TISAX? ISA 6.0新版實施指南
2024/02/25
汽車行(xing)業數(shu)字化轉型迅(xun)猛發(fa)展,各類制造(zao)供應(ying)商(shang)和服務(wu)提供商(shang)的(de)涌(yong)入構成(cheng)了極其(qi������)復(fu)雜的(de)上下游供應(ying)鏈(lian),其(qi)中(zhong)任(re�������n)何一家(jia)組織發(fa)生信息(xi)安全問題(ti)都可能會(hui)對整個(ge)供應(ying)鏈(lian)造(zao)成(cheng)巨大影(ying)響。在此背景下,TISAX?(Trusted Information Security ����Assessment Exchange可信信息(xi)安(an)全(quan)評估交換)應運而生,旨在建立(li)一個專門服務于汽車(che)行業的信息(xi)安(an)全(quan)評估框架,確保汽車(che)行業內信息(xi)安(an)全(quan)的一致性和高標準(zhun)。
TIS�����AX? 為(wei)汽車(che)行(xing)業(ye)提(ti)供(gong)了(le)一個全面(mian)、高效的(de)(de)信息(xi)安全管理(li)框架。通過實施TISAX? 認證,組織不僅能夠提(ti)高其信息(xi)安全水平,還能在競爭激烈的(de)(de)市(shi)場中獲得(de)優勢。隨著(zhu)VDA ISA 6.0的(de)(de)發布,TISAX? 的(de)(de)標準被進一步提(t����i)高,更好地反映了(le)當前(qian)的(de)(de)安全威脅和技(ji)術發展趨勢,也為(wei)整個汽車(che)行(xing)業(ye)的(de)(de)數據安全和合作提(ti)供(gong)了(le)更堅實的(de)(de)基礎。
延伸(shen)閱讀
1、
2、
3、
TISAX? ISA 6.0新版(ban)過渡期要(yao)求
2023年10月16日,VDA ISA 6.0發(fa)布,將于2024年4月1日生效(xiao)。這意味著在此之后注(zhu)冊(ce)的新TISAX評估將使用(yong����)VDA ISA 6.0版(ban)本(ben)進(jin)行。不過,如果(guo)組(zu)織在2023年3月31日��������前完(wan)成(cheng)ENX注(zhu)冊(ce)、選(xuan)(xuan)擇TISAX審(shen)(shen)核機構并(bing)預約審(shen)(shen)核,則仍可在一定期限(xian)內采用(yong)VDA ISA 5.1版(ban)本(ben)進(jin)行審(shen)(shen)核。若企(qi)業近期希(xi)望獲取TISAX標簽或標簽即將失效(xiao),可根據(ju)實際需求選(xuan)(xuan)擇審(shen)(shen)核版(ban)本(ben),并(bing)盡早為新版(ban)本(ben)審(shen)(shen)核做準備。
TISAX? ISA 6.0新版(ban)標簽的變更
較之前的5.1版(ban)本,VDA ISA 6.0將信(xin)(xin)息(xi)(x��������i)安全(quan)目錄(lu)下(xia)的(de)“Info High(處理保(bao)(�������bao)護需(xu)求(qiu)較高(gao)的(de)信(xin)(xin)息(xi)(xi))”和“Info Very High(處理保(bao)(bao)護需(xu)求(qiu)極(ji)高(gao)的(de)信(xin)(xin)息(xi)(xi))”標(biao)簽更改為“Confidential(訪問保(bao)(bao)密信(xin)(xin)息(xi)(xi))”和“Strictly Confidential(訪問嚴格保(bao)(bao)密的(de)信(xin)(xin)息(xi)(xi))”標(biao)簽,并引入了(le)(le)全(quan)新的(de)“High Availability(信(xin)(xin)息(xi)(xi)高(gao)可(ke)(ke)用性)”、“Very High Availability(信(xin)(xin)息(xi)(xi)的(de)極(ji)高(gao)可(ke)(ke)用性)”標(biao)簽。該目錄(lu)下(xia)的(de)標(biao)簽重組,說(shuo)明了(le)(le)汽車制造(zao)供(gong)應(ying)商和服務提供(gong)商除了(le)(le)可(ke)(ke)以確保(bao)(bao)傳遞的(de)敏感信(xin)(xin)息(xi)(xi)保(bao)(bao)密,也能證明其具備一(yi)定的(de)彈性,以應(ying)對網絡威脅和突發(fa)事件造(zao)成(cheng)的(de)業務中(zhong)斷(duan)。
