ISA Catalog 6.0: Tất cả những điều bạn cần biết về bản cập nhật TISAX®️

Trong blog này, chúng tôi sẽ đi sâu vào những thay đổi chính trong bản cập nhật cuối cùng và tác động của chúng đến tổ chức của bạn. Chúng tôi cũng đề cập đến những kế hoạch mà đội ngũ DQS đã lên kế hoạch để giải quyết những thay đổi này và cách chúng tôi điều chỉnh hoạt động đào tạo Đánh giá viên của mình để tiếp tục cung cấp các cuộc đánh giá có giá trị cho tổ chức của bạn.

Nhiệm vụ của Đánh giá viên trưởng đoàn (LA)

Một trong những thay đổi lớn nhất trong Danh mục ISA mới là việc giới thiệu Phân công Đánh giá viên trưởng đoàn, một yếu tố thiết yếu giúp nâng cao độ chính xác và hiệu quả của các cuộc đánh giá. Theo khuôn khổ mới này, Đánh giá viên trưởng được chỉ định cho một cấp độ đánh giá cụ thể. Do đó, ENX đã chính thức công nhận các thuật ngữ 'Đánh giá viên trưởng TISAX®️ (AL2)' và 'Đánh giá viên trưởng TISAX®️ AL3', biểu thị rõ ràng các đánh giá viên có đủ năng lực cho các cấp độ đánh giá cụ thể.

Sử dụng ngôn ngữ chính là tiếng Anh và Góc nhìn toàn cầu

Một trong những thay đổi quan trọng nhất trong ấn phẩm mới của quá trình chuyển đổi này là chuyển đổi sang tiếng Anh làm ngôn ngữ chính cho ISA catalog 6.0. Điều này không chỉ nhấn mạnh đến quan điểm toàn cầu mà còn phản ánh sự hợp tác quốc tế giữa các nhà sản xuất ô tô. Với sự chuyển đổi này, các nhóm làm việc cho cả danh mục ISA và TISAX®️ đã được thành lập tại Hoa Kỳ, làm nổi bật hơn nữa sự tiến bộ chung của danh mục ISA trên toàn thế giới.

Tiếp tục nhấn mạnh vào Bảo mật thông tin và An ninh mạng

Trong một thế giới kỹ thuật số đang phát triển nhanh chóng, bảo mật thông tin và an ninh mạng ngày càng trở thành những vấn đề quan trọng cần được cân nhắc. Với bản phát hành mới của TISAX®️ 6.0, ngành công nghiệp ô tô tiếp tục chú trọng mạnh mẽ vào các khía cạnh này, nhận thấy mối quan tâm ngày càng tăng của khách hàng và các bên liên quan trong việc bảo vệ thông tin nhạy cảm. Đánh giá TISAX®️ được rút ra từ các nguyên tắc của ISO 27001, một khuôn khổ được công nhận toàn cầu dành cho hệ thống quản lý bảo mật thông tin. Bằng cách tích hợp các nguyên tắc cơ bản của tiêu chuẩn ISO 27001, không chỉ thích ứng với kỷ nguyên kỹ thuật số mà còn chủ động giải quyết các mối đe dọa mạng đang gia tăng.

Hệ thống Ghi nhãn Mới

Tạm biệt nhãn “Bảo mật thông tin”

Những thay đổi chính liên quan đến nhãn "Bảo mật thông tin". Trong tương lai, nhãn “Bảo mật thông tin cao” sẽ được thay thế bằng hai nhãn “Tính bảo mật cao” và “Tính sẵn sàng cao”. Điều tương tự cũng áp dụng cho nhãn "Bảo mật thông tin rất cao", nhãn này sẽ được thay thế trong tương lai bằng nhãn "Bảo mật nghiêm ngặt" và "Tính sẵn sàng rất cao". Điều này xảy ra tự động đối với tất cả các khách hàng đã có nhãn “Bảo mật thông tin” trong nền tảng TISAX®️.

Đối với nhãn “Bảo mật” và “Tính sẵn sàng”, phải đáp ứng cùng một bộ yêu cầu cơ bản. Ngoài ra, còn có những yêu cầu cụ thể cho mỗi nhãn đối với nhu cầu bảo vệ cao và rất cao. Các chữ viết tắt (C, I và A) được sử dụng cho Tính bảo mật, Tính toàn vẹn và Tính sẵn sàng. Những chữ viết tắt này cùng với các yêu cầu bổ sung cho nhu cầu bảo mật cao và rất cao sẽ tạo điều kiện thuận lợi cho việc xác định rõ ràng các yêu cầu cụ thể tương ứng với từng nhãn. Điều này giúp nâng cao tính minh bạch trong đánh giá, đảm bảo đánh giá chính xác các biện pháp kiểm soát, từ đó nâng cao hiệu quả của các đánh giá về bảo mật và tuân thủ.

