Katalog ISA 6.0 yang baru berlaku mulai 1 April 2024

ISI

Meningkatnya ancaman membutuhkan penyesuaian pada katalog ISA

Label "Ketersediaan": perluasan ke fasilitas produksi

Label "Kerahasiaan": perlindungan informasi sensitif

Apa arti persyaratan baru untuk audit TISAX^® di masa mendatang?

ISO 27001 dan IEC 62443 sebagai fondasi yang kuat

Katalog ISA 6.0 berubah pada tahun 2024: Kesimpulan

TISAX 6.0 - latar belakang

Meningkatnya ancaman membutuhkan penyesuaian pada katalog ISA

Mengingat pentingnya dan kompleksitas rantai pasokan, informasi ujung ke ujung dan keamanan siber memainkan peran kunci dalam industri otomotif. Bagaimanapun juga, pemasok sangat terlibat dalam proses pengembangan dan produksi. Ini berarti bahwa mereka sering kali memiliki akses ke informasi yang sangat sensitif dan peka - dan harus memiliki tingkat ketahanan yang tinggi. Ketegangan geopolitik dan meningkatnya digitalisasi dan jaringan rantai pasokan menyebabkan meningkatnya risiko keamanan informasi.

Sebagai konsekuensi dari dinamika ini, katalog VDA ISA 5.1 yang ada saat ini telah diperbarui. Versi 6.0 diterbitkan dalam bahasa Inggris pada tanggal 16 Oktober 2023 dan tersedia untuk diunduh.

Katalog pertanyaan ISA 6.0 yang baru menandai tonggak penting bagi TISAX^®. Hal ini mengarah pada penyesuaian dalam persyaratan untuk penyedia audit yang ditetapkan dalam peraturan TISAX^® ACAR 2.2. Peralihan ke bahasa Inggris sebagai bahasa utama katalog ISA 6.0 menggarisbawahi perspektif global dan upaya bersama untuk mengembangkan lebih lanjut katalog persyaratan dalam kelompok kerja global.

Label baru menggantikan label "keamanan informasi" yang sudah dikenal sebelumnya

Perubahan utama dalam katalog Penilaian Keamanan Informasi (ISA) 6.0 menyangkut modul "Keamanan Informasi" dan sistem label terkait dari TISAX^®. Di masa mendatang, label "Keamanan Informasi" yang sudah dikenal akan sepenuhnya digantikan oleh dua label "Ketersediaan" dan "Kerahasiaan".

Label "Ketersediaan" dalam katalog ISA 6.0: perluasan ke fasilitas produksi

Dalam katalog ISA yang baru, label "Ketersediaan tinggi" dan "Ketersediaan sangat tinggi" telah dibuat lebih spesifik. Sebagai hasilnya, sistem OT (Teknologi Operasional) akan menjadi lebih fokus untuk audit di masa mendatang.

Meningkatnya jaringan lingkungan produksi, yaitu Sistem Kontrol Otomasi Industri (IACS) dan jaringannya, menghasilkan sejumlah tantangan baru untuk keamanan informasi. Fasilitas produksi menjangkau jaringan yang sangat luas dengan banyak teknologi dan protokol khusus.

Dalam banyak aspek, mereka berbeda secara fundamental dari sistem TI: Lingkungan produksi umumnya dirancang untuk berjalan selama bertahun-tahun dan setelah berjalan dengan lancar, lingkungan ini dibiarkan tidak terganggu kecuali untuk pemeliharaan dan perbaikan rutin. Ini berarti bahwa sistem operasi yang sudah ketinggalan zaman, protokol komunikasi atau algoritme enkripsi, misalnya, masih digunakan pada banyak komponen.

Untuk waktu yang lama, proses tambalan dan pembaruan otomatis tidak diinginkan atau setidaknya dilihat secara kritis. Ketakutannya terlalu besar bahwa proses produksi yang kompleks dapat menjadi tidak sinkron dan menyebabkan kerugian ekonomi yang cukup besar. Sistem dan jaringan komunikasi berskala besar dan terdistribusi, di mana banyak karyawan dapat mengaksesnya, juga menawarkan beberapa titik serangan fisik.

