提供了一個全面��、高效的信息安全管理框架�。通過實施TISAX? 認證,組織不僅能夠提高其信息安全水平���,還能在競爭激烈的市場中獲得優(yōu)勢�����。隨著VDA ISA 6.0的發(fā)布�����,TISAX? 的標準被進一步提高��,更好地反映了當前的安全威脅和技術(shù)發(fā)展趨勢�,也為整個汽車行業(yè)的數(shù)據(jù)安全和合作提供了更堅實的基礎。
延伸閱讀
1����、企航顧問TISAX?可信信息安全評估交換機制服務介紹
2、TISAX?與ISO/IEC27001的比較研究
3�����、TISAX?(可信信息安全評估及交換機制)合規(guī)體系建設方案
TISAX? ISA 6.0新版過渡期要求
2023年10月16日����,VDA ISA 6.0發(fā)布���,將于2024年4月1日生效���。這意味著在此之后注冊的新TISAX評估將使用VDA ISA 6.0版本進行。不過����,如果組織在2023年3月31日前完成ENX注冊�、選擇TISAX審核機構(gòu)并預約審核�����,則仍可在一定期限內(nèi)采用VDA ISA 5.1版本進行審核���。若企業(yè)近期希望獲取TISAX標簽或標簽即將失效�����,可根據(jù)實際需求選擇審核版本��,并盡早為新版本審核做準備���。
TISAX? ISA 6.0新版標簽的變更
較之前的5.1版本,VDA ISA 6.0將信息安全目錄下的“Info High(處理保護需求較高的信息)”和“Info Very High(處理保護需求極高的信息)”標簽更改為“Confidential(訪問保密信息)”和“Strictly Confidential(訪問嚴格保密的信息)”標簽�����,并引入了全新的“High Availability(信息高可用性)”��、“Very High Availability(信息的極高可用性)”標簽����。該目錄下的標簽重組���,說明了汽車制造供應商和服務提供商除了可以確保傳遞的敏感信息保密,也能證明其具備一定的彈性�����,以應對網(wǎng)絡威脅和突發(fā)事件造成的業(yè)務中斷�。
已經(jīng)按照舊版本完成的審核仍將保留其有效性。如果組織的 TISAX標簽未過期��,其已經(jīng)擁有的“Info High”或“Info Very High”標簽將自動轉(zhuǎn)換為“Confidential”或“Strictly Confidential”標簽����,原有的 “Info High” 或 “Info Very High” 標簽仍將繼續(xù)保持有效�����。
TISAX? ISA 6.0新版換版要點
VDA ISA 6.0強調(diào)信息技術(shù)(IT)和運營技術(shù)(OT)的可用性��,防范網(wǎng)絡領域和物理安全方面的中斷�,其關(guān)鍵變化點具體如下:
1、信息安全模塊
VDA ISA 6.0對多個控制描述做了調(diào)整�����,并新增了5個控制點,涉及話題有軟件安全���、事件與危機管理���、備份與恢復。
2�����、實施參考指南
VDA ISA 6.0索引至德國聯(lián)邦信息安全辦公室IT基本保護匯編(BSI IT-Grundschutz-Compendium)����、信息系統(tǒng)和組織的安全和隱私控制(NIST SP800-53r5)等標準,為控制要求如何落地實施提供方向����。
3、實施參考標準
除了新版ISO/IEC 27001:2022外���,VDA ISA 6.0還參考了工業(yè)自動化和控制系統(tǒng)信息安全(ISA/IEC 62443-2)和美國國家標準與技術(shù)研究所網(wǎng)絡安全框架(NIST Cyber Security Framework Version 1.1)等標準�����,確保TISAX符合國際公認的信息安全最佳實踐�。
4、簡化集團評估 (Simplified Group Assessments)