Chào mừng bạn đến với Nhãn “Tính sẵn sàng”

Nếu một công ty được coi là quan trọng trong chuỗi cung ứng, thì công ty đó sẽ phải đáp ứng các yêu cầu đối với nhãn "Tính sẵn sàng cao" hoặc "Tính sẵn sàng rất cao" trong tương lai. Do đó, các hệ thống Công nghệ vận hành (OT) được sử dụng trong sản xuất và các lĩnh vực khác cũng sẽ trở thành trọng tâm đánh giá. Điều này đạt được thông qua việc tham chiếu đến tiêu chuẩn IEC 62443 và các yêu cầu mới trong Danh mục ISA. Do đó, mạng truyền thông công nghiệp và hệ thống điều khiển và tự động hóa công nghiệp (IACS) được đưa vào các đánh giá TISAX® trong tương lai. Đồng thời, các công ty thuộc danh mục này được giao phó các thông tin nhạy cảm liên quan đến phát triển và sản xuất và phải chứng minh rằng họ có khả năng bảo vệ thông tin này một cách thỏa đáng. Do đó, nhiều yêu cầu trùng lặp với các yêu cầu của nhãn “Tính bảo mật cao” hoặc “Tính bảo mật nghiêm ngặt”. Một số khía cạnh của việc bao gồm các hệ thống OT là:

• An toàn và Vận hành liên tục: Hệ thống Công nghệ vận hành đóng một vai trò quan trọng trong các cơ sở sản xuất, nơi các hệ thống tự động như IACS là trung tâm. Việc đảm bảo tính sẵn sàng của các hệ thống này không chỉ liên quan đến hiệu quả mà còn về an toàn. Nhân viên thường làm việc gần các hệ thống tự động này và bất kỳ sự cố nào cũng có thể gây ra rủi ro an toàn nghiêm trọng. Ví dụ, các cảm biến hoặc bộ điều khiển OT được hiệu chỉnh không chính xác có thể gây nguy hiểm cho cá nhân và thiết bị có giá trị.
• Quản lý rủi ro: Khi đưa OT vào phạm vi đánh giá, các công ty phải xem xét các rủi ro cụ thể liên quan đến các hệ thống này. Hệ thống OT cần được quản lý, phân loại và giám sát để giải quyết hiệu quả các rủi ro mới nổi. Phải phân công người chịu trách nhiệm cho những công việc này.
• Kiểm soát quyền truy cập: Quyền truy cập vào mạng OT của các nhà cung cấp dịch vụ để bảo trì là mối quan tâm hàng đầu. Kiểm soát truy cập thích hợp và nhật ký chi tiết là điều cần thiết để duy trì tính bảo mật và tính toàn vẹn của hệ thống OT.
• Năng lực nhân sự: Nhân viên chịu trách nhiệm vận hành hệ thống OT phải được đào tạo phù hợp, có năng lực và được thông báo về những rủi ro tiềm ẩn khi vận hành. Những cân nhắc về nhân sự, bao gồm việc kiểm tra lý lịch đối với các vị trí nhạy cảm, trở nên quan trọng do tầm quan trọng của các hệ thống này.
• Quản lý vòng đời: Việc quản lý hiệu quả các hệ thống OT trong suốt vòng đời của chúng, bao gồm cả việc sửa chữa, thải bỏ và vận chuyển, là rất quan trọng để giảm thiểu rủi ro liên quan đến quyền truy cập và dữ liệu thiết bị cục bộ.
• Các biện pháp bảo mật: OT phải được bảo vệ trước các cuộc tấn công tiềm ẩn thông qua giải pháp bảo mật mạnh mẽ, chẳng hạn như phần mềm chống vi-rút, tường lửa và giảm thiểu các giao diện và dịch vụ bị lộ.
• Kiểm tra và đánh giá lỗ hổng: Cần phải kiểm tra hệ thống nội bộ thường xuyên để kiểm tra độ cứng của hệ thống OT và xác định các lỗ hổng đã biết.
• Phân khúc mạng lưới : Các mạng phải được phân khúc hợp lý theo mục đích để bảo vệ môi trường CNTT và OT khỏi nhau.
• Sao lưu và khôi phục: Các kế hoạch sao lưu và khôi phục toàn diện là cần thiết để đảm bảo tính liên tục trong hoạt động và bảo vệ dữ liệu trong hệ thống OT.
• Giám sát và cấp độ dịch vụ: Phải có sẵn các cấp độ dịch vụ phù hợp và định nghĩa về tính sẵn có và được giám sát liên tục đối với các dịch vụ mạng OT.
• Nhà cung cấp bên ngoài: Nếu nhà cung cấp dịch vụ bên ngoài sử dụng thiết bị OT, thì việc bảo mật thông tin liên quan đến tài khoản truy cập và thông tin khác được lưu trữ trên thiết bị phải được quy định đối với nhà cung cấp bên ngoài.

