新版 ISA 產品目錄 6.0，自 2024 年 4 月 1 日起生效。

內容

日益增多的威脅需要對ISA目錄進行調整。

“可用性”標籤：生產設施的擴展

「保密」標籤：保護敏感資訊

新要求對未來的TISAX意味著什麼？ ^®審計？

ISO 27001 和 IEC 62443 是堅實的基礎

ISA目錄6.0變更（2024年）：結論

TISAS 6.0 - 背景

日益增多的威脅需要對ISA目錄進行調整。

鑑於供應鏈的重要性和複雜性，端到端的資訊安全和網路安全在汽車產業中扮演關鍵角色。畢竟，供應商深度參與研發和生產流程，這意味著他們往往能夠接觸到高度敏感的訊息，因此必須具備強大的安全韌性。地緣政治緊張局勢以及供應鏈日益數位化和網路化，都為資訊安全帶來了日益嚴峻的風險。

由於這些動態因素，現有的VDA ISA 目錄 5.1已更新。 6.0 版本於 2023 年 10 月 16 日發布英文版，並可供下載。

新版 ISA 試題目錄 6.0 標誌著一個重要的里程碑。 TISAX ^® 。這導致TISAX中規定的審計服務提供者的要求需要調整。 ^® ACAR 2.2 法規。 ISA 6.0 目錄主要語言改為英語，凸顯了其全球視野以及全球工作小組為進一步完善需求目錄而共同做出的努力。

新的標籤取代了我們熟悉的「資訊安全」標籤。

資訊安全評估 (ISA) 目錄 6.0 的主要變更涉及「資訊安全」模組以及來自 TISAX 的相關標籤系統。 ^®未來，我們熟悉的「資訊安全」標籤將被「可用性」和「保密性」這兩個標籤完全取代。

ISA 目錄 6.0 中的「可用性」標籤：擴展至生產設施

在新的ISA目錄中，「高可用性」和「極高可用性」的標籤更為具體。因此，營運技術（OT）系統將成為未來審計的重點。

生產環境（例如工業自動化控制系統 (IACS) 及其網路）日益網路化，為資訊安全帶來了一系列新的挑戰。生產設施的網路規模極為龐大，涉及眾多專用技術和協定。

在許多方面，生產環境與IT系統有著根本性的差異：生產環境通常設計為長期運行，一旦運行順暢，除了定期維護和維修工作外，就會盡可能保持穩定，不進行任何干預。這意味著，例如，許多元件仍在使用過時的作業系統、通訊協定或加密演算法。

長期以來，自動修補程式和更新流程並不受歡迎，或至少備受質疑。人們非常擔心複雜的生產流程可能會故障，造成巨大的經濟損失。此外，由於許多員工都可以存取大規模分散式系統和通訊網絡，因此這些系統和網路也存在多個實體攻擊點。

自動化生產系統的可靠性和可用性不僅對企業而言極為重要，而且因為流程中的偏差可能會造成相當大的損害和經濟損失。

為了將所有這些 OT 特定方面整合到 ISA 目錄 6.0 中，ENX 和 VDA 以國際有效的 IEC 62443 系列標準為指導，特別是以第 2-1 節為指導。

「保密」標籤：保護敏感資訊

如果一家公司受託保管敏感資訊，則必須證明其能夠妥善保護這些資訊。 「高保密性」或「嚴格保密性」標籤用於選擇ISA Catalog 6.0中有助於實現此保護目標的各項要求。

這對未來的TISAX意味著什麼？ ^®審計？

新標籤允許根據供應商在供應鏈中可能扮演的角色進行審核。如果供應商被認定為對供應鏈至關重要，則可以使用「可用性」標籤來證明其可靠性。如果供應商被委託保管特別敏感的訊息，則可以使用「保密性」標籤來證明其已採取適當的預防措施來保護這些資訊。如果供應商同時承擔這兩種角色，則可以針對這兩個標籤進行審核。

兩種標籤都必須滿足相同的基本要求。此外，每種標籤對於高防護和超高防護需求還有特定的要求。這意味著審核將根據標籤的不同而進行。

TISAX的標籤系統也將進行過渡。 ^®資料庫中，「資訊安全等級高」標籤將替換為「可用性高」和「保密性高」兩個合併標籤。同樣，“資訊安全等級非常高”標籤也將替換為“可用性非常高”和“保密性嚴格”兩個標籤。對於所有在TISAX資料庫中已擁有「資訊安全」標籤的參與者，此過程將自動進行。 ^®平台。

上述選擇性審計的主要目的是確保公司只需滿足ISA問卷6.0中與其相關的要求。同時，製造業企業也面臨新的挑戰，因為營運技術（OT）系統現在必須按照與現有標準類似的方式進行管理。 TISAX ^®資訊科技系統。