當大型組織具有足夠成熟的信息安全體制時��,可以選擇接受簡化集團評估���。VDA ISA 6.0說明了可選擇簡化集團評估的前提條件�����。
5�����、原型保護模塊
VDA ISA 6.0明確原型保護模塊的保護對象為“物理原型”����,這意味著圖紙�、程序、照片等將不再是該模塊的關(guān)注重點��。
6����、數(shù)據(jù)保護模塊
VDA ISA 6.0重塑了數(shù)據(jù)保護模塊的架構(gòu),細化了每個控制點的要求�,方便組織理解控制目標及要求。
TISAX? ISA 6.0新增控制要求解讀及實施指南
VDA ISA 6.0對現(xiàn)有控制提出了以下3個方面的新要求:
一�����、事件與危機管理:
關(guān)注快速識別和處理與安全有關(guān)的事件����,尤其是對危機情況的應對。
1���、相關(guān)控制點:1.6.1
控制目標:
任何人都有意識地去檢測潛在的安全事件或跡象�����。更關(guān)鍵的是����,任何人都知道何時以及如何報告所觀察到的具有潛在安全危害的事件或跡象��,以便專家可以決定是否需要處理以及如何處理�����。
實施指南:
1、設立報告渠道:應定義和設立用于安全事件識別的報告渠道
2����、建立流程:應實施適當?shù)某绦颍匝杆俸蜆藴驶卦u估并處理事件��,包括與事件報告者溝通��、引入其他利益相關(guān)者等
3�、培訓與意識:處理事件是一項共同的責任,應確保所有員工都了解相關(guān)流程
2��、相關(guān)控制點:1.6.2
控制目標:
一旦報告了安全事件���,對事件的處理進行管理是至關(guān)重要的��。這意味著要迅速識別所報告事件的類型和嚴重性以及責任人��,以確保及時處理時間緊迫的事項��。一旦識別完成����,確保責任人意識到并在合理的時間框架內(nèi)處理事件的必要性�。此外,如果事件影響到多個不同的人�����,協(xié)調(diào)溝通也是事件管理的重要組成部分����。最后,如果需向外部(出于合同或監(jiān)管要求)報告事件情況�����,確保以專業(yè)的方式來滿足這些要求也很重要�����。
實施指南:
1�、事件響應:應根據(jù)類型和嚴重程度及時評估事件,并在預定義的響應時間內(nèi)處理事件
2�����、升級流程:應定義和實施明確的上報渠道和程序���,包括與高級管理層的溝通
3����、溝通策略:應指定和建立向內(nèi)部或外部進行安全事件溝通的責任和策略
4、流程檢驗:應定期審閱及模擬處理不同類別及優(yōu)先次序的事件����,以確保事件發(fā)生時已作好準備
3、相關(guān)控制點:1.6.3
控制目標:
如果異常情況(例如自然災害���、物理攻擊�、流行病����、異常社會情況、導致關(guān)鍵基礎設施故障的網(wǎng)絡攻擊)嚴重擾亂了關(guān)鍵業(yè)務運營����,則發(fā)生危機情況。在這種情況下�����,組織的首要任務是有條不紊地處理這種情況�����,并盡可能地快速恢復。由于時間緊迫�,為使組織能夠應對這種危機情況��,通常的做法是切換到危機管理模式��,執(zhí)行設有明確職責分配的預先計劃的程序���。
實施指南:
1���、建立流程:應實施適當?shù)某绦颍源_保在危機情況下迅速而協(xié)調(diào)的行動
2��、溝通策略:應建立有效的溝通策略��,以便能夠在危機期間和危機之后與所有利益相關(guān)者進行適當?shù)臏贤?/span>
3�、流程檢驗:應定期測試以識別流程中的弱點,并適應不斷變化的條件和需求
二���、備份與恢復:
關(guān)注IT服務的連續(xù)性計劃和全面的備份和恢復措施���,以最大限度地減少業(yè)務中斷和中斷造成的損害��。
1����、相關(guān)控制點:5.2.8
控制目標:
IT服務的連續(xù)性計劃(包括應急計劃)是實現(xiàn)組織使命和關(guān)鍵業(yè)務功能的連續(xù)運行的整體計劃的一部分��。在連續(xù)性計劃中處理的操作包括在安全事件發(fā)生時執(zhí)行有序的系統(tǒng)降級��、系統(tǒng)停止運行����、回退到手動模式、備用信息流以及在預設的模式下運行�����。