已經按(an)照舊版本完成的審核仍將保留其(qi)有效性。如果組織的 TISAX標簽未過(guo)期(qi),其已(yi)經擁有的“Inf�������o High”或“Info Very High”標簽將(jiang)自動(dong)轉換為“Confidential”或“Strictly Confidential”標簽,原(yuan)有的 “Info High” 或 “Info Very High” 標簽仍將(jiang)繼續保持有效(xiao)。
TISAX? ISA 6.0新版換版要點
VDA ISA 6�������.0強調信息技(ji)術(shu)(shu)(IT)和運(yun)營技(ji)術(shu)(shu)(OT)的(de)可用性(xing),防(fang)范(fan)網絡領域和物理(li)安全方面的(de)中斷(duan),其關(guan)鍵變化點具體如下:
1、信息安全(quan)模塊
VDA ISA 6.0對多個(ge)控制描(miao)述做了調整,并新增了5個(ge)控制點,涉及話題有軟(ruan)件安全�����、事件與(yu)危(wei)機�������管理、備份(fen)與(yu)恢復(fu)。
2、實施(shi)參(can)考指南
VDA ISA 6������.0索引至德國聯邦信息安全辦公室IT基本保(bao)護匯編(BSI IT-Grundschutz-Compendium)、信息系(xi)統和(he)組(zu)織的安全和(he)隱私控制(zhi)(NIST SP800-53r5)等標����準,為控制(zhi)要求(qiu)如何落地(di)實施提供方向。
3、實施參考(kao)標準
除(chu)了新版(ban)ISO/IEC 27001:2022外,VDA ISA 6.0還參������(can)考(kao)了工業自動(dong)化和(he)控制系統(tong)信(xi������n)息安全(ISA/IEC 62443-2)和(he)美國國家標準與技術研(yan)究所網(wang)絡(luo)安全框架(NIST Cyber Security Framework Version 1.1)等標準,確保TISAX符合(he)國際公認的(de)信(xin)息安全最佳實踐。
4、簡化集團評估 (Simplified Group Assessments)
當大型組織具有足夠成熟的信息安(an)全體(ti)制時,可������(ke)以選擇接受簡化(hua)集團評估。VDA ISA 6.0說明了可選擇簡化集團評估的前提條件。
5、原型保護模(mo)塊
VDA ISA 6.0明(ming)確原(y�����uan)型保護(hu)模(mo)塊的保護(h�������u)對象(xiang)為(wei)“物(wu)理原(yuan)型”,這意味著圖紙、程序、照片(pian)等將(jiang)不再是該模(mo)塊的關注重點。
6、數據保護模塊
VDA ISA 6.0重塑了(le)�������數據保(bao)護模塊的架構,細(xi)化了(le)每個控(kong)制(zhi)點的要(yao)求,方(fang)便(bian)組織理解控(kong)制(zhi)目(mu)標及要(yao)求����。
TISAX? ISA 6.0新增控制要求(qiu)解讀及實(shi)施指南(nan)
VDA ISA 6.0對現有控制提出了以下3個方面的新要求:
一、事件(jian)與危機管理:
關注快速(su)����識(shi)別和處理與安全有關的(de)事(shi)件,尤其(qi)是對危機情況的(de)應(yi�����ng)對。
1、相關控制點(dian):1.6.1
控制目標:
任何(he)(he)人都(dou)有意識(shi)地(di)去檢測潛在的安(an)全事件(jian)或跡象(xiang)。更關鍵的是,任何(he)(he)人都(dou)知道何(he)(he)時以(yi)及�������(ji)如何(he)(he)報告所(suo)觀察到的具�������有潛在安(an)全危害的事件(jian)或跡象(xiang),以(yi)便專(zhuan)家可(ke)以(yi)決定是否需要處理以(yi)及(ji)如何(he)(he)處理。
實施(shi)指(zhi)南:
1、設立(li)(li)報(bao)告渠�������道:應定義和設立(li)(li)用于安全事件識別的報(bao)告渠道
