TISAX? ISA 6.0新版實(shí)施指南
2024/02/25
汽車行業(yè)數(shù)字化轉(zhuǎn)型迅猛發(fā)展��,各類制造供應(yīng)商和服務(wù)提供商的涌入構(gòu)成了極其復(fù)雜的上下游供應(yīng)鏈�����,其中任何一家組織發(fā)生信息安全問題都可能會對整個(gè)供應(yīng)鏈造成巨大影響�����。在此背景下���,TISAX?(Trusted Information Security Assessment Exchange可信信息安全評估交換)應(yīng)運(yùn)而生,旨在建立一個(gè)專門服務(wù)于汽車行業(yè)的信息安全評估框架��,確保汽車行業(yè)內(nèi)信息安全的一致性和高標(biāo)準(zhǔn)���。
TISAX? 為汽車行業(yè)提供了一個(gè)全面�����、高效的信息安全管理框架��。通過實(shí)施TISAX? 認(rèn)證�,組織不僅能夠提高其信息安全水平,還能在競爭激烈的市場中獲得優(yōu)勢�����。隨著VDA ISA 6.0的發(fā)布����,TISAX? 的標(biāo)準(zhǔn)被進(jìn)一步提高,更好地反映了當(dāng)前的安全威脅和技術(shù)發(fā)展趨勢�,也為整個(gè)汽車行業(yè)的數(shù)據(jù)安全和合作提供了更堅(jiān)實(shí)的基礎(chǔ)。
延伸閱讀
1����、企航顧問TISAX?可信信息安全評估交換機(jī)制服務(wù)介紹
2、TISAX?與ISO/IEC27001的比較研究
3����、TISAX?(可信信息安全評估及交換機(jī)制)合規(guī)體系建設(shè)方案
TISAX? ISA 6.0新版過渡期要求
2023年10月16日�����,VDA ISA 6.0發(fā)布,將于2024年4月1日生效��。這意味著在此之后注冊的新TISAX評估將使用VDA ISA 6.0版本進(jìn)行����。不過,如果組織在2023年3月31日前完成ENX注冊�����、選擇TISAX審核機(jī)構(gòu)并預(yù)約審核�,則仍可在一定期限內(nèi)采用VDA ISA 5.1版本進(jìn)行審核。若企業(yè)近期希望獲取TISAX標(biāo)簽或標(biāo)簽即將失效�����,可根據(jù)實(shí)際需求選擇審核版本��,并盡早為新版本審核做準(zhǔn)備�。
TISAX? ISA 6.0新版標(biāo)簽的變更
較之前的5.1版本,VDA ISA 6.0將信息安全目錄下的“Info High(處理保護(hù)需求較高的信息)”和“Info Very High(處理保護(hù)需求極高的信息)”標(biāo)簽更改為“Confidential(訪問保密信息)”和“Strictly Confidential(訪問嚴(yán)格保密的信息)”標(biāo)簽�,并引入了全新的“High Availability(信息高可用性)”、“Very High Availability(信息的極高可用性)”標(biāo)簽。該目錄下的標(biāo)簽重組�����,說明了汽車制造供應(yīng)商和服務(wù)提供商除了可以確保傳遞的敏感信息保密���,也能證明其具備一定的彈性�,以應(yīng)對網(wǎng)絡(luò)威脅和突發(fā)事件造成的業(yè)務(wù)中斷��。
已經(jīng)按照舊版本完成的審核仍將保留其有效性��。如果組織的 TISAX標(biāo)簽未過期����,其已經(jīng)擁有的“Info High”或“Info Very High”標(biāo)簽將自動(dòng)轉(zhuǎn)換為“Confidential”或“Strictly Confidential”標(biāo)簽,原有的 “Info High” 或 “Info Very High” 標(biāo)簽仍將繼續(xù)保持有效�。
TISAX? ISA 6.0新版換版要點(diǎn)