Ngoài ra, chào mừng bạn đến với "Nhãn bảo mật"

Nếu một công ty không có liên quan nhiều đến chuỗi cung ứng nhưng được giao phó thông tin nhạy cảm thì công ty đó vẫn phải chứng minh rằng mình có thể bảo vệ thông tin đó một cách thỏa đáng. Nhãn "Tính bảo mật cao" hoặc "Tính bảo mật nghiêm ngặt" được sử dụng để chọn các yêu cầu của Danh mục ISA tập trung vào các mục tiêu bảo vệ này.

Những lợi ích chính của Hệ thống Ghi nhãn Mới:

• Mục tiêu bảo vệ: Mục đích chính của đánh giá chọn lọc được mô tả ở trên là để đảm bảo rằng các công ty chỉ phải đáp ứng các yêu cầu của Danh mục ISA có liên quan đến họ.
• Độ chính xác của cuộc đánh giá: Với sự hiểu biết rõ ràng về hệ thống phân loại mới, Đánh giá viên có thể đánh giá và xác minh chính xác hơn tính hiệu quả của các biện pháp kiểm soát liên quan đến từng mục tiêu bảo vệ. Hệ thống ghi nhãn mới loại bỏ sự mơ hồ, giúp dễ dàng hơn trong việc phân công các biện pháp kiểm soát cho các mục tiêu cụ thể, góp phần thực hiện các cuộc đánh giá hiệu quả và hợp lý hơn.
• Lợi ích của khách hàng: Khách hàng cũng sẽ được hưởng lợi từ những nhãn mới này vì chúng mang lại sự rõ ràng và hiểu biết hơn về cách các biện pháp kiểm soát phù hợp với mục tiêu bảo vệ của tổ chức của họ.

Các yêu cầu về nhãn mới tuy không hoàn toàn mới nhưng đặt ra thách thức cho các công ty sản xuất , bởi hệ thống OT hiện phải tuân theo các biện pháp quản lý theo cách tương tự như cách thường được yêu cầu đối với hệ thống CNTT trong TISAX®. Sự rộng lớn của môi trường sản xuất và nhiều điểm truy cập vào cơ sở hạ tầng mạng Công nghệ vận hành OT khiến việc giải quyết những vấn đề này trở nên quan trọng. Sự chuẩn bị sẵn sàng là điều quan trọng để thích ứng với sự mở rộng này.

Những điều chỉnh đối với Quy trình Đánh giá của DQS

DQS sẵn sàng hỗ trợ tổ chức của bạn với quy trình nâng cấp liền mạch hoặc hợp tác với bạn nếu bạn thực hiện đánh giá lần đầu tiên.

Do những thay đổi này, chúng tôi cam kết cung cấp các cuộc Đánh giá chi tiết kỹ lưỡng và có lợi cho khách hàng của mình, đồng thời đào tạo bổ sung cho đội ngũ Đánh giá viên của DQS đảm bảo họ được chuẩn bị đầy đủ cho công việc đánh giá theo các yêu cầu mới này.

Mốc thời gian chuyển đổi quan trọng

• Đánh giá được thực hiện theo tiêu chuẩn cũ sẽ vẫn có hiệu lực.
• Nếu nhãn TISAX® chưa hết hạn thì không cần đánh giá lại.
• Thủ tục đánh giá TISAX® ISA 5.1 được thực hiện cho đến ngày 31/03/2024.
• Thủ tục đánh giá TISAX® ISA 6.0 mới được tiến hành từ ngày 01/04/2024.
• Các hoạt động đánh giá liên quan đến đánh giá hiện tại, chẳng hạn như đánh giá kế hoạch hành động khắc phục, các theo dõi điểm không phù hợp NC hoặc mở rộng phạm vi, sẽ được tiến hành bằng cách sử dụng cùng một phiên bản như đánh giá ban đầu đã thực hiện.

Việc phát hành ISA Catalog 6.0 cuối cùng là một sự kiện quan trọng trong thế giới ngày càng phát triển của các tiêu chuẩn và tuân thủ ô tô. Bản cập nhật này thể hiện sự cam kết liên tục về sự xuất sắc, độ chính xác và tầm quan trọng ngày càng tăng của bảo mật thông tin. Với việc giới thiệu các nhiệm vụ của Đánh giá viên trưởng, Cách ghi nhãn tinh tế về tính bảo mật và tính sẵn có, cũng như phạm vi rộng hơn bao gồm các hệ thống Công nghệ vận hành (OT), lĩnh vực ô tô tiếp tục phát triển theo các tiêu chuẩn cao hơn về chất lượng và bảo mật.