Keandalan dan ketersediaan sistem produksi otomatis tidak hanya sangat penting dari perspektif bisnis, tetapi juga karena penyimpangan dalam proses dapat menyebabkan kerusakan yang cukup besar dan kerugian finansial.

Untuk mengintegrasikan semua aspek khusus OT ini ke dalam katalog ISA 6.0, ENX dan VDA telah mengorientasikan diri mereka pada seri standar IEC 62443 yang berlaku secara internasional dan khususnya pada sub-bagian 2-1.

Label "Kerahasiaan": Perlindungan informasi sensitif

Jika sebuah perusahaan dipercayakan dengan informasi sensitif, perusahaan tersebut harus membuktikan bahwa mereka dapat melindungi informasi ini dengan tepat. Label "Kerahasiaan tinggi" atau "Kerahasiaan ketat" digunakan untuk memilih persyaratan Katalog ISA 6.0 yang berkontribusi pada tujuan perlindungan ini.

Apa artinya ini untuk audit TISAX^® di masa mendatang?

Label baru ini memungkinkan audit sesuai dengan peran yang mungkin dimainkan oleh pemasok dalam rantai pasokan. Jika pemasok telah diidentifikasi sebagai pemasok yang sangat penting bagi rantai pasokan, maka pemasok tersebut dapat menggunakan label "Ketersediaan" untuk membuktikan keandalannya. Jika pemasok dipercayakan dengan informasi yang sangat sensitif, pemasok dapat menggunakan label "Kerahasiaan" untuk membuktikan bahwa mereka telah melakukan tindakan pencegahan yang tepat untuk melindungi informasi ini. Jika pemasok bertanggung jawab atas kedua peran tersebut, pemasok dapat diaudit untuk kedua label tersebut.

Serangkaian persyaratan dasar yang sama harus dipenuhi untuk kedua label tersebut. Selain itu, ada persyaratan khusus untuk kebutuhan perlindungan yang tinggi dan sangat tinggi untuk setiap label. Ini berarti bahwa audit dilakukan tergantung pada label.

Transisi sistem label juga akan dilakukan di database TISAX^®. Di masa mendatang, label "Keamanan informasi tinggi" akan digantikan oleh dua label gabungan "Ketersediaan tinggi" dan "Kerahasiaan tinggi". Hal yang sama berlaku untuk label "Keamanan informasi sangat tinggi", yang akan digantikan oleh label "Ketersediaan sangat tinggi" dan "Kerahasiaan sangat ketat" di masa mendatang. Hal ini akan terjadi secara otomatis untuk semua peserta yang telah memiliki label "keamanan informasi" di platform TISAX^®.

Tujuan utama dari audit selektif yang dijelaskan di atas adalah untuk memastikan bahwa perusahaan hanya perlu memenuhi persyaratan kuesioner ISA 6.0 yang relevan bagi mereka. Pada saat yang sama, tantangan baru muncul untuk perusahaan manufaktur, karena sistem PL sekarang harus tunduk pada manajemen dengan cara yang sama seperti yang sudah umumnya diperlukan untuk sistem TI TISAX^®.

Tergantung pada kasus masing-masing, perusahaan harus mengharapkan persyaratan tambahan yang perlu diperketat dalam sistem manajemen keamanan informasi (ISMS) dan dapat menyebabkan biaya yang lebih besar.