VDA ISA 6.0強(qiáng)調(diào)信息技術(shù)(IT)和運(yùn)營技術(shù)(OT)的可用性,防范網(wǎng)絡(luò)領(lǐng)域和物理安全方面的中斷��,其關(guān)鍵變化點(diǎn)具體如下:
1�����、信息安全模塊
VDA ISA 6.0對多個(gè)控制描述做了調(diào)整���,并新增了5個(gè)控制點(diǎn)�,涉及話題有軟件安全�、事件與危機(jī)管理、備份與恢復(fù)��。
2�����、實(shí)施參考指南
VDA ISA 6.0索引至德國聯(lián)邦信息安全辦公室IT基本保護(hù)匯編(BSI IT-Grundschutz-Compendium)��、信息系統(tǒng)和組織的安全和隱私控制(NIST SP800-53r5)等標(biāo)準(zhǔn)�,為控制要求如何落地實(shí)施提供方向。
3�����、實(shí)施參考標(biāo)準(zhǔn)
除了新版ISO/IEC 27001:2022外�����,VDA ISA 6.0還參考了工業(yè)自動(dòng)化和控制系統(tǒng)信息安全(ISA/IEC 62443-2)和美國國家標(biāo)準(zhǔn)與技術(shù)研究所網(wǎng)絡(luò)安全框架(NIST Cyber Security Framework Version 1.1)等標(biāo)準(zhǔn)��,確保TISAX符合國際公認(rèn)的信息安全最佳實(shí)踐��。
4、簡化集團(tuán)評估 (Simplified Group Assessments)
當(dāng)大型組織具有足夠成熟的信息安全體制時(shí)�����,可以選擇接受簡化集團(tuán)評估��。VDA ISA 6.0說明了可選擇簡化集團(tuán)評估的前提條件����。
5、原型保護(hù)模塊
VDA ISA 6.0明確原型保護(hù)模塊的保護(hù)對象為“物理原型”�����,這意味著圖紙����、程序、照片等將不再是該模塊的關(guān)注重點(diǎn)�����。
6����、數(shù)據(jù)保護(hù)模塊
VDA ISA 6.0重塑了數(shù)據(jù)保護(hù)模塊的架構(gòu)��,細(xì)化了每個(gè)控制點(diǎn)的要求���,方便組織理解控制目標(biāo)及要求�����。
TISAX? ISA 6.0新增控制要求解讀及實(shí)施指南
VDA ISA 6.0對現(xiàn)有控制提出了以下3個(gè)方面的新要求:
一���、事件與危機(jī)管理:
關(guān)注快速識別和處理與安全有關(guān)的事件���,尤其是對危機(jī)情況的應(yīng)對。
1���、相關(guān)控制點(diǎn):1.6.1
控制目標(biāo):
任何人都有意識地去檢測潛在的安全事件或跡象�����。更關(guān)鍵的是���,任何人都知道何時(shí)以及如何報(bào)告所觀察到的具有潛在安全危害的事件或跡象,以便專家可以決定是否需要處理以及如何處理���。
實(shí)施指南:
1���、設(shè)立報(bào)告渠道:應(yīng)定義和設(shè)立用于安全事件識別的報(bào)告渠道
2�����、建立流程:應(yīng)實(shí)施適當(dāng)?shù)某绦?��,以迅速和?biāo)準(zhǔn)化地評估并處理事件,包括與事件報(bào)告者溝通��、引入其他利益相關(guān)者等
3�����、培訓(xùn)與意識:處理事件是一項(xiàng)共同的責(zé)任����,應(yīng)確保所有員工都了解相關(guān)流程
2、相關(guān)控制點(diǎn):1.6.2
控制目標(biāo):
