新的TISAX®標籤：需要考慮哪些因素

• 情況變化－新的要求
• 為什麼是新的TISAX？ ^®是否引入了可用性和保密性標籤？
• 新TISAX ^®標籤一覽
• 哪個TISAX ^®公司需要的標籤
• 評估目標、標籤和評估等級——簡要解釋它們的區別
• 對於依據舊版 ISA 目錄進行的認證，需要進行差距分析。
• 新TISAX ^®標籤- 結論
• DQS是您值得信賴的合作夥伴

為什麼是新的TISAX？ ^®是否引入了“可用性”和“機密”標籤？

供應商和服務商密切參與汽車製造商的研發和生產流程，但有時扮演的角色卻截然不同：有些公司受託保管高度敏感的信息，但最終並不參與實際生產；另一些公司則為車輛生產提供至關重要的零部件，但卻對委託公司的商業機密一無所知。

為了更好地體現這些不同的角色，舊標籤“資訊安全”已拆分為兩個新品牌—“可用性“ 和 ”機密的供應商和服務提供者不再必須滿足ISA 6.0目錄的所有要求，因為每個標籤僅代表其中的一部分。這種劃分旨在減輕公司的負擔，並提高審計流程的效率。

然而，值得注意的是，鑑於威脅情勢的變化，資訊安全評估 (ISA) 目錄已擴展，納入了多項新增要求。除了保護機密資訊外，還應確保交付能力（關鍵字：即時生產），因為這越來越容易受到勒索軟體攻擊。因此，新的要求還包括針對 OT 系統的更強大的保護措施。

新TISAX ^®標籤一覽

對於受託保管敏感資訊（例如商業機密或個人資料）的公司，現在有「機密」和「絕對機密」標籤。 「高可用性」和「超高可用性」標籤則針對在公司交付能力中發揮關鍵作用的供應商。

除了基本要求外，針對新的 TISAX® 標籤必須實施的措施在 ISA 評估目錄 6.0 中已明確標明：保密性標籤以「C」標記，可用性標籤以「A」標記。許多要求同時用這兩個字母標記，因此適用於兩個新標籤。

“機密的”

「機密」標籤旨在保護機密訊息，未經授權披露此類資訊可能會造成嚴重的負面後果，例如名譽受損、刑事訴訟或經濟損失。

在 ISA 目錄的控制措施中，“高防護需求的附加要求”一欄定義了 28 項特定要求，並標記為“C”，必須滿足這些要求才能獲得此標籤。

以下控制項由於其實施難度較高（括號內為要求），值得特別關注：

• 3.1.3（保護並安全處置印表機、碎紙機、相機或紙張等輔助設備上的資訊）
• 3.1.4（行動裝置上的資料加密）
• 5.1.1（透過合約、規範、保證等方式對自身資料進行法律保護，特別是針對外部資料處理）
• 5.1.2（對訊息的數位傳輸路徑進行加密）

此處提及的控制措施僅標示為“C”，而非“A”。這意味著它們僅與保密性相關。因此，在僅旨在評估可用性的審計過程中，無需滿足這些要求。

“絕密”

「嚴格保密」標籤旨在保護嚴格保密和秘密訊息，未經授權披露這些資訊可能會造成災難性甚至危及生命的後果，例如嚴重的聲譽損害、嚴重的刑事後果或非常高的經濟損失。

在 ISA 問卷的控制中，“極高保護需求的附加要求”一欄定義了九項具體要求，並標記為“C”，除了“機密”標籤的要求外，還必須滿足這些要求才能獲得此標籤。

以下控制措施由於實施難度較大，需要特別注意：

• 1.6.1（進行並提供定期演練以管理資訊安全事件的證據）
• 4.1.2（對具有極高安全保護要求的資訊訪問，需採用雙重認證或更高級別的身份驗證）
• 4.2.1（對具有特別高保護要求的資訊進行加密；每季審查已分配存取權限的適當性）
• 5.1.2（對數位傳輸的訊息內容進行加密）
• 5.2.4（記錄對具有特別高保護要求的資訊的存取）
• 5.2.8（資料備份概念，包括備用儲存位置和備份儲存）
• 5.3.1（在實施過程中、發生變更時以及定期檢查內部開發或為客戶開發的軟體的安全性）

此外，還必須注意與可用性標籤的明確區別：具體而言，此處列出的控制措施 4.1.2、4.2.1、5.1.2 和 5.2.4 的要求僅標記為「C」。這意味著它們僅與「嚴格保密」標籤的審計流程相關。