Persyaratan baru dalam versi 6.0

• Keamanan dan kelangsungan operasional: OT memainkan peran penting dalam fasilitas produksi di mana sistem otomatis seperti IACS sangat penting. Memastikan ketersediaan sistem ini bukan hanya tentang produktivitas, tetapi juga tentang keselamatan. Karyawan sering bekerja di dekat sistem otomatis ini, dan segala jenis kerusakan dapat menimbulkan risiko keselamatan yang serius. Misalnya, sensor atau kontrol OT yang tidak dikalibrasi dengan benar dapat membahayakan orang dan peralatan yang berharga.
• Manajemen risiko: Dengan masuknya OT ke dalam ruang lingkup, perusahaan perlu mempertimbangkan risiko spesifik yang terkait dengan sistem ini. Sistem OT harus diatur, diklasifikasikan, dan dipantau sedemikian rupa sehingga risiko yang muncul dapat diatasi secara efektif. Orang yang bertanggung jawab harus ditunjuk untuk tugas-tugas ini.
• Kontrol akses: Akses penyedia layanan ke jaringan PL untuk tujuan pemeliharaan adalah masalah yang penting. Kontrol akses yang tepat dan protokol yang rinci sangat penting untuk menjaga keamanan dan integritas sistem OT.
• Kompetensi staf: Staf yang bertanggung jawab atas pengoperasian sistem OT harus cukup terlatih, kompeten, dan sadar akan potensi risiko operasi. Pertimbangan personel, termasuk pemeriksaan latar belakang untuk posisi yang sensitif, sangat penting karena pentingnya sistem ini.
• Manajemen Siklus Hidup: Manajemen yang efektif untuk sistem OT di sepanjang siklus hidupnya, termasuk perbaikan, pengangkutan, dan pembuangan, sangat penting untuk meminimalkan risiko yang terkait dengan data dan akses perangkat lokal.
• Langkah-langkah keamanan: OT harus dilindungi dari potensi serangan dengan solusi keamanan yang kuat, seperti perangkat lunak anti-virus, firewall, atau pengurangan antarmuka dan layanan terbuka.
• Audit dan penilaian kerentanan: Audit sistem teknis secara teratur diperlukan untuk memeriksa pengerasan sistem PL sesuai dengan spesifikasi pabrikan dan untuk mengidentifikasi kerentanan yang diketahui.
• Segmentasi jaringan: Jaringan harus disegmentasi secara tepat sesuai dengan tujuan dan risiko - juga untuk melindungi lingkungan TI dan PL satu sama lain.
• Pencadangan dan pemulihan: Rencana pencadangan dan pemulihan yang komprehensif sangat penting untuk memastikan kelangsungan bisnis dalam sistem PL.
• Tingkat layanan dan pemantauan: Tingkat layanan dan definisi ketersediaan yang tepat harus tersedia dan terus dipantau untuk layanan jaringan OT.
• Penyedia eksternal: Jika penyedia layanan eksternal menggunakan perangkat OT, tingkat keamanan informasi terkait akses dan informasi lain yang tersimpan di perangkat harus diatur untuk penyedia eksternal.

ISO 27001 dan IEC 62443 sebagai dasar yang kuat

SMKI yang sesuai dengan ISO 27001 sudah menjadi persyaratan hukum di beberapa industri yang diatur. Di banyak industri, ini juga secara resmi atau tidak resmi merupakan persyaratan kepatuhan dasar untuk menyelesaikan layanan atau perjanjian serupa.

Karena kuesioner ISA 6.0 juga didasarkan pada standar ini, sistem manajemen keamanan informasi yang tersertifikasi sudah menjadi dasar yang baik untuk audit TISAX^®. Namun, TISAX^® membutuhkan implementasi spesifik dari ISMS dengan persyaratan "harus" dan "harus" yang terperinci, ditambah persyaratan tambahan untuk tingkat perlindungan yang tinggi atau sangat tinggi.

Selain ISMS, standar IEC 62443 dan persyaratan baru yang dihasilkan dalam katalog ISA memberikan dasar yang kuat. Subbagian 2 dari standar ini menjelaskan struktur sistem manajemen untuk keamanan cyber industri. Subbagian 2-1 mencakup, antara lain, pembentukan program keamanan untuk otomasi industri dan sistem kontrol.

Saat menyusun area ini, IEC (Komisi Elektroteknik Internasional) sekali lagi dipandu oleh standar ISO 27001, yang banyak proses dan mekanismenya juga dapat diterapkan pada sistem kontrol. Ini berarti bahwa jaringan komunikasi industri dan sistem otomasi dan kontrol (IACS) termasuk dalam audit.

Katalog ISA 6.0: Tenggat waktu apa yang berlaku untuk pengguna?