一旦報(bào)告了安全事件��,對事件的處理進(jìn)行管理是至關(guān)重要的�。這意味著要迅速識別所報(bào)告事件的類型和嚴(yán)重性以及責(zé)任人,以確保及時(shí)處理時(shí)間緊迫的事項(xiàng)����。一旦識別完成����,確保責(zé)任人意識到并在合理的時(shí)間框架內(nèi)處理事件的必要性���。此外��,如果事件影響到多個(gè)不同的人,協(xié)調(diào)溝通也是事件管理的重要組成部分���。最后����,如果需向外部(出于合同或監(jiān)管要求)報(bào)告事件情況�,確保以專業(yè)的方式來滿足這些要求也很重要。
實(shí)施指南:
1�、事件響應(yīng):應(yīng)根據(jù)類型和嚴(yán)重程度及時(shí)評估事件,并在預(yù)定義的響應(yīng)時(shí)間內(nèi)處理事件
2�����、升級流程:應(yīng)定義和實(shí)施明確的上報(bào)渠道和程序����,包括與高級管理層的溝通
3���、溝通策略:應(yīng)指定和建立向內(nèi)部或外部進(jìn)行安全事件溝通的責(zé)任和策略
4、流程檢驗(yàn):應(yīng)定期審閱及模擬處理不同類別及優(yōu)先次序的事件�����,以確保事件發(fā)生時(shí)已作好準(zhǔn)備
3�、相關(guān)控制點(diǎn):1.6.3
控制目標(biāo):
如果異常情況(例如自然災(zāi)害、物理攻擊����、流行病、異常社會情況����、導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施故障的網(wǎng)絡(luò)攻擊)嚴(yán)重?cái)_亂了關(guān)鍵業(yè)務(wù)運(yùn)營,則發(fā)生危機(jī)情況��。在這種情況下���,組織的首要任務(wù)是有條不紊地處理這種情況����,并盡可能地快速恢復(fù)。由于時(shí)間緊迫��,為使組織能夠應(yīng)對這種危機(jī)情況���,通常的做法是切換到危機(jī)管理模式�����,執(zhí)行設(shè)有明確職責(zé)分配的預(yù)先計(jì)劃的程序�。
實(shí)施指南:
1��、建立流程:應(yīng)實(shí)施適當(dāng)?shù)某绦?,以確保在危機(jī)情況下迅速而協(xié)調(diào)的行動(dòng)
2�����、溝通策略:應(yīng)建立有效的溝通策略����,以便能夠在危機(jī)期間和危機(jī)之后與所有利益相關(guān)者進(jìn)行適當(dāng)?shù)臏贤?/span>
3、流程檢驗(yàn):應(yīng)定期測試以識別流程中的弱點(diǎn)�,并適應(yīng)不斷變化的條件和需求
二、備份與恢復(fù):
關(guān)注IT服務(wù)的連續(xù)性計(jì)劃和全面的備份和恢復(fù)措施����,以最大限度地減少業(yè)務(wù)中斷和中斷造成的損害��。
1��、相關(guān)控制點(diǎn):5.2.8
控制目標(biāo):
IT服務(wù)的連續(xù)性計(jì)劃(包括應(yīng)急計(jì)劃)是實(shí)現(xiàn)組織使命和關(guān)鍵業(yè)務(wù)功能的連續(xù)運(yùn)行的整體計(jì)劃的一部分��。在連續(xù)性計(jì)劃中處理的操作包括在安全事件發(fā)生時(shí)執(zhí)行有序的系統(tǒng)降級���、系統(tǒng)停止運(yùn)行、回退到手動(dòng)模式����、備用信息流以及在預(yù)設(shè)的模式下運(yùn)行。
實(shí)施指南:
1���、識別關(guān)鍵IT服務(wù):應(yīng)根據(jù)業(yè)務(wù)影響����,識別和評估關(guān)鍵IT服務(wù)
2���、流程檢驗(yàn):應(yīng)定期審查和更新連續(xù)性計(jì)劃�,以確保適應(yīng)新的可能發(fā)生的情況
2、相關(guān)關(guān)控制點(diǎn):5.2.9
控制目標(biāo):
數(shù)據(jù)和IT服務(wù)可能會因硬件故障�����、軟件缺陷����、操作員失誤或攻擊等事件而不可用。備份和恢復(fù)使組織能夠從相關(guān)事件中恢復(fù)����,并將對組織的潛在危害限制在合理的范圍內(nèi)。
