TISAX? ISA 6.0新版實施指南

2024/02/25

汽車行業(yè)數(shù)字化轉(zhuǎn)型迅猛發(fā)展，各類制造供應(yīng)商和服務(wù)提供商的涌入構(gòu)成了極其復(fù)雜的上下游供應(yīng)鏈，其中任何一家組織發(fā)生信息安全問題都可能會對整個供應(yīng)鏈造成巨大影響。在此背景下，TISAX?（Trusted Information Security Assessment Exchange可信信息安全評估交換）應(yīng)運而生，旨在建立一個專門服務(wù)于汽車行業(yè)的信息安全評估框架，確保汽車行業(yè)內(nèi)信息安全的一致性和高標(biāo)準(zhǔn)。

TISAX? 為汽車行業(yè)提供了一個全面、高效的信息安全管理框架。通過實施TISAX? 認(rèn)證，組織不僅能夠提高其信息安全水平，還能在競爭激烈的市場中獲得優(yōu)勢。隨著VDA ISA 6.0的發(fā)布，TISAX? 的標(biāo)準(zhǔn)被進一步提高，更好地反映了當(dāng)前的安全威脅和技術(shù)發(fā)展趨勢，也為整個汽車行業(yè)的數(shù)據(jù)安全和合作提供了更堅實的基礎(chǔ)。

延伸閱讀

1、企航顧問TISAX?可信信息安全評估交換機制服務(wù)介紹
2、TISAX?與ISO/IEC27001的比較研究
3、TISAX?（可信信息安全評估及交換機制）合規(guī)體系建設(shè)方案

TISAX? ISA 6.0新版過渡期要求

2023年10月16日，VDA ISA 6.0發(fā)布，將于2024年4月1日生效。這意味著在此之后注冊的新TISAX評估將使用VDA ISA 6.0版本進行。不過，如果組織在2023年3月31日前完成ENX注冊、選擇TISAX審核機構(gòu)并預(yù)約審核，則仍可在一定期限內(nèi)采用VDA ISA 5.1版本進行審核。若企業(yè)近期希望獲取TISAX標(biāo)簽或標(biāo)簽即將失效，可根據(jù)實際需求選擇審核版本，并盡早為新版本審核做準(zhǔn)備。

TISAX? ISA 6.0新版標(biāo)簽的變更

較之前的5.1版本，VDA ISA 6.0將信息安全目錄下的“Info High（處理保護需求較高的信息）”和“Info Very High（處理保護需求極高的信息）”標(biāo)簽更改為“Confidential（訪問保密信息）”和“Strictly Confidential（訪問嚴(yán)格保密的信息）”標(biāo)簽，并引入了全新的“High Availability（信息高可用性）”、“Very High Availability（信息的極高可用性）”標(biāo)簽。該目錄下的標(biāo)簽重組，說明了汽車制造供應(yīng)商和服務(wù)提供商除了可以確保傳遞的敏感信息保密，也能證明其具備一定的彈性，以應(yīng)對網(wǎng)絡(luò)威脅和突發(fā)事件造成的業(yè)務(wù)中斷。

已經(jīng)按照舊版本完成的審核仍將保留其有效性。如果組織的 TISAX標(biāo)簽未過期，其已經(jīng)擁有的“Info High”或“Info Very High”標(biāo)簽將自動轉(zhuǎn)換為“Confidential”或“Strictly Confidential”標(biāo)簽，原有的 “Info High” 或 “Info Very High” 標(biāo)簽仍將繼續(xù)保持有效。

TISAX? ISA 6.0新版換版要點

VDA ISA 6.0強調(diào)信息技術(shù)（IT）和運營技術(shù)（OT）的可用性，防范網(wǎng)絡(luò)領(lǐng)域和物理安全方面的中斷，其關(guān)鍵變化點具體如下：

1、信息安全模塊

VDA ISA 6.0對多個控制描述做了調(diào)整，并新增了5個控制點，涉及話題有軟件安全、事件與危機管理、備份與恢復(fù)。

2、實施參考指南

VDA ISA 6.0索引至德國聯(lián)邦信息安全辦公室IT基本保護匯編（BSI IT-Grundschutz-Compendium）、信息系統(tǒng)和組織的安全和隱私控制（NIST SP800-53r5）等標(biāo)準(zhǔn)，為控制要求如何落地實施提供方向。

3、實施參考標(biāo)準(zhǔn)

除了新版ISO/IEC 27001:2022外，VDA ISA 6.0還參考了工業(yè)自動化和控制系統(tǒng)信息安全（ISA/IEC 62443-2）和美國國家標(biāo)準(zhǔn)與技術(shù)研究所網(wǎng)絡(luò)安全框架（NIST Cyber Security Framework Version 1.1）等標(biāo)準(zhǔn)，確保TISAX符合國際公認(rèn)的信息安全最佳實踐。

