자동차 산업의 공통 평가 및 교환 메커니즘인 신뢰할 수 있는 정보 보안 평가 교환(TISAX®)은 산업별 정보 보안 표준 중 하나로 간주됩니다. 다양한 TISAX® 라벨은 균일하고 따라서 비교 가능한 평가 메커니즘을 통해 OEM과 광범위한 공급업체 네트워크 간의 신뢰할 수 있고 효율적인 비즈니스 관계를 형성합니다.
그러나 IT 및 생산 환경의 디지털화 및 네트워킹은 증가하는 사이버 위협에 직면하여 새로운 보안 문제를 야기하고 있습니다. 2024년 4월부터 유효한 업데이트된 ISA 카탈로그 6.0을 통해 이러한 문제를 해결할 수 있습니다. 다음 블로그 게시물을 읽어보고 어떤 변화가 포함되어 있는지, 향후 평가에서 기업이 어떤 준비를 해야 하는지 알아보세요.
공급망의 큰 중요성과 복잡성을 고려할 때 엔드투엔드 정보와 사이버 보안은 자동차 산업에서 핵심적인 역할을 합니다. 결국 공급자는 개발과 생산 과정에 밀접하게 관여합니다. 이는 그들이 종종 매우 민감하고 민감한 정보에 접근할 수 있고 높은 수준의 복원력을 가져야 한다는 것을 의미합니다. 지정학적 긴장과 공급망의 증가하는 디지털화 및 네트워킹은 정보 보안에 대한 위험을 증가시키고 있습니다.
이러한 역학관계에 따라 기존의 VDA ISA 카탈로그 5.1이 업데이트되었습니다. 버전 6.0은 2023년 10월 16일에 영문판으로 배포되어 다운로드 가능하게 되었습니다.
새로운 ISA 질문 카탈로그 6.0은 TISAX®의 중요한 이정표입니다. 이는 TISAX® ACAR 2.2 규정에 명시된 평가 제공자 요구사항의 조정으로 이어집니다. ISA 6.0 카탈로그의 주 언어인 영어로의 전환은 글로벌 관점과 글로벌 워킹 그룹의 요구사항 카탈로그를 더욱 발전시키기 위한 공동의 노력을 강조합니다.
ISA(Information Security Assessment) 카탈로그 6.0의 주요 변경 사항은 TISAX®의 "Information Security" 모듈과 관련 라벨 시스템에 관한 것입니다. 앞으로 친숙한 "Information Security" 라벨은 "Availability"와 "Confidentiality" 두 개의 라벨로 완전히 대체됩니다.
새로운 ISA 카탈로그에서 " Availability high"과 " Availability very high"이라는 라벨이 더욱 구체화되었습니다. 그 결과, OT (운영 기술) 시스템은 향후 감사의 초점이 될 것입니다.
생산 환경, 즉 산업 자동화 제어 시스템(IACS)과 그 네트워크의 네트워킹이 증가함에 따라 정보 보안에 대한 여러 가지 새로운 과제가 발생합니다. 생산 시설은 다양한 전문 기술과 프로토콜을 갖춘 매우 광범위한 네트워크에 걸쳐 있습니다.
여러 측면에서 IT 시스템과 근본적인 차이가 있습니다. 운영 환경은 일반적으로 수년 동안 실행되도록 설계되어 있고, 일단 원활하게 실행되면 정기적인 유지 및 복구 작업을 제외하고는 가능한 한 방해받지 않는 상태로 유지됩니다. 이는 오래된 운영 체제, 통신 프로토콜 또는 암호화 알고리즘 등이 여전히 많은 구성 요소에서 사용되고 있음을 의미합니다.
오랫동안 자동 패치 및 업데이트 프로세스는 바람직하지 않거나 적어도 비판적으로 간주되었습니다. 복잡한 생산 프로세스가 동기화되지 않고 상당한 경제적 손실을 초래할 수 있다는 우려가 너무 컸습니다. 많은 직원이 액세스할 수 있는 대규모 분산 시스템 및 통신 네트워크도 여러 물리적 공격 지점을 제공합니다.
자동화된 생산 시스템의 신뢰성과 가용성은 비즈니스 관점에서 매우 중요할 뿐만 아니라 프로세스의 편차로 인해 상당한 피해와 재정적 손실이 발생할 수 있기 때문입니다.
