ISA 目錄 6.0：關於 TISAX®️ 更新您需要了解的一切

在本指南中，我們將深入探討最終更新中的關鍵變更及其對貴組織的影響。我們也將介紹DQS為因應這些變更所製定的計劃，以及我們如何調整審核員培訓，以繼續為貴組織提供有價值的審核服務。

主要亮點：

• 引進首席審核員任命
• 過渡到英語
• 保密性和可用性標籤
• 過渡時間表

首席審核員任命

其中一項最大的進步是新版ISA目錄引進首席審核員委任制度是提高審核精準性和有效性的重要因素。在新框架下，每個審核等級都會指派一名首席審核員。因此， ENX已正式認可「TISAX®️首席審核員（AL2）」和「TISAX®️首席審核員AL3」這兩個術語，明確表示具備特定評估等級資格的審核員。

英語過渡與全球視野

新版出版物在此次轉型過程中最關鍵的變化之一是將英語作為主要語言。 ISA目錄6.0這不僅強調了全球視野，也體現了汽車製造商之間的國際合作。隨著這一轉變，ISA目錄和TISAX ®️ 已在美國成立，進一步凸顯了 ISA 目錄在全球的共同進步。

持續重視資訊安全與網路安全

在快速發展的數位化世界中，資訊安全和網路安全的重要性日益凸顯。隨著TISAX®️ 6.0的發布，汽車行業繼續高度重視這些方面，並意識到客戶和利益相關者對保護敏感資訊日益增長的關注。 TISAX®️評估基於以下原則： ISO 27001 ISO 27001 是全球公認的資訊安全管理系統架構。透過整合 ISO 27001 標準的基本要素，該產業不僅能夠適應數位化時代，還能積極應對不斷演變的網路威脅。

告別「資訊安全」標籤

主要變更涉及「資訊安全」標籤。未來，「資訊安全高」標籤將被「保密性高」和「可用性高」兩個標籤取代。同樣，「資訊安全非常高」標籤也將被「保密性嚴格」和「可用性非常高」兩個標籤取代。所有在 TISAX®️ 平台中已擁有「資訊安全」標籤的客戶都將自動完成此變更。

為了 “保密性”和“可用性”標籤所有標籤都必須滿足相同的基本要求。此外，針對高防護和極高防護需求，每個標籤還有特定的要求。縮寫 (C)、(I) 和 (A) 分別代表機密性 (Confidentiality)、完整性 (Integrity) 和可用性 (Availability)。這些縮寫以及針對高防護和極高防護需求的補充要求，將有助於清楚地識別每個標籤對應的特定要求。這提高了審計的清晰度，確保對控制措施進行精確評估，從而增強安全性和合規性評估的有效性。

歡迎來到「可用性」標籤

如果一家公司在供應鏈中被視為重要環節，那麼未來它必須滿足「高可用性」或「極高可用性」標籤的要求。因此，用於製造和其他領域的營運技術 (OT) 系統也將成為評估的重點。這是透過參考 IEC 62443 標準以及 ISA 目錄中由此產生的新要求來實現的。因此，工業通訊網路和工業自動化與控制系統 (IACS) 將納入未來的 TISAX® 評估。同時，此類公司掌握著與研發和生產相關的敏感訊息，必須證明其能夠充分保護這些資訊。因此，許多要求與「高保密性」或「嚴格保密性」標籤的要求重疊。 OT 系統納入評估的一些面向包括：