4、簡化集團評估 (Simplified Group Assessments)

當(dāng)大型組織具有足夠成熟的信息安全體制時，可以選擇接受簡化集團評估。VDA ISA 6.0說明了可選擇簡化集團評估的前提條件。

5、原型保護模塊

VDA ISA 6.0明確原型保護模塊的保護對象為“物理原型”，這意味著圖紙、程序、照片等將不再是該模塊的關(guān)注重點。

6、數(shù)據(jù)保護模塊

VDA ISA 6.0重塑了數(shù)據(jù)保護模塊的架構(gòu)，細化了每個控制點的要求，方便組織理解控制目標(biāo)及要求。

TISAX? ISA 6.0新增控制要求解讀及實施指南

VDA ISA 6.0對現(xiàn)有控制提出了以下3個方面的新要求：

一、事件與危機管理：

關(guān)注快速識別和處理與安全有關(guān)的事件，尤其是對危機情況的應(yīng)對。

1、相關(guān)控制點：1.6.1

控制目標(biāo)：

任何人都有意識地去檢測潛在的安全事件或跡象。更關(guān)鍵的是，任何人都知道何時以及如何報告所觀察到的具有潛在安全危害的事件或跡象，以便專家可以決定是否需要處理以及如何處理。

實施指南：

1、設(shè)立報告渠道：應(yīng)定義和設(shè)立用于安全事件識別的報告渠道

2、建立流程：應(yīng)實施適當(dāng)?shù)某绦颍匝杆俸蜆?biāo)準(zhǔn)化地評估并處理事件，包括與事件報告者溝通、引入其他利益相關(guān)者等

3、培訓(xùn)與意識：處理事件是一項共同的責(zé)任，應(yīng)確保所有員工都了解相關(guān)流程

2、相關(guān)控制點：1.6.2

控制目標(biāo)：

一旦報告了安全事件，對事件的處理進行管理是至關(guān)重要的。這意味著要迅速識別所報告事件的類型和嚴(yán)重性以及責(zé)任人，以確保及時處理時間緊迫的事項。一旦識別完成，確保責(zé)任人意識到并在合理的時間框架內(nèi)處理事件的必要性。此外，如果事件影響到多個不同的人，協(xié)調(diào)溝通也是事件管理的重要組成部分。最后，如果需向外部（出于合同或監(jiān)管要求）報告事件情況，確保以專業(yè)的方式來滿足這些要求也很重要。

實施指南：

1、事件響應(yīng)：應(yīng)根據(jù)類型和嚴(yán)重程度及時評估事件，并在預(yù)定義的響應(yīng)時間內(nèi)處理事件

2、升級流程：應(yīng)定義和實施明確的上報渠道和程序，包括與高級管理層的溝通

3、溝通策略：應(yīng)指定和建立向內(nèi)部或外部進行安全事件溝通的責(zé)任和策略

4、流程檢驗：應(yīng)定期審閱及模擬處理不同類別及優(yōu)先次序的事件，以確保事件發(fā)生時已作好準(zhǔn)備

3、相關(guān)控制點：1.6.3

控制目標(biāo)：

如果異常情況（例如自然災(zāi)害、物理攻擊、流行病、異常社會情況、導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施故障的網(wǎng)絡(luò)攻擊）嚴(yán)重擾亂了關(guān)鍵業(yè)務(wù)運營，則發(fā)生危機情況。在這種情況下，組織的首要任務(wù)是有條不紊地處理這種情況，并盡可能地快速恢復(fù)。由于時間緊迫，為使組織能夠應(yīng)對這種危機情況，通常的做法是切換到危機管理模式，執(zhí)行設(shè)有明確職責(zé)分配的預(yù)先計劃的程序。

實施指南：

1、建立流程：應(yīng)實施適當(dāng)?shù)某绦颍源_保在危機情況下迅速而協(xié)調(diào)的行動

2、溝通策略：應(yīng)建立有效的溝通策略，以便能夠在危機期間和危機之后與所有利益相關(guān)者進行適當(dāng)?shù)臏贤?/span>

3、流程檢驗：應(yīng)定期測試以識別流程中的弱點，并適應(yīng)不斷變化的條件和需求

二、備份與恢復(fù)：

關(guān)注IT服務(wù)的連續(xù)性計劃和全面的備份和恢復(fù)措施，以最大限度地減少業(yè)務(wù)中斷和中斷造成的損害。

1、相關(guān)控制點：5.2.8

控制目標(biāo)：

IT服務(wù)的連續(xù)性計劃（包括應(yīng)急計劃）是實現(xiàn)組織使命和關(guān)鍵業(yè)務(wù)功能的連續(xù)運行的整體計劃的一部分。在連續(xù)性計劃中處理的操作包括在安全事件發(fā)生時執(zhí)行有序的系統(tǒng)降級、系統(tǒng)停止運行、回退到手動模式、備用信息流以及在預(yù)設(shè)的模式下運行。