Peralihan ke katalog audit ISA 6.0 akan berlangsung pada 1 April 2024. Siapa pun yang melakukan penilaian TISAX® hingga dan termasuk tanggal 31 Maret masih dapat diaudit sesuai dengan katalog ISA 5.1 yang lama. Penilaian yang ditugaskan mulai 1 April tahun depan hanya dapat dilakukan sesuai dengan katalog ISA versi 6.0 yang baru.

Di satu sisi, ini berarti penilaian akan lebih kompleks mulai April 2024, tetapi di sisi lain, peningkatan tingkat keamanan akan bermanfaat bagi perusahaan Anda. Penting bagi Anda untuk mempersiapkan persyaratan baru pada tahap awal dan menerapkannya dengan cermat untuk mendapatkan manfaat dari peningkatan kepercayaan pada label TISAX^® yang baru.

Semua aktivitas audit yang bergantung pada penilaian yang sudah ada, seperti Penilaian Rencana Tindakan Perbaikan, Tindak Lanjut, Penilaian Perluasan Cakupan, atau Penilaian Grup yang Disederhanakan, akan terus dilakukan sesuai dengan versi ISA yang menjadi dasar penilaian awal.

Katalog ISA 6.0 Amandemen 2024: Kesimpulan

Peluncuran Katalog ISA 6.0 merupakan peristiwa penting dalam dunia standar dan kepatuhan otomotif yang terus berkembang. Pembaruan ini mewakili komitmen berkelanjutan terhadap keunggulan, ketepatan, dan semakin pentingnya keamanan informasi dalam industri otomotif. Dengan diperkenalkannya label kerahasiaan dan ketersediaan yang telah diubah serta cakupan yang lebih luas yang mencakup sistem Teknologi Operasional (OT), sektor otomotif terus berevolusi menuju standar kualitas dan keamanan yang lebih tinggi.

DQS telah disetujui oleh ENX sebagai penyedia layanan penilaian dan oleh karena itu dapat melakukan penilaian TISAX^® di seluruh dunia. Kami memiliki auditor TISAX^® yang juga disetujui untuk standar internasional untuk keamanan informasi ISO 27001. Ini berarti bahwa kedua standar tersebut dapat dinilai oleh DQS pada saat yang sama dan dengan sedikit usaha tambahan. Kami berharap dapat berbicara dengan Anda.

Catatan: Akses ke TISAX^® adalah melalui pendaftaran peserta, yang harus dilakukan secara online di portal ENX. Ini adalah prasyarat untuk dapat menugaskan penyedia layanan penilaian yang disetujui seperti DQS.

TISAX^® 6.0 - informasi latar belakang

TISAX^® didasarkan pada katalog VDA ISA yang dikembangkan oleh Asosiasi Industri Otomotif Jerman (VDA), sebuah kuesioner komprehensif yang pada dasarnya didasarkan pada apa yang disebut "kontrol", langkah-langkah referensi dari Lampiran A dari standar keamanan informasi ISO 27001, dan disesuaikan dengan persyaratan khusus otomotif lainnya.

Standar keamanan informasi telah direvisi dan diterbitkan sebagai ISO/IEC 27001:2022 yang baru pada tanggal 25 Oktober 2022. Lampiran A khususnya terpengaruh oleh revisi tersebut. Adaptasi yang sesuai dengan kontrol baru juga telah dilakukan dengan ISA versi 6.0.

TISAX^® terutama ditujukan untuk perusahaan yang ingin atau perlu mendemonstrasikan tingkat keamanan dan ketersediaan informasi tertentu untuk kolaborasi dengan produsen otomotif (yang berpartisipasi). Asosiasi ENX, yang berbasis di Frankfurt am Main dan Paris, bertanggung jawab untuk mengimplementasikan dan memantau prosedur ini. ENX adalah asosiasi produsen otomotif Eropa, pemasok, dan empat asosiasi otomotif nasional, termasuk pendiri ENX Jerman, VDA.

Kepercayaan dan keahlian

Teks dan brosur kami ditulis secara eksklusif oleh para ahli standar kami atau auditor yang telah lama bekerja. Jika Anda memiliki pertanyaan tentang konten teks atau layanan kami kepada penulis kami, silakan hubungi kami.