• 安全和營運連續性：營運技術系統在生產設施中扮演著至關重要的角色，而工業自動化控制系統（IACS）等自動化系統則是其中的核心。確保這些系統的可用性不僅關乎生產效率，更關乎安全。員工經常在這些自動化系統附近工作，任何故障都可能造成嚴重的安全隱患。例如，營運技術感測器或控制器的校準不當可能會危及人員安全和貴重設備。
• 風險管理：將營運技術 (OT) 納入評估範圍後，企業必須考慮與這些系統相關的特定風險。應管理、分類和監控 OT 系統，以有效應對新出現的風險。必須指定專人負責這些工作。
• 門禁管制：服務提供者對OT網路的維護存取權限至關重要。適當的存取控制和詳細的日誌記錄對於維護OT系統的安全性和完整性至關重要。
• 人員能力：負責操作OT系統的員工必須接受過適當的培訓，具備相應的能力，並了解操作的潛在風險。由於這些系統至關重要，人力資源方面的考量，包括對敏感崗位進行背景調查，就顯得尤為重要。
• 生命週期管理：對 OT 系統在其整個生命週期內進行有效管理，包括維修、處置和運輸，對於降低與本地設備資料和存取相關的風險至關重要。
• 安全措施： OT 必須透過強大的安全解決方案來保護其免受潛在攻擊，例如防毒軟體、防火牆以及減少暴露的介面和服務。
• 審計和漏洞評估：需要定期進行內部系統審計，以檢查 OT 系統的加固情況並識別已知漏洞。
• 網路分段：網路應按用途進行適當劃分，以保護 IT 和 OT 環境免受相互幹擾。
• 備份和還原：完善的備份和復原計畫對於確保 OT 系統中的營運連續性和資料安全至關重要。
• 服務等級和監控：必須制定並持續監控OT網路服務的適當服務等級和可用性定義。
• 外部供應商：如果外部服務提供者使用 OT 設備，則必須對外部提供者的存取帳戶和儲存在設備上的其他資訊的資訊安全進行監管。

此外，歡迎了解“標籤保密性”

如果一家公司在供應鏈中並非至關重要，但卻被委託保管敏感資訊，它仍然必須證明自己能夠充分保護這些資訊。 「高度保密」或「嚴格保密」標籤用於選擇ISA目錄中那些專注於此類保護目標的要求。

新標籤系統的主要優勢：

• 保護目標：上述選擇性評估的主要目的是確保公司只需滿足 ISA 目錄中與其相關的要求。
• 審計精度：透過清楚地理解新的分類系統，審計人員可以更準確地評估和驗證與每個保護目標相關的控制措施的有效性。新的標籤系統消除了歧義，使控制措施更容易與特定目標對應，有助於提高審計效率和簡化審計流程。
• 客戶收益：客戶也將從這些新標籤中受益，因為它們能更清晰地說明控制措施如何與其組織的保護目標保持一致。

新標籤的要求雖然並非全新，但對製造業企業而言卻帶來了挑戰。因為OT系統現在必須像IT系統一樣，接受對應的管理規格。 TISAX®生產環境的龐大規模以及對營運技術網路基礎設施的眾多存取點，使得解決這些問題至關重要。隨著行業適應這種擴展的關注點，做好準備至關重要。

對DQS審核流程的調整

DQS 已準備好為您的組織提供無縫升級流程的支持，或者如果您是第一次接受審核，DQS 也可以與您合作。

由於這些變化，我們致力於為客戶提供全面、有益的審計服務，目前正在為審計人員提供額外的培訓，以確保他們能夠根據新的要求做好充分的審計準備。

過渡時間表及重要日期

舊版TISAX®️評估將繼續使用舊版ISA 5.1進行，直至2024年3月31日。自2024年4月1日起，所有TISAX®️評估將依照新版ISA 5.1進行。 ISA 版本 6 的新版本.0. 任何依賴現有審計的審計活動，如糾正措施計劃評估、後續行動或範圍擴展評估，都將使用最初進行審計的版本進行。

ISA Catalog 6.0 最終版的發布是汽車行業標準和合規領域發展歷程中的一件大事。此次更新標誌著對卓越、精準以及日益重要的資訊安全目標的持續追求。透過引入首席審核員制度、改善保密性和可用性標籤，以及將營運技術 (OT) 系統納入更廣泛的範圍，汽車產業在品質和安全方面正不斷邁向更高標準。