實施指南：

1、識別關(guān)鍵IT服務(wù)：應(yīng)根據(jù)業(yè)務(wù)影響，識別和評估關(guān)鍵IT服務(wù)

2、流程檢驗：應(yīng)定期審查和更新連續(xù)性計劃，以確保適應(yīng)新的可能發(fā)生的情況

2、相關(guān)關(guān)控制點：5.2.9

控制目標(biāo)：

數(shù)據(jù)和IT服務(wù)可能會因硬件故障、軟件缺陷、操作員失誤或攻擊等事件而不可用。備份和恢復(fù)使組織能夠從相關(guān)事件中恢復(fù)，并將對組織的潛在危害限制在合理的范圍內(nèi)。

實施指南：

1、備份和恢復(fù)策略：應(yīng)定義和實施成體系的備份策略和有效的恢復(fù)策略，以便在中斷的情況下迅速恢復(fù)，并將潛在的損害限制在可接受的水平

2、持續(xù)監(jiān)測：應(yīng)通過監(jiān)測以在早期階段識別潛在風(fēng)險

3、流程檢驗：應(yīng)定期執(zhí)行恢復(fù)性測試，以確保可恢復(fù)性

三、軟件安全：

關(guān)注只使用經(jīng)過評估和批準(zhǔn)的軟件來處理信息資產(chǎn)。

相關(guān)控制點：1.3.4

控制目標(biāo)：

信息處理（包括OT生產(chǎn)過程）大多通過使用專用軟件來完成。軟件的安全問題很容易成為處理信息的風(fēng)險。因此，必須對軟件進行適當(dāng)?shù)墓芾怼?/span>

實施指南：

1、預(yù)防：應(yīng)確保僅使用授權(quán)的軟件

2、監(jiān)測：定期識別、驗證和更新所使用的軟件

3、培訓(xùn)與意識：對員工進行信息安全培訓(xùn)，確保員工了解并遵守安全規(guī)定和操作流程

企航顧問TISAX案例

同濟大學(xué)上海地面交通工具風(fēng)洞中心

耐克森斯汽車電子（天津）有限公司

桑尼泰克精密工業(yè)股份有限公司【股票代碼：832554】

靖江三鵬模具科技股份有限公司

寧波艾思科汽車音響通訊有限公司

【感謝信】上海鷹峰電子科技股份有限公司

【感謝信】薩古拉科技（上海）有限公司

【感謝信】艾聯(lián)（上海）汽車零部件有限公司

【感謝信】蘇州瑞瑪精密工業(yè)股份有限公司

【感謝信】立衡科技(上海)有限公司

【感謝信】桑尼泰克精密工業(yè)股份有限公司

薩古拉科技（上海）有限公司

費爾特蘭（嘉興）過濾系統(tǒng)有限公司

泰信電機（蘇州）有限公司

上海鷹峰電子科技股份有限公司

寧波海威汽車零件股份有限公司

蘇州瑞瑪精密工業(yè)股份有限公司【股票代碼：002976】

常州市盛士達汽車空調(diào)有限公司

浙江夏廈精密制造股份有限公司

寧國市瑞普密封件有限公司

艾聯(lián)（上海）汽車零部件有限公司

上海寶鹿車業(yè)有限公司

耐克森斯汽車電子（天津）有限公司昌圖分公司

錢潮森威股份公司

上海奧達科股份有限公司

關(guān)于企航顧問

上海企航科技咨詢有限公司【中文簡稱：企航顧問 or 企航咨詢 ，英文簡稱：SQT】

企航顧問 是從事卓越績效、智能制造、精益六西格瑪、管理體系的咨詢和培訓(xùn)的管理顧問機構(gòu)，是面向廣大企事業(yè)單位傳遞無文化障礙的先進管理理念與技術(shù)、提供國際化與本土化完美結(jié)合的管理咨詢和培訓(xùn)的專業(yè)服務(wù)機構(gòu)。

企航顧問 從1999年3月23日成立至今，為6,000多家不同類型的企業(yè)提供過管理咨詢服務(wù)和為10,000多家企業(yè)的數(shù)百萬人次提供過管理培訓(xùn)服務(wù)，這其中包括了50%以上的國內(nèi)五百強企業(yè)、420家世界五百強在華企業(yè)和1,000多家國內(nèi)上市企業(yè)。 

企航顧問 同時也是全國六西格瑪推進工作委員會（CCPSS）委員單位、國家認(rèn)證認(rèn)可監(jiān)督管理委員會（CNCA）首批備案批準(zhǔn)且批準(zhǔn)范圍最寬的管理顧問公司（備案批準(zhǔn)號：CNCA-Z-02Q-2002-045）、中國認(rèn)證認(rèn)可協(xié)會（CCAA）理事單位和上海市認(rèn)證協(xié)會（SCA）理事單位。