이러한 모든 OT 고유의 측면을 ISA 카탈로그 6.0에 통합하기 위해 ENX와 VDA는 국제적으로 유효한 IEC 62443 시리즈 표준, 특히 하위 섹션 2-1을 지향했습니다.
기업이 민감한 정보를 위탁받은 경우, 이 정보를 적절하게 보호할 수 있음을 입증해야 합니다. ISA 카탈로그 6.0의 이러한 요구 사항을 선택하기 위해 " Confidentiality high" 또는 " Confidentiality strict" 라벨이 사용됩니다.
새로운 라벨은 공급자가 공급망에서 수행할 수 있는 가능한 역할에 따라 평가를 허용합니다. 공급자가 공급망에 특히 중요한 것으로 확인된 경우 "Availability" 라벨을 사용하여 신뢰성을 입증할 수 있습니다. 공급자가 특히 민감한 정보를 위임받은 경우 "Confidentiality" 라벨을 사용하여 이 정보를 보호하기 위한 적절한 예방 조치를 취했음을 입증할 수 있습니다. 공급자가 두 역할 모두에 대해 책임을 지는 경우 두 라벨 모두에 대해 감사를 받을 수 있습니다.
두 가지 라벨 모두에 대해 동일한 기본 요구 사항이 충족되어야 합니다. 또한 각 라벨에 대해 high protection 요구 사항과 very high protection 요구 사항에 대한 구체적인 요구 사항이 있습니다. 이는 라벨에 따라 평가가 수행된다는 것을 의미합니다.
TISAX® 데이터베이스에서도 라벨 시스템의 전환이 이루어질 것입니다. 앞으로 "Information security high" 라벨은 "Availability high"과 "Confidentiality high" 두 개의 결합된 라벨로 대체될 것입니다. "정보 보안 수준 높음" 라벨도 마찬가지이며, 이는 향후 "Information security very high"과 "Confidentiality strict" 라벨로 대체될 것입니다. 이는 TISAX® 플랫폼에서 이미 "information security" 라벨을 보유하고 있는 모든 참가자에게 자동으로 이루어질 것입니다.
위에서 설명한 선별적 평가의 주요 목적은 기업이 자신과 관련된 ISA 설문지 6.0의 요구 사항만 충족하면 된다는 것입니다. 동시에 OT 시스템은 이제 TISAX® IT 시스템에 이미 일반적으로 요구되는 것과 유사한 방식으로 관리 대상이 되어야 하기 때문에 제조 기업에게 새로운 과제가 발생합니다.
따라서 기업은 개별 사례에 따라 정보 보안 관리 시스템(ISMS)에서 강화해야 할 추가 요구 사항과 더 큰 비용을 초래할 수 있는 추가 요구 사항을 예상해야 합니다.
ISO 27001에 따른 ISMS는 이미 일부 규제 산업에서 법적 요건이 되고 있습니다. 많은 산업에서 공식 또는 비공식적으로 서비스 또는 이와 유사한 협정을 체결하기 위한 기본 준수 요건이기도 합니다.
ISA 설문지 6.0도 이 표준에 기초하고 있기 때문에 인증된 정보 보안 관리 시스템은 이미 TISAX® 감사를 위한 좋은 기반을 형성하고 있습니다. 그러나 TISAX®는 "shall" 및 "해야 한다"는 세부 요구 사항과 함께 ISMS의 특정 구현을 요구하며, 높은 수준 또는 매우 높은 수준의 보호에 대한 추가 요구 사항도 요구합니다.
ISMS 외에도 IEC 62443 표준과 그에 따른 ISA 카탈로그의 새로운 요구사항이 강력한 기반을 제공합니다. 표준 제2섹션에서는 산업용 사이버 보안을 위한 관리 시스템의 구조에 대해 설명합니다. 제2-1섹션에서는 무엇보다도 산업 자동화 및 제어 시스템에 대한 보안 프로그램의 수립에 대해 다룹니다.
이들 분야의 초안을 작성할 때 IEC(International Electrotechnical Commission)는 다시 ISO 27001 표준의 지침을 받았으며, 이들의 많은 프로세스와 메커니즘은 제어 시스템에도 적용될 수 있습니다. 이는 산업 통신망과 자동화 및 제어 시스템(IACS)이 심사에 포함된다는 것을 의미합니다.
