The new TISAX® labels: what to consider 새로운 TISAX® 레이블: 고려해야 할 사항

• 변경된 조건 - 새로운 요구 사항
• 새로운 TISAX® 가용성 및 기밀성 레이블이 도입된 이유는 무엇입니까?
• 새로운 TISAX® 레이블 개요
• 회사에 필요한 TISAX® 레이블
• 평가 목표, 레이블 및 평가 수준 - 차이점에 대한 간단한 설명
• 이전 ISA 카탈로그에 따른 인증의 경우 GAP 분석이 필요합니다
• 새로운 TISAX® 레이블 - 결론
• DQS는 신뢰할 수 있는 파트너입니다

새로운 TISAX® 레이블의 가용성 및 기밀성이 도입된 이유는 무엇입니까?

공급업체와 서비스 제공업체는 자동차 제조업체의 개발 및 생산 프로세스에 밀접하게 관여하지만 때로는 매우 다른 역할을 수행하기도 합니다: 일부 회사는 매우 민감한 정보를 위임받지만 궁극적으로 실제 생산에는 더 이상 관여하지 않습니다. 다른 회사는 차량 생산에 근본적으로 중요한 부품을 공급하지만 시운전 회사의 비즈니스 비밀에 대한 인사이트가 없습니다.

이러한 다양한 역할을 더 잘 반영하기 위해 기존의 레이블 "정보 보안"은 "가용성"과 "기밀성"이라는 두 개의 새로운 레이블로 분리되었습니다. 각 레이블은 하위 집합만 나타내기 때문에 공급업체와 서비스 제공업체는 더 이상 ISA 카탈로그 6.0의 모든 요구 사항을 충족할 필요가 없습니다. 이 부서는 기업의 부담을 줄이고 감사 프로세스를 보다 효율적으로 만들기 위한 것입니다.

그러나 변화된 위협 환경을 고려하여 정보 보안 평가(ISA) 카탈로그가 몇 가지 추가 요구 사항을 포함하도록 확장되었다는 점에 유의해야 합니다. 비밀을 보호하는 것 외에도 키워드: 적시 생산을 제공하는 기능도 보장되어야 합니다. 이는 랜섬웨어 공격의 위험이 점점 더 커지고 있기 때문입니다. 따라서 새로운 요구 사항에는 OT 시스템에 대한 보다 강력한 보호 조치도 포함됩니다.

새로운 TISAX® 레이블 개요

민감한 정보, 즉 비즈니스 기밀 또는 개인 데이터를 위임받은 기업의 경우 이제 "Confidential" 및 "Strictly Confidential" 레이블이 있습니다. "High Availability" 및 "Very High Availability" 레이블은 회사의 납품 능력에 필수적인 역할을 하는 공급업체를 대상으로 합니다.

새로운 TISAX® 레이블에 적용해야 하는 조치는 기본 요구 사항 외에도 ISA 평가 카탈로그 6.0에 명확하게 표시되어 있습니다: "C"가 있는 confidential의 경우, "A"가 있는 availability 경우. 많은 요구 사항은 두 글자로 표시되어 있으므로 두 새로운 레이블 모두에 적용됩니다.

"Confidential" 

The "Confidential" 레이블은 기밀 정보를 보호하는 데 중점을 두고 있으며, 이를 무단으로 공개하면 평판 손실, 형사 기소 또는 금전적 피해와 같은 상당한 부정적인 결과를 초래할 수 있습니다.

ISA 카탈로그의 관리에서 28개의 특정 요구 사항은 "high protection needs 요구 사항에 대한 추가 요구 사항" 열에 정의되어 있으며, 이 레이블을 위해 반드시 충족해야 하는 "C"로 표시되어 있습니다.

다음 컨트롤은 구현 노력(괄호 안의 요구 사항)으로 인해 특별한 주의를 기울일 가치가 있습니다:

• 3.1.3 (프린터, 파쇄기, 카메라 또는 종이와 같은 지원 장치에 대한 정보를 보호하고 안전하게 폐기)
• 3.1.4 (모바일 기기에서 데이터 암호화)
• 5.1.1 (특히 외부 데이터 처리를 위한 계약, 사양, 보증을 통해 자체 데이터에 대한 통제권을 법적으로 보호)
• 5.1.2 (정보를 위해 디지털 전송 경로 암호화)

여기서 언급된 제어는 "A"가 아닌 "C"로만 표시됩니다. 이는 기밀성(Confidentiality)에만 관련이 있음을 의미합니다. 따라서 이러한 요구 사항은 가용성(Availability)을 라벨링하는 것만을 목표로 하는 감사 프로세스에서 충족될 필요는 없습니다.