高可用性

如果公司本身產品或服務的可用性直接影響依賴公司的生產或交付能力，且故障會導致重大損失，則該公司需要獲得「高可用性」標籤。常見的例子包括生產材料的即時供應商，或無法迅速取代的高度專業化服務或原料供應商。

在 ISA 目錄 6.0 的控制措施中，“高防護需求的附加要求”一欄定義了 36 項要求，這些要求標有“A”，因此必須滿足這些要求才能獲得此標籤。

在實施過程中，以下控制措施需要特別注意：

• 1.6.3（危機狀況準備：危機情境、聯絡人、溝通策略、定期危機模擬）
• 5.2.8（防止內部威脅（例如保護備份）和外部服務中斷造成的干擾的措施，例如透過適當的服務等級協定））
• 5.2.9（備份和復原概念：定期檢查備份和測試復原）
• 5.3.2（網路流量監控、中心服務可用性分析）

此處提及的要求僅標記為“A”，即它們僅與可用性相關。因此，在僅旨在標記保密性的審核過程中，無需滿足這些要求。

“極高可用性”

如果公司本身產品或服務的短期可用性嚴重影響依賴公司的生產或交付能力，且故障會導致重大損失，則該公司需要獲得「極高可用性」標籤。一個典型的例子是即時供貨供應商，其故障會導致生產迅速且大規模停產，重啟時間極長。

在 ISA 目錄的控制措施中，「極高防護需求的附加要求」一欄定義了 13 項要求。這些要求標有“A”，因此，除了“高可用性”標籤的要求外，還必須滿足這些要求才能獲得此標籤。

以下控制措施由於實施難度較大，需要特別注意：

• 1.6.1（進行並提供定期演練以管理資訊安全事件的證據）
• 1.6.2（即使是罕見類型的資訊安全事件）
• 1.6.3（開展並提供證據證明定期進行危機管理演練）
• 5.2.6（對IT系統進行常規的全自動系統分析，並考慮OT/工業控制系統）
• 5.2.8（資料備份概念，包括備用儲存位置和備份儲存；協調自身應急計畫與外部服務提供者的緊急計畫；備份策略，包括替換系統和備用儲存及備份位置，以維持業務流程）
• 5.2.9（定期測試資料備份概念；地理位置分散的備份位置；盡可能隔離的備份系統，以及技術上不可更改的備份）
• 5.3.1（在實施過程中、發生變更時以及定期檢查內部開發或為客戶開發的軟體的安全性）

這裡列出的控制措施 1.6.2、1.6.3、5.2.6 和 5.2.9 的要求僅在「非常高可用性」標籤的審計過程中進行檢查，因此與 TISAX 保密性標籤無關。

通常，「可用性」這兩個標籤會更強調維持生產能力（OT）。審計中將更加關注公司內部對OT製造商建議、OT風險、OT網路安全措施以及OT管理的了解程度。

哪個TISAX ^®公司需要的標籤

實際上需要哪些標籤這個問題，首先自然取決於公司在供應鏈中的角色。在供應鏈的每個環節，公司都必須捫心自問：我們依賴哪些供應商？哪些供應商掌握敏感資訊？

因此，TISAX®在每個階段對供應商的管理要求，導致供應鏈中各環節需滿足特定角色的標籤要求。供應商可以透過現有標籤來證明其符合要求，而這種交換機制在此尤其重要。評估結果可以提供給任何有興趣的各方。

假設一家公司預防性地要求添加這兩個新標籤，即使實際上並不需要保密標籤或可用性標籤。在這種情況下，考慮到實施成本可能顯著增加，絕對值得就雙方對角色理解進行進一步討論。
還必須考慮 TISAX 標籤與評估等級之間的聯繫：「非常高的可用性」和「嚴格保密」標籤只能透過 3 級評估（即現場評估）授予。

評估目標、標籤和評估等級——簡要解釋它們的區別

在上一節中，我們使用了幾個術語，在這裡我們將簡要解釋並區分它們：

• TISAX ^®評估目標：供應商根據其製造合作夥伴的規範，利用評估目標來確定他們在審核中必須滿足哪些要求。
• TISAX ^®標籤：通過審核後，公司將獲得針對所選評估目標的 TISAX® 標籤。 ^TISAX®資料庫將作為他們已滿足要求的確認依據。
• TISAX ^®等級：根據評估等級不同，對滿足要求的評估方式也不同。一級評估純粹是自我評估。在二級評估中，外部審核員會檢視自我評估的合理性，並輔以遠距訪談。在三級評估中，審核員會進行現場檢查，以核實評估的有效性。