ISA 평가 카탈로그 6.0으로 전환되는 시점은 2024년 4월 1일입니다. 구 ISA 카탈로그 5.1에 따라 3월 31일까지 TISAX® 평가를 의뢰한 사람은 누구나 평가를 받을 수 있습니다. 내년 4월 1일부터 예정된 평가는 ISA 카탈로그의 새로운 버전 6.0 으로만 수행할 수 있습니다.
이는 한편으로는 2024년 4월부터 평가가 더 복잡해질 것이지만, 다른 한편으로는 높아진 보안 수준이 귀사에 가치가 있다는 것을 의미합니다.새로운 TISAX® 라벨에 대한 신뢰도를 높이기 위해서는 새로운 요구사항을 조기에 준비하고 이를 양심적으로 이행하는 것이 중요합니다.
시정조치계획평가, 사후조치, 범위확대평가 또는 간이그룹평가 등 기존 평가에 의존하는 모든 감사활동은 원래 평가가 수행된 ISA 버전에 따라 계속 수행됩니다.
ISA 카탈로그 6.0의 출시는 자동차 표준 및 규정 준수의 진화하는 세계에서 중요한 사건입니다. 이 업데이트는 자동차 산업에서 정보 보안의 우수성, 정확성 및 중요성에 대한 지속적인 약속을 나타냅니다. 변경된 기밀성 및 가용성 라벨과 운영 기술(OT) 시스템을 포괄하는 광범위한 범위가 도입됨에 따라 자동차 부문은 품질 및 보안의 높은 기준을 향해 계속 발전하고 있습니다.
DQS는 ENX가 평가 서비스 제공업체로서 승인한 것이므로 전 세계적으로 TISAX® 평가를 수행할 수 있습니다. 우리는 정보 보안 ISO 27001에 대한 국제 표준 승인을 받은 TISAX® 평가인을 보유하고 있습니다. 이는 두 기준 모두 DQS에 의해 동시에 더 적은 추가 노력으로 평가될 수 있다는 것을 의미합니다. 우리는 당신과 이야기하기를 기대합니다.
참고: 참가자 등록을 통해 TISAX®에 액세스할 수 있으며, 이는 ENX 포털에서 온라인으로 수행해야 합니다. 이는 DQS와 같은 승인된 평가 서비스 제공업체에 의뢰할 수 있는 전제 조건입니다.
What effort and costs do you have to expect for a TISAX® label? Find out for yourself. Without obligation and free of charge.
TISAX®는 독일 자동차 산업 협회(VDA)가 개발한 VDA ISA 카탈로그를 기반으로 하며, 이는 본질적으로 정보 보안 표준 ISO 27001의 부속서 A의 참조 조치인 소위 "controls"에 기반하며, 다른 자동차 고유의 요구 사항에 맞게 조정되는 포괄적인 설문지입니다.
이후 정보보안 표준은 2022년 10월 25일 새로운 ISO/IEC 27001:2022로 개정되어 공표되고 있습니다. 특히 부속서 A는 이 개정의 영향을 받습니다. ISA 버전 6.0에서도 새로운 통제장치에 상응하는 적응이 이루어졌습니다.
TISAX®는 주로 (참여) 자동차 제조업체와의 협업을 위해 특정 수준의 정보 보안 및 가용성을 입증하고 싶거나 입증할 필요가 있는 회사를 대상으로 합니다. Frankfurt am Main와 Paris에 본부를 둔 ENX 협회는 절차의 이행과 모니터링을 담당합니다. ENX는 유럽 자동차 제조업체, 공급업체 및 독일 ENX 설립자 VDA를 포함한 4개 국가 자동차 협회의 연합체입니다.
당사의 텍스트와 브로슈어는 당사의 표준 전문가 또는 전문 평가인이 독점적으로 작성합니다. 텍스트 내용이나 저자에게 제공하는 서비스에 대해 궁금한 점이 있으시면 연락주세요.
정보 보안 및 소프트웨어 개발을 위한 제품 관리자이자 전문가입니다. Holger Schmeken은 또한 KRITIS 감사 절차 역량을 통해 ISO 27001 감사관으로서의 전문 지식을 제공합니다.