實(shí)施指南:
1�����、備份和恢復(fù)策略:應(yīng)定義和實(shí)施成體系的備份策略和有效的恢復(fù)策略�,以便在中斷的情況下迅速恢復(fù),并將潛在的損害限制在可接受的水平
2���、持續(xù)監(jiān)測:應(yīng)通過監(jiān)測以在早期階段識別潛在風(fēng)險(xiǎn)
3、流程檢驗(yàn):應(yīng)定期執(zhí)行恢復(fù)性測試���,以確?��?苫謴?fù)性
三���、軟件安全:
關(guān)注只使用經(jīng)過評估和批準(zhǔn)的軟件來處理信息資產(chǎn)。
相關(guān)控制點(diǎn):1.3.4
控制目標(biāo):
信息處理(包括OT生產(chǎn)過程)大多通過使用專用軟件來完成����。軟件的安全問題很容易成為處理信息的風(fēng)險(xiǎn)。因此��,必須對軟件進(jìn)行適當(dāng)?shù)墓芾怼?/span>
實(shí)施指南:
1����、預(yù)防:應(yīng)確保僅使用授權(quán)的軟件
2、監(jiān)測:定期識別���、驗(yàn)證和更新所使用的軟件
3�、培訓(xùn)與意識:對員工進(jìn)行信息安全培訓(xùn)�,確保員工了解并遵守安全規(guī)定和操作流程
企航顧問TISAX案例
同濟(jì)大學(xué)上海地面交通工具風(fēng)洞中心
耐克森斯汽車電子(天津)有限公司
桑尼泰克精密工業(yè)股份有限公司【股票代碼:832554】
靖江三鵬模具科技股份有限公司
寧波艾思科汽車音響通訊有限公司
【感謝信】上海鷹峰電子科技股份有限公司
【感謝信】薩古拉科技(上海)有限公司
【感謝信】艾聯(lián)(上海)汽車零部件有限公司
【感謝信】蘇州瑞瑪精密工業(yè)股份有限公司
【感謝信】立衡科技(上海)有限公司
【感謝信】桑尼泰克精密工業(yè)股份有限公司
薩古拉科技(上海)有限公司
費(fèi)爾特蘭(嘉興)過濾系統(tǒng)有限公司
泰信電機(jī)(蘇州)有限公司
上海鷹峰電子科技股份有限公司
寧波海威汽車零件股份有限公司
蘇州瑞瑪精密工業(yè)股份有限公司【股票代碼:002976】
常州市盛士達(dá)汽車空調(diào)有限公司
浙江夏廈精密制造股份有限公司
寧國市瑞普密封件有限公司
艾聯(lián)(上海)汽車零部件有限公司
上海寶鹿車業(yè)有限公司
耐克森斯汽車電子(天津)有限公司昌圖分公司
錢潮森威股份公司
上海奧達(dá)科股份有限公司
關(guān)于企航顧問
上海企航科技咨詢有限公司【中文簡稱:企航顧問 or 企航咨詢 �����,英文簡稱:SQT】
企航顧問 是從事卓越績效����、智能制造��、精益六西格瑪、管理體系的咨詢和培訓(xùn)的管理顧問機(jī)構(gòu)��,是面向廣大企事業(yè)單位傳遞無文化障礙的先進(jìn)管理理念與技術(shù)��、提供國際化與本土化完美結(jié)合的管理咨詢和培訓(xùn)的專業(yè)服務(wù)機(jī)構(gòu)�。
企航顧問 從1999年3月23日成立至今,為6,000多家不同類型的企業(yè)提供過管理咨詢服務(wù)和為10,000多家企業(yè)的數(shù)百萬人次提供過管理培訓(xùn)服務(wù)�,這其中包括了50%以上的國內(nèi)五百強(qiáng)企業(yè)、420家世界五百強(qiáng)在華企業(yè)和1,000多家國內(nèi)上市企業(yè)�����。
企航顧問 同時(shí)也是全國六西格瑪推進(jìn)工作委員會(CCPSS)委員單位��、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(CNCA)首批備案批準(zhǔn)且批準(zhǔn)范圍最寬的管理顧問公司(備案批準(zhǔn)號:CNCA-Z-02Q-2002-045)�、中國認(rèn)證認(rèn)可協(xié)會(CCAA)理事單位和上海市認(rèn)證協(xié)會(SCA)理事單位。