"Strictly Confidential" 

The "Strictly Confidential" 레이블은 엄격한 기밀 및 비밀 정보를 보호하는 데 중점을 둡니다. 이러한 정보의 무단 공개는 심각한 평판 손상, 심각한 범죄 결과 또는 매우 높은 재정적 손실과 같은 치명적이거나 생명을 위협하는 결과를 초래할 수 있습니다.

ISA 설문지의 통제에서는 "매우 높은 보호 요구 사항에 대한 추가 요구 사항" 열에 아홉 가지 구체적인 요구 사항이 정의되어 있으며, "C"로 표시되어 있으며, 이는 "Confidential" 레이블에 대한 요구 사항 외에도 이 레이블에 대해 충족되어야 합니다.

다음 컨트롤은 구현 노력으로 인해 특별한 주의가 필요합니다:

• 1.6.1 (정보 보안 사고를 관리하기 위한 정기적인 연습의 실시 및 증거 제공)
• 4.1.2 (매우 높은 보호 요구 사항을 가진 정보 접근을 위한 이중 인증 또는 그 이상)
• 4.2.1 (특히 높은 보호 요구 사항을 가진 정보를 암호화하고, 할당된 접근 권한에 대한 분기별 검토를 통해 적절성 확보)
• 5.1.2 (디지털 전송을 위한 정보 내용 암호화)
• 5.2.4 (특히 높은 보호 요구 사항을 가진 정보에 대한 접근 기록)
• 5.2.8 (저장 및 백업 저장소를 위한 대체 위치가 있는 데이터 백업 개념)
• 5.3.1 (구현 중, 변경 시, 정기적으로 사내 또는 고객을 위해 개발된 소프트웨어의 보안 점검)

또한 가용성 (availablity)을 위해 레이블과의 명확한 구분을 주목하는 것이 중요합니다: 구체적으로, 여기에 나열된 통제 4.1.2, 4.2.1, 5.1.2 및 5.2.4에 대한 요구 사항은 "C"로만 표시됩니다. 이는 "Strictly Confidential" 레이블에 대한 심사 프로세스에만 관련이 있음을 의미합니다.

"High Availability" 

기업은 자체 제품이나 서비스의 가용성이 종속 기업의 생산 또는 배송 능력에 직접적인 영향을 미치며 실패로 인해 상당한 피해가 발생하는 경우 'High Availability' 레이블을 요구합니다. 일반적인 예로는 신속하게 교체할 수 없는 생산 자재의 적시 공급업체 또는 서비스 또는 원자재의 고도로 전문화된 공급업체가 있습니다.

ISA 카탈로그 6.0의 통제에서는 36개의 요구 사항이 "고보호 요구 사항에 대한 추가 요구 사항" 열에 정의되어 있으며, 이는 "A"로 표시되어 있으므로 이 레이블에 대해 충족되어야 합니다.

다음 통제는 구현 작업에서 특히 주의가 필요합니다:

• 1.6.3 (위기 상황 대비: 위기 시나리오, 연락처, 소통 전략, 정기적인 위기 시뮬레이션)
• 5.2.8(백업 보호와 같은 내부 위협 및 적절한 SLA를 통한 외부 서비스 중단을 방지하기 위한 조치)
• 5.2.9 (백업 및 복구 개념: 정기적인 백업 확인 및 테스트 복구)
• 5.3.2 (네트워크 트래픽 모니터링, 중앙 서비스 가용성 분석)

여기서 언급된 요구 사항은 "A"로만 표시되며, 즉 가용성에만 관련이 있습니다. 따라서 기밀성을 라벨링하는 것만을 목표로 하는 심사 프로세스에서 충족될 필요는 없습니다.

"Very High Availability" 

기업은 자체 제품이나 서비스의 단기 가용성이 종속 기업의 생산 또는 배송 능력에 심각한 영향을 미치고 실패로 인해 상당한 피해가 발생하는 경우 'Very High Availability' 레이블을 요구합니다. 대표적인 예로 적시 공급업체를 들 수 있는데, 공급업체의 실패로 인해 재시동 시간이 매우 길어 신속하고 광범위한 생산 중단이 발생할 수 있습니다.

ISA 카탈로그의 통제에서는 "매우 높은 보호 요구 사항에 대한 추가 요구 사항" 열에 13개의 요구 사항이 정의되어 있습니다. 이러한 요구 사항은 "A"로 표시되므로 이 라벨에 대해 "High Availability" 레이블에 대한 요구 사항 외에도 충족되어야 합니다.