因此，根據具體情況，公司必須預料到資訊安全管理系統 (ISMS) 中需要加強額外的要求，這可能會導致更大的支出。

6.0 版本新增要求

• 安全和營運連續性營運技術 (OT) 在生產設施中扮演著至關重要的角色，而工業自動化控制系統 (IACS) 等自動化系統在這些設施中更是核心所在。確保這些系統的可用性不僅關乎生產效率，更關乎安全。員工經常在這些自動化系統附近工作，任何故障都可能造成嚴重的安全隱患。例如，OT 感測器或控制器的校準不當可能會危及人員和貴重設備的安全。
• 風險管理隨著營運技術（OT）納入監管範圍，企業需要考慮與這些系統相關的特定風險。 OT系統應進行監管、分類和監控，以便有效應對新出現的風險。必須指定專人負責這些工作。
• 存取控制服務提供者出於維護目的對OT網路的存取權限是一個關鍵問題。適當的存取控制和詳細的協定對於維護OT系統的安全性和完整性至關重要。
• 員工能力負責操作OT系統的員工必須接受過充分的培訓，具備相應的能力，並了解操作中可能存在的風險。由於這些系統至關重要，因此人員配備的考慮，包括對敏感崗位進行背景調查，至關重要。
• 生命週期管理對 OT 系統在其整個生命週期內進行有效管理，包括維修、運輸和處置，對於最大限度地降低與本地設備資料和存取相關的風險至關重要。
• 安全措施：OT 必須透過強大的安全解決方案來保護，以抵禦潛在的攻擊，例如防毒軟體、防火牆或減少開放介面和服務。
• 審計和漏洞評估：需要定期進行技術系統審核，以檢查 OT 系統是否依照製造商的規格進行加固，並識別已知的漏洞。
• 網路分割網路應根據用途和風險進行適當劃分，以保護 IT 和 OT 環境免受彼此影響。
• 備份和復原：全面的備份和復原計畫對於確保 OT 系統的業務連續性至關重要。
• 服務等級和監控：必須制定適當的服務等級和可用性定義，並持續監控 OT 網路服務。
• 外部供應商如果外部服務提供者使用 OT 設備，則必須對外部提供者的存取權限和設備上儲存的其他資訊的安全等級進行監管。

ISO 27001 和 IEC 62443 是堅實的基礎

符合以下規定的資訊安全管理體系ISO 27001在某些受監管行業，這已經是法律規定的要求。在許多行業，它也是簽訂服務協議或類似協議的正式或非正式的基本合規要求。

由於ISA問卷6.0也是基於此標準，因此經過認證的資訊安全管理系統已經為…奠定了良好的基礎。 TISAX ^®審計然而，TISAX ^®需要對資訊安全管理系統 (ISMS) 進行具體實施，並制定詳細的「必須」和「應當」要求，以及對高或非常高階的保護的附加要求。

除了資訊安全管理系統（ISMS）之外，IEC 62443 標準及其在 ISA 目錄中新增的要求也提供了堅實的基礎。本標準的第 2 節描述了工業網路安全管理系統的結構。第 2-1 節涵蓋了工業自動化和控制系統安全程序的建立等內容。

在製定這些領域時，國際電工委員會 (IEC) 再次以 ISO 27001 標準為指導，該標準中的許多流程和機制也適用於控制系統。這意味著工業通訊網路以及自動化和控制系統 (IACS) 都包含在審核範圍內。

ISA Catalog 6.0：使用者有哪些截止日期？

ISA審計目錄6.0的過渡將於2024年4月1日進行。任何委託審計機構TISAX® 評估截至 3 月 31 日（含當日）仍可依舊版 ISA 目錄 5.1 進行審計。自明年 4 月 1 日起委託進行的評估只能依照新版 ISA 目錄 6.0 進行。

一方面，這意味著自 2024 年 4 月起，評估將更加複雜；但另一方面，更高的安全等級對貴公司而言是值得的。為了從新版 TISAX 帶來的更高信任度中獲益，您務必儘早為新要求做好準備並認真落實。 ^®標籤。

所有依賴現有評估的審計活動，如糾正措施計劃評估、後續行動、範圍擴展評估或簡化組評估，將繼續按照最初進行評估所依據的 ISA 版本執行。

ISA目錄6.0修訂版2024：結論

ISA Catalog 6.0 的發布是汽車標準和合規領域發展歷程中的一件大事。此次更新體現了我們對卓越、精準以及日益增長的重要性的持續承諾。資訊安全在汽車行業，隨著保密和可用性標籤的變更以及涵蓋營運技術（OT）系統的更廣泛範圍的擴大，汽車行業正朝著更高的品質和安全標準不斷發展。

DQS經ENX批准為評估服務提供者，因此可以開展評估服務。 TISAX ^®評估全球範圍內。我們有TISAX ^®經資訊安全國際標準認證的審計人員ISO 27001這意味著DQS可以同時評估這兩個標準，而且所需額外工作量更少。我們期待與您交流。

筆記：訪問TISAX ^®是透過參與者註冊進行的，註冊必須在線上完成。 ENX門戶這是委託經認可的評估服務提供者（例如 DQS）進行評估的先決條件。

TISAX ^® 6.0 - 背景資訊

TISAX ^®以德國汽車工業協會 (VDA) 制定的 VDA ISA 目錄為基礎（VDA） ），一份綜合問卷，主要基於所謂的“控制措施”，即資訊安全標準 ISO 27001 附件 A 中的參考措施，並根據其他汽車行業特定要求進行了調整。

資訊安全標準此後經過修訂並發布，具體如下：新版 ISO/IEC 27001:2022 2022年10月25日，附件A受到此次修訂的影響。 ISA 6.0版本也對新控制措施進行了相應的調整。

TISAX ^®主要面向那些希望或需要向（參與的）汽車製造商證明其資訊安全性和可用性水平，以便與其開展合作的公司。 ENX協會ENX是一家總部位於法蘭克福和巴黎的機構，負責實施和監督流程。 ENX是由歐洲汽車製造商、供應商和四個國家汽車協會組成的聯盟，其中包括ENX的創始機構德國汽車工業協會（VDA）。

信任和專業知識

我們的文本和宣傳冊均由我們的標準專家或資深審核員撰寫。如果您對文字內容或我們為作者提供的服務有任何疑問，請與我們聯絡。