實施指南:
1���、識別關(guān)鍵IT服務:應根據(jù)業(yè)務影響����,識別和評估關(guān)鍵IT服務
2�、流程檢驗:應定期審查和更新連續(xù)性計劃,以確保適應新的可能發(fā)生的情況
2���、相關(guān)關(guān)控制點:5.2.9
控制目標:
數(shù)據(jù)和IT服務可能會因硬件故障����、軟件缺陷、操作員失誤或攻擊等事件而不可用����。備份和恢復使組織能夠從相關(guān)事件中恢復,并將對組織的潛在危害限制在合理的范圍內(nèi)�����。
實施指南:
1��、備份和恢復策略:應定義和實施成體系的備份策略和有效的恢復策略��,以便在中斷的情況下迅速恢復����,并將潛在的損害限制在可接受的水平
2��、持續(xù)監(jiān)測:應通過監(jiān)測以在早期階段識別潛在風險
3�����、流程檢驗:應定期執(zhí)行恢復性測試,以確?�?苫謴托?/span>
三��、軟件安全:
關(guān)注只使用經(jīng)過評估和批準的軟件來處理信息資產(chǎn)�。
相關(guān)控制點:1.3.4
控制目標:
信息處理(包括OT生產(chǎn)過程)大多通過使用專用軟件來完成。軟件的安全問題很容易成為處理信息的風險�。因此,必須對軟件進行適當?shù)墓芾怼?/span>
實施指南:
1����、預防:應確保僅使用授權(quán)的軟件
2、監(jiān)測:定期識別��、驗證和更新所使用的軟件
3��、培訓與意識:對員工進行信息安全培訓���,確保員工了解并遵守安全規(guī)定和操作流程
企航顧問TISAX案例
同濟大學上海地面交通工具風洞中心
耐克森斯汽車電子(天津)有限公司
桑尼泰克精密工業(yè)股份有限公司【股票代碼:832554】
靖江三鵬模具科技股份有限公司
寧波艾思科汽車音響通訊有限公司
【感謝信】上海鷹峰電子科技股份有限公司
【感謝信】薩古拉科技(上海)有限公司
【感謝信】艾聯(lián)(上海)汽車零部件有限公司
【感謝信】蘇州瑞瑪精密工業(yè)股份有限公司
【感謝信】立衡科技(上海)有限公司
【感謝信】桑尼泰克精密工業(yè)股份有限公司
薩古拉科技(上海)有限公司
費爾特蘭(嘉興)過濾系統(tǒng)有限公司
泰信電機(蘇州)有限公司
上海鷹峰電子科技股份有限公司
寧波海威汽車零件股份有限公司
蘇州瑞瑪精密工業(yè)股份有限公司【股票代碼:002976】
常州市盛士達汽車空調(diào)有限公司
浙江夏廈精密制造股份有限公司
寧國市瑞普密封件有限公司
艾聯(lián)(上海)汽車零部件有限公司
上海寶鹿車業(yè)有限公司
耐克森斯汽車電子(天津)有限公司昌圖分公司
錢潮森威股份公司
上海奧達科股份有限公司
關(guān)于企航顧問
上海企航科技咨詢有限公司【中文簡稱:企航顧問 or 企航咨詢 ��,英文簡稱:SQT】
企航顧問 是從事卓越績效�、智能制造、精益六西格瑪���、管理體系的咨詢和培訓的管理顧問機構(gòu)����,是面向廣大企事業(yè)單位傳遞無文化障礙的先進管理理念與技術(shù)�����、提供國際化與本土化完美結(jié)合的管理咨詢和培訓的專業(yè)服務機構(gòu)����。
企航顧問 從1999年3月23日成立至今,為6,000多家不同類型的企業(yè)提供過管理咨詢服務和為10,000多家企業(yè)的數(shù)百萬人次提供過管理培訓服務�,這其中包括了50%以上的國內(nèi)五百強企業(yè)、420家世界五百強在華企業(yè)和1,000多家國內(nèi)上市企業(yè)�����。
企航顧問 同時也是全國六西格瑪推進工作委員會(CCPSS)委員單位���、國家認證認可監(jiān)督管理委員會(CNCA)首批備案批準且批準范圍最寬的管理顧問公司(備案批準號:CNCA-Z-02Q-2002-045)、中國認證認可協(xié)會(CCAA)理事單位和上海市認證協(xié)會(SCA)理事單位����。