다음 통제는 구현 노력으로 인해 특별한 주의가 필요합니다:

• 1.6.1 (정보 보안 사고 관리를 위한 정기적인 연습 실시 및 증거 제공)
• 1.6.2 (희귀한 유형의 정보 보안 사고라도 수행)
• 1.6.3 (위기 상황 관리를 위한 정기적인 연습 실시 및 증거 제공)
• 5.2.6 (OT/산업 제어 시스템을 고려한 IT 시스템의 정기적인 완전 자동화 시스템 분석)
• 5.2.8 (저장 및 백업 저장소를 위한 대체 위치를 포함한 데이터 백업 개념, 외부 서비스 제공업체의 비상 계획과 자체 비상 계획의 조정, 대체 시스템 및 대체 위치를 통한 백업 전략, 비즈니스 프로세스를 유지하기 위한 저장 및 백업)
• 5.2.9 (데이터 백업 개념의 정기적인 테스트, 지리적으로 분산된 백업 위치, 기술적으로 변경할 수 없는 백업으로 가능한 한 격리된 백업 시스템)
• 5.3.1 (구현 중, 변경 시, 정기적으로 사내 또는 고객을 위해 개발된 소프트웨어의 보안 점검)

여기에 나열된 통제 1.6.2, 1.6.3, 5.2.6 및 5.2.9의 요구 사항은 "Very High Availability" 레이블에 대하여 심사 과정에서만 확인하므로, 기밀성(confidentiality)에 대한 TISAX 레이블과는 관련이 없습니다.

일반적으로 "Availability"의 두 레이블은 생산 능력(OT) 유지에 대한 집중도를 높입니다. 회사의 내부 지식은 OT 제조업체 권장 사항, OT 위험 및 OT 네트워크 보안 조치에 대한 정보이며, OT 관리는 감사에서 더 큰 주목을 받게 됩니다.

회사에 필요한 TISAX® 레이블

실제로 어떤 레이블이 필요한지에 대한 질문은 무엇보다도 공급망에서 기업의 역할에 따라 자연스럽게 달라집니다. 공급망의 각 단계에서 기업은 자신이 의존하는 공급업체와 민감한 정보를 위임받는 공급업체를 스스로에게 물어봐야 합니다.

따라서 각 단계에서 TISAX®가 요구하는 공급업체 관리는 공급망을 따라 역할별 레이블 요구 사항을 연쇄적으로 초래합니다. 공급업체가 기존 레이블을 참조하여 요구 사항 준수를 증명할 수 있는 교환 메커니즘은 특히 유용합니다. 평가 결과는 이해관계자라면 누구나 이용할 수 있습니다.

회사가 기밀성이나 가용성 레이블이 필요하지 않더라도 예방적으로 두 가지 새로운 레이블을 모두 요구한다고 가정해 보겠습니다. 이 경우 잠재적으로 훨씬 더 높은 구현 비용을 고려할 때 역할의 상호 이해에 대해 다시 한 번 논의할 가치가 있습니다.
TISAX 레이블과 평가 수준 간의 연관성도 고려해야 합니다: "Very high availability" 및 "Strictly confidential" 라벨은 3단계 평가, 즉 현장 평가를 통해서만 부여할 수 있습니다.

평가 목표, 레이블 및 평가 수준 - 차이점에 대한 간단한 설명

이전 섹션에서는 여기서 서로 간단히 설명하고 구분할 몇 가지 용어를 사용했습니다:

• TISAX® 평가 목표(Assessment Objective): 공급업체는 제조 파트너의 사양에 따라 평가 목표를 사용하여 감사에서 어떤 요구 사항을 충족해야 하는지 결정합니다.
• TISAX® 레이블(Lable): 평가를 통과한 후, 기업들은 TISAX® 데이터베이스에서 선택된 평가 목표에 대한 TISAX® 레이블을 요구 사항을 충족했음을 확인하는 표시로 받습니다.
• TISAX® 레벨(Level): 요구 사항 충족 여부는 평가 수준에 따라 다르게 평가됩니다. 레벨 1은 순전히 자체 assess입니다. 레벨 2에서는 외부 감사인이 자체 assess 요구 사항의 타당성을 확인하고 원격 인터뷰를 통해 보완합니다. 레벨 3에서는 심사원이 현장에서 효과를 확인합니다.

이전 ISA 카탈로그에 따른 인증의 경우 GAP 분석이 필요합니다

이전 "Info" 레이블로 인증받은 기업에게 중요합니다:

• 전환 단계를 최대한 단순화하기 위해 "Info High" 레이블이 있는 회사에는 만료일까지 자동으로 "Confidential" 및 "High Availability" 레이블이 할당되었습니다.
• 마찬가지로, "Info Very High" 레이블은 "Strictly Confidential" 및 "Very High Availability" 레이블로 변환되었습니다.