2、建立流程:應實施適當的程序,以迅速和標準化(hua)地評(ping)估并處(chu)理事(shi)件,包括與事(shi)件報(bao)告者(zhe)溝通、引入(ru)其(qi)他利(li)益相關者(zhe�������)等
3、培訓(xun)���������與意(yi)識:處理事件是一項共同的責任,應確保所(suo)有員工(gong)都(dou)了(le)解相關(guan)流程
2、相關控制點:1.6.2
控制(zhi)目(mu)標:
一旦(dan)報(bao)告(gao)了(le)安(an)全事(shi)(shi)件(jian)(jian)(jian),對(dui)事(shi)(shi)件(jian)(jian)(jian)的(de)(de)處(chu)理進行管理是至關重(zhong)要(yao)(yao)的(de)(de)。這意�������味著要(yao)(yao)迅(xun)速識(shi)別所報(bao)告(gao)事(shi)(shi)件(jian)(jian)(jian)的(de)(de)類型和嚴(yan)重(zhong)性以(yi)(yi)及(ji)責(ze)(ze)任人(ren),以(yi)(yi)確(que)(que)保及(ji)時處(chu)理時間緊迫的(de)(de)事(shi)(shi)項(xiang)。一旦(dan)識(shi)別完成(cheng),確(que)(que)保責(ze)(ze)任人(ren)意識(shi)到并(bing)在合理的(de)(de)時間框架內處(chu)理事(shi)(shi)件(jian)(jian)(jian)的(de)(de)必(bi)要(yao)(yao)性。此外(wai),如(ru)(ru)果(guo)事(shi)(shi)件(jian)(jian)(jian)影響(xiang)到多個不同(tong)的(de)(de)人(ren),協調(diao)溝通也是事(shi)(shi)件(jian)(jian)(jian)管理的(de)(de)重(zhong)要(yao)(yao)組成(cheng)部分(fen)。最后,如(ru)(ru)果(guo)需向外(wai)部(出(chu)于合同(tong)或監管要(yao)(yao)求(qiu))報(bao)告(gao)事(shi)(shi)件(jian)(jian)(jian)情況,確(que)(que)保以(yi)(yi)專業(ye)的(de)(de)方式來滿足這些要(yao)(yao)求(qiu)也很重(zhong)要(yao)(yao)。
實(shi)施指南(nan):
1、事(shi)件響應(ying)(ying):應(ying)(ying)根據類型(xing)和嚴重程(cheng)度及時(shi)評估事(�������shi)件,并在(z�������ai)預定(ding)義的(de)響應(ying)(ying)時(shi)間(jian)內處(chu)理(li)事(shi)件
2、升級(ji)流程:�����應定義和實(shi)施明(ming)�����確的上報渠(qu)道和程序,包括(kuo)與高級(ji)管理層的溝通
3、溝通策略(l������ve)(lve):應指定和建立(li)向內部或外部進行安全事件(jian)溝通的責任和������策略(lve)(lve)
4、流程檢驗��������:應定期審閱(yue)及模擬處理(li)不同類(lei)別及優先(xian)次序(xu)的(de)事件,以確(que)保事件發生(sheng)時已作好準備(bei)
3、相關控制點(dian):1.6.3
控制目標:
如(ru)果異(yi)(yi)常(chang)情(qing)(qing)(qing)況(kuang)(例(li)如(ru)自然災害、物理(li)攻擊(ji)、流行(xing)病、異(yi)(yi)常(chang)社會情(qing)(qing)(qing)況(kuang)、導(dao)致關鍵基礎設施(shi)故障(zhang)的(de)(de)網絡攻擊(ji))嚴(yan)重(zhong)擾亂了關鍵業務運營,則發生危(wei)(wei)機(ji)情(qing)(qing)(qing)況(kuang)。在這(zhe)種情(qing)(qing)(qing)況(kuang)下,組(z�����u)織(zhi)(zhi)的(de)(de)首要任務是(shi)有(you)條(tiao)不紊地處(chu)理(li)這(zhe)種情(qing)(qing)(qing)況(kuang),并盡可(ke)能(neng)地快速(su)恢復。由(you)于時間(jian)緊迫(po),為使組(zu)織(zhi)(zhi)能(neng)夠應(ying)對這(zhe)種危(wei)(wei)機(ji)情(qing)(qing)(qing)況(kuang),通常(chang)的(de)(de)做(zuo)法是(shi)切換到危(w�������ei)(wei)機(ji)管理(li)模式,執行(xing)設有(you)明確(que)職責(ze)分配的(de)(de)預(yu)先計(ji)劃(hua)的(de)(de)程序。