對於依據舊版 ISA 目錄進行的認證，需要進行差距分析。

對於仍持有舊版「Info」認證標籤的公司而言，這一點尤其重要：

• 為了使過渡階段盡可能簡單，帶有「資訊高」標籤的公司已被自動分配「機密」和「高可用性」標籤，直到其到期日為止。
• 同樣，“資訊非常高”標籤被轉換為“嚴格保密”和“極高可用性”標籤。

這也適用於 4 月 1 日之前接受報價的審計流程以及隨後的範圍擴展，這兩項仍可按照舊的 ISA 目錄 5.1 執行。

但是，需要注意的是，相關公司必須按照當時有效的法規獲得認證。 ISA審計目錄一旦其有效期為三年的TISAX標籤過期，新的認證必須在舊標籤過期後立即生效。因此，建議相關負責人儘早進行差距分析，以便及時對資訊安全管理系統（ISMS）進行調整，並為下一個階段做好準備。 TISAX ^®審計。

為了進行這項差距分析，ENX協會擁有提供了一份專門的需求目錄其中列出了 ISA 5.1 和 ISA 6.0 之間的所有變更，並以紅色標記。這使公司能夠一目了然地了解新增的要求。需要注意的是：這是一份輔助文件。對於審計工作，公司應始終從 ENX 網站下載最新版本的 ISA 審計目錄。

以下變化尤為顯著：

• 新的 Control 1.3.4 可能需要對新軟體進行投資，例如用於許可證管理的軟體。
• 經過大幅修改的控制措施 1.6.1 和 1.6.2 現在要求進行協調和定期測試的事件回應。
• 控制措施 3.1.2 已被新的控制措施 1.6.3、5.2.8 和 5.2.9 取代，這些新控制措施對危機處理、業務連續性管理和資料備份提出了許多新的要求。

新TISAX ^®標籤 - 結論

新的保密性和可用性標籤應能確保TISAX的效率更高。 ^®未來認證流程將有所調整，因為審核現在將基於特定角色進行。這意味著供應商和服務提供者不再需要滿足目錄中的所有要求。然而，值得注意的是，可用性標籤的要求比保密標籤的要求更高。這是因為新的重點是確保交付能力和保障 OT 環境安全，而這些內容已納入目前 ISA 目錄的所有控制措施中。

修訂並部分擴充的產品目錄還包含一些新的要求，其中一些需要付出一定的努力和相應的準備時間才能滿足。因此，儘早提出要求至關重要。差距分析建議已根據舊目錄獲得認證的公司使用，因為他們「僅僅」是透過資訊安全舊標籤的自動轉換而獲得新標籤。

對於過去透過輪換抽樣程序（輪換式SGA）獲得標籤的客戶而言，會面臨一些特殊挑戰。出於成本考慮，這些公司希望在標籤有效期的最後一年切換到實際抽樣程序（基於樣本的SGA）。因此，他們必須在第三年完成輪調式SGA評估，將其資訊安全管理系統（ISMS）轉換為新的ISA目錄，並在標籤到期前完成基於樣本的SGA評估，以便順利延長標籤有效期限。

DQS是您值得信賴的合作夥伴

TISAX ^®就像 ENX VCS 車輛網路安全系統一樣，它也是為…開發的。 ENX協會DQS已獲得ENX認證，是一家評估服務提供商，因此可以在全球範圍內開展評估工作，同時也是TISAX認證機構。 ^®已獲得TISAX認證。而且因為我們的許多TISAX認證機構都參與了TISAX認證。 ^®我們的審核員也獲得了資訊安全國際標準 ISO 27001 的認證，因此我們可以同時評估這兩個標準，而且所需額外工作量更少。期待與您洽談。

註：可訪問TISAX ^®是透過參與者註冊進行的，註冊必須在線上完成。 ENX門戶這是委託經認可的評估服務提供者（例如）進行評估的先決條件。 DQS 。

信任和專業知識

我們的文本和宣傳冊均由我們的標準專家或資深審核員撰寫。如果您對文字內容或我們為作者提供的服務有任何疑問，請與我們聯絡。