이는 4월 1일 이전에 제안이 수락된 평가 프로세스와 이전 ISA 카탈로그 5.1에 따라 수행될 수 있는 이후의 범위 확장에도 적용됩니다.

그러나 해당 기업은 3년 유효한 TISAX 레이블이 만료되면 당시에 유효한 ISA 평가 카탈로그에 따라 인증을 받아야 한다는 점에 유의해야 합니다. 새로운 인증은 기존 레이블이 만료되는 즉시 제공되어야 합니다. 따라서 정보 보안 관리 시스템(ISMS)의 조정 사항을 적시에 이행하고 다음 TISAX® 평가에 대비하기 위해 조기에 갭 분석을 수행하는 것이 좋습니다.

이 갭 분석을 위해 ENX 협회는 ISA 5.1과 ISA 6.0 간의 모든 변경 사항을 나열하고 빨간색으로 표시하는 전용 요구 사항 카탈로그를 제공했습니다. 이를 통해 기업은 어떤 새로운 요구 사항이 추가되었는지 한눈에 확인할 수 있습니다. 고려해야 할 사항: 이 문서는 보조 문서입니다. 평가를 위해 기업은 항상 ENX 웹사이트에서 ISA 평가 카탈로그의 최신 버전을 다운로드해야 합니다.

다음과 같은 변화가 특히 눈에 띕니다:

• 새로운 통제 1.3.4는 라이선스 관리와 같은 새로운 소프트웨어에 대한 투자가 필요할 수 있습니다.
• 광범위하게 수정된 통제 1.6.1 및 1.6.2는 이제 조정되고 정기적으로 테스트된 사고 대응이 필요합니다.
• 통제 3.1.2는 위기 처리, 비즈니스 연속성 관리 및 데이터 백업에 관한 여러 새로운 요구 사항을 부과하는 새로운 통제 1.6.3, 5.2.8 및 5.2.9로 대체되었습니다

새로운 TISAX® 레이블 - 결론

기밀성 및 가용성에 대한 새로운 레이블은 이제 역할별로 평가가 수행되므로 향후 TISAX® 인증의 효율성을 높일 수 있을 것입니다. 이는 공급업체와 서비스 제공업체가 더 이상 카탈로그의 모든 요구 사항을 이행할 필요가 없음을 의미합니다. 그러나 기밀성보다는 가용성 레이블에 더 많은 요구 사항을 충족해야 한다는 점이 눈에 띕니다. 이는 현재 ISA 카탈로그의 모든 통제에 포함된 배송 기능 보장 및 OT 환경 보호에 대한 새로운 초점 때문입니다.

수정 및 부분적으로 확장된 카탈로그에는 몇 가지 새로운 요구 사항도 포함되어 있으며, 그 중 일부는 약간의 노력과 그에 따른 리드 타임이 있어야만 충족할 수 있습니다. 따라서 정보 보안을 위해 기존 카탈로그에 따라 인증을 받은 기업은 정보 보안을 위해 새 레이블을 "만" 수령했기 때문에 조기 갭 분석이 권장됩니다.

과거에 회전 샘플링 절차(Rotating SGA)의 일환으로 레이블을 받은 고객에게는 특정 문제가 발생합니다. 비용 문제로 인해 이러한 회사는 레이블 유효성 마지막 해에 실제 샘플링 절차(샘플 기반 SGA)로 전환하고자 합니다. 따라서 레이블을 원활하게 확장하려면 3년차에 회전 SGA 평가를 완료하고 ISMS를 새로운 ISA 카탈로그로 변환한 후 레이 만료 전에 샘플 기반 SGA 평가를 완료해야 합니다.

DQS는 신뢰할 수 있는 파트너입니다

TISAX®는 ENX VCS for Vehicle Cyber Security와 마찬가지로 ENX Association에 의해 개발되었습니다. DQS는 ENX의 평가 서비스 제공업체로 승인되어 전 세계적으로 평가를 수행할 수 있으며, TISAX® 인증을 받았습니다. 또한 많은 TISAX® 심사원이 정보 보안 ISO 27001 국제 표준 인증을 받았기 때문에 추가적인 노력 없이 두 표준을 동시에 평가할 수 있습니다. 여러분과 대화를 나누기를 기대합니다.

참고: TISAX®에 대한 액세스는 참가자 등록을 통해 이루어지며, ENX 포털에서 온라인으로 수행해야 합니다. 이는 DQS와 같은 승인된 평가 서비스 제공업체에 의뢰할 수 있기 위한 전제 조건입니다.

신뢰와 전문성

당사의 텍스트와 브로셔는 당사의 표준 전문가 또는 전문 심사원이 독점적으로 작성합니다. 텍스트 내용이나 서비스에 대해 궁금한 점이 있으시면 저자에게 문의해 주세요.