TISAX®是针对 "VDA信息安全评估"(VDA-ISA)要求的评估程序,汽车行业的供应商或服务提供商可以用它来确保提供给他们的信息的安全性。组织TISAX®信息和网络安全评估的基础是ISA目录。
ISA的最新版本ISA 6已于2023年10月15日正式发布。2024年3月31日前,可以使用现版本进行审核,2024年4月1日开始,需全部按新版要求执行。
主要功能和更新
● IT 和 OT 可用性: ISA 6.0 更加关注 IT 和 OT 系统在汽车制造中的关键作用,因此更加重视确保其可用性。新标准提供了全面的指南和要求,以确保这些系统的稳健性和可靠性,降低生产过程中断的风险。
● 领先的语言和翻译:为了促进更好的全球合作和理解,ISA 6.0 现在采用英语作为主导语言。这种标准化旨在促进不同地区之间的沟通并确保清晰度。此外,还计划提供标准的翻译版本,以适应不同的语言需求。
● 修订后的数据保护目录:ISA 6.0 全面修订了数据保护目录。这个全面的目录涉及数据保护的各个方面,包括数据隐私、保密性、完整性和可用性。通过与现行数据保护法规和行业最佳实践保持一致,修订后的目录为保护敏感信息设定了高标准。
● 与国际标准接轨: 为了统一实践并加强整体安全措施,ISA 6.0 引用了 ISO/IEC 27001:2022 和 NIST 网络安全框架 1.1 版等国际标准。这一调整可确保实施 TISAX® 的组织遵守全球公认的做法,并随时更新最新的安全协议。
● 强调持续改进: ISA 6.0 强调持续改进和维护信息与数据安全措施的重要性。我们鼓励各组织定期评估和改进其安全措施,以适应不断变化的威胁和技术进步,确保积极稳健的安全态势。
可用性和保密性
标签可用性
−对于“高可用性”和“非常高可用性”标签,生产和其他领域的IT和运营技术(OT)系统成为关注的焦点
−在生产中,这些是所谓的工业自动化控制系统(IACS)及其网络
−因此,进入审计范围的系统以前并不是TISAX审计的主要重点
−ISA目录6.0版本基于ISO 62443标准的核心方面。OT系统对于在供应链中被认为非常重要的供应商至关重要,因此他们必须提供与其重要性(高或非常高)相对应的可用性标签。
标签保密
−是标签信息安全的后续内容
−商业秘密通常在标签可用性高或非常高的环境之外共享
−高度严格的标签保密性有助于在这些环境中保护商业秘密
−在ISA目录6.0中,强制性保密措施用(C)标记。
−这样,保证生产正常运行的要求就可以针对生产部件的供应商,保护商业秘密的要求就可以针对处理商业秘密的公司。将信息标签划分为机密性和可用性正是为了达到这个目的。
−现有标签信息安全性非常高,转换为标签机密性严格和标签可用性非常高。
过渡和生效日期
TISAX® 中 ISA 6.0 的生效日期为 2024 年 4 月 1 日。为确保平稳过渡,以下规则适用:
●根据旧标准进行的评估仍然有效。
●如果 TISAX® 标签未过期,则无需重新评估。
●在 2024 年 3 月 31 日之前订购的新 TISAX® 评估程序将使用 ISA 5.1 版。
●自 2024 年 4 月 1 日起订购的新 TISAX® 评估程序将使用 ISA 6.0 版。
●与现有评估相关的评估活动,如纠正行动计划评估、后续行动或范围扩展,将使用与原始评估相同的版本进行。
ISA 6.0 的发布标志着 TISAX® 标准的一个重要里程碑,加强了汽车行业对信息安全的承诺。通过采用最新的标准和实践,企业可以增强抵御网络威胁的能力,确保敏感信息得到保护。ISA 6.0 注重 IT 和 OT 可用性、实施指导、修订数据保护目录、与国际标准接轨,并强调持续改进,为建立更安全的汽车生态系统铺平了道路。