實施指南:
1、建立流(liu)程(cheng):應實施適當的程(cheng)序,以(yi)確保在(zai)危(wei)機情況下(xia)迅(xun)速������而協調的行動
2、溝通(tong)策略(lve)(lve):應建(jian)立有效(xiao)的溝通(tong)策略(lve)(lve),以便(bian)能夠在(zai)危(wei)機期間和危(wei)機�����之后與所有利益相關者進行適(shi)當的������溝通(tong)
3、流(liu)程檢(jian)驗:應����定期(qi)測試以識(shi����)別(bie)流(liu)程中的弱點,并適應不斷變化的條件和(he)需求(qiu)
二、備(bei)份與恢復:
關注IT服務的連續性計劃和全面的備份和恢復措施,以最大限度地減少業務中斷和中斷造成的損害。
1、相關控(kong)制點:5.2.8
控制(zhi)目標:
IT服務的(de)(de)連(lian)續(xu)性(xing)計劃(包(bao)括應(ying)急計劃)是(shi)實(shi)現組(zu)織使(shi)命和關鍵業(ye)務功能的(de)(de)連(lian)續(xu)運(yun)行的(de)(de)整體計劃的(de)(de)一部分(fen)。在連(lian)續(xu)性(xing)計劃中處理的(de)(de)操(cao)作包(bao)括在安全事件發(fa)生時執行有序的(de)(de)系統降(jiang)級、系統停止運(yun)行、回退到手動模(mo)式(shi)(shi)、備������用信息流以及(ji)在預設的(de)(de)模(mo)式(shi)(shi)下運(yun)行。
實施指南:
1、識(shi)別關鍵IT服務:應根據業務影響,識別和評估關鍵IT服務
2、流(liu)程(cheng)檢(jian)驗(yan):應(ying)定期(qi)審(shen)查(cha)和更(geng)新(xin)連續(xu)性計劃,以確保適應(ying)新(xin)的(de)(de)可(ke)能發生的(de)(de)情�����(qing)況(kuang)
2、相關(guan)(guan)關(guan)(guan)控制點(dian):5.2.9
控制目標:
數據和(he)IT服務可能會因硬件故障、軟件缺陷、操作員失誤或�������攻擊等事件而不可用。備份和恢復使組織能夠從相關事件中恢復,并將對組織的潛在危害限制在合理的范圍內。
實施指(zhi)南:
1、備份和恢復策(������ce)略(lve):應(ying)定(ding)義和實施成體系的(de)備份策(ce)略(lve)和有效的(de)恢復策(ce)略(lve),以便(bian)在(zai)中斷的(de)情�������況下迅速(su)恢復,并將潛在(zai)的(de)損害限制(zhi)在(zai)可接(jie)受的(de)水平
2、持續監(jian)測:應(ying)通(tong)過監(jian)測以在早期階段識別潛在風險(xi������an)
3、流程檢驗(yan):應定期執行恢(hui)復(fu)性(xing)測(ce)試(shi),以確保(bao)������可恢(hui)復(fu)性(xing)
三、軟件安全:
關注只(zhi)使(shi)用經過評估和批(pi)準的軟件�����(jian)來處(chu)理(li)信息(xi)資(zi)產(chan)。
相關控(kong)制(zhi)點(dian):1.3.4
控(kong)制目標:
信息處理(包括OT生產過程)大多通過使用專用軟件來完成。軟件的安全問題很容易���������成為處理信息的風險。因此,必須對軟件進行適當的管理。
實施指(zhi)南(nan):
1、預(yu)防:應確保僅使(shi)用授(shou)權的軟(ruan)件
2、監(jian)測:定期(qi)識(shi)別、驗證(zhen�����g)和(he)更新所使用的軟(ruan)件(jian)
3、培訓(xun)(xun)與(��������yu)意識:對(dui)員工(gong)進行(xing)信息安全培訓(xun)(xun),確(que)保員工(gong)了(le)解并遵守安全規定(ding)和操(cao)作(zuo)流程
企航顧問TISAX案例
同濟大學上海地面交通工具(ju)風洞中(zhong)心
耐克森(sen)斯汽車電子(天津)有(you)限(xian)公司
桑尼泰克(ke)精密(mi)工業股(gu)份有(you)限公司【股(�������gu)票代(dai)碼(ma):832554】
靖(jing)江三鵬模具科技(ji)股份有限公司
寧波(bo)艾思科汽車音響(xiang)通訊有限公司
【感(gan)謝信(xin)】上海鷹峰電子(zi)科技股份有限公(gong)司(si)
【感謝信】薩(sa)古(gu)拉(la)科技(上(shang)海(hai))有限(xian)公司
【感謝(xie)信】艾聯(上海)汽車零(ling)部件(jian)有限(xian)公司(si)
【感謝信】蘇州(zhou)瑞瑪精密工業(ye)股份有限(xian)公司
【感謝信】立衡(heng)科技(上海)有限公司
【感謝信】桑(sang)尼泰克精(jing)密工業(ye)股(gu)份有限公司(si)
薩古拉(la)科技(ji)(上海)有限(xian)公司
費爾特蘭(嘉興)過濾系(xi)統有限公司
泰信(xin)電機(蘇州)有限公司
上海鷹峰(feng)電子(zi)科技(ji)股份有限公司
寧波(bo)海威汽車零件股份有限公司
蘇州瑞瑪(ma)精密工業股份有限公司【股票(piao)代碼:002976】
常州市盛士達汽車空調有限公司
浙江夏廈(sha)精密制造股份有限(xian)公(gong)司
寧國市(shi)瑞普(pu)密封件有限(xian)公司
艾聯(lian)(上海)汽車零部件有(you)限(xian)公司
上(shang)海寶鹿(lu)車業(ye)有(you)限公(gong)司
耐克森(sen)斯汽(qi)車(che)電子(天津)有(you)限公司昌圖分公司
錢潮(chao)森威股(gu)份公(gong)司
上(shang)海奧(ao)達(da)科股份(fen)有限公(gong)司
關于企航顧(gu)問(wen)
上海企航科(ke)技(ji)咨(zi)詢有限公司【中文簡稱:企航(hang)顧(gu)問 or 企航(hang)咨詢(xun) ,英文簡稱:SQT】
企航顧問 是(shi)從事(shi)卓越(yue)績效、智能制造、精(jing)益六西(xi)格瑪、管(guan)(guan)理(li)體(ti)系的(de)咨詢和培(pei)訓(xun)的(de)管(guan)(guan)理(li)顧問機(ji)構(gou),是(shi)面向廣大企(qi)事(shi)業(ye)單位(wei)傳遞無文化(hua)障礙的(de)先進管(guan)(guan)理(li)理(li)念(nian)與(yu)技(ji)術、提(ti)供國(guo)際化(hua)與(yu)本土化(hua)完(wan)美結�����合的(de)管(guan)(guan)理(li)咨詢和培(pei)訓(xun)的(de)專業(ye)服(fu)務�����機(ji)構(gou)。
企航顧問 從1999年3月23日成立(li)至今,為(wei)6,000多家(jia)不同類型的企業(������ye)提供(gong)(gong)過管理咨詢服務和為(wei)10,000多家(jia)企業(ye)的數百(bai)萬人次提供(gong)(gong)過管理培訓服務,這其(qi)中包括了50%以上(shang)的國(guo)內(nei)五(wu)百(bai)強(qiang)企業(ye)、420家(jia)世界五(wu)百(bai)強(qiang)在華企業(ye)和1,000多家(jia)國(guo)內(nei)上(shang)市企業(ye)。&n���bsp;
企航顧(gu)問 同時也是(shi)全國六西格瑪推(tui)進工作委(wei)員(yuan)會(hui)(CCPSS)委(wei)員(yuan)單(dan)(dan)位(wei)、國家認(ren)(ren)證認(ren)(ren)可(ke)監督(du)管理委(wei)���員(yuan)會(hui)(CNCA)首(shou)批(pi)備(bei)案批(pi)準(zhun)(zhun)且批(pi)準(zhun)(zhun)范圍(wei)最寬的(de)管理顧問公司(si)(備(bei)案批(pi)準(zhun)(zhun)號:CNCA-Z-02Q-2002-045)、中國認(ren)(ren)證認(ren)(ren)可(ke)協(xie)(xie)會(hui)(CCAA)理事單(dan)(dan)位(wei)和(he)上海市認(ren)(ren)證協(xie)(xie)會(hui)(SCA)理�������事單(dan)(dan)位(wei)。
