《信息安全评审准则》目录6.0：关于 TISAX®️ 更新的所有必要信息

在本指南中，我们将深入探讨最终更新中的关键变化，以及这些变化将如何影响您的组织。我们还将介绍 DQS 计划如何应对这些变化，以及我们将如何调整审核员培训，以继续为您的组织提供有价值的审核。

要点：

• 引入主任审核员任务
• 向英语过渡
• 保密性和可用性标签
• 过渡时间表

主任审核员任务

新版《信息安全评审准则》目录的最大进步之一是引入了主任审核员任务，这是提高审核精确性和有效性的重要因素。在这一新框架下，主任审核员被分配到特定的评估级别。因此，ENX 已正式认可 "TISAX®️ 主任审核员 (AL2) "和 "TISAX®️ 主任审核员 AL3"，明确表示具备特定评估级别资格的审核员。

向英语和全球视角过渡

新版《信息安全评审准则》目录 6.0 在过渡过程中最关键的转变之一是改用英语作为主要语言。这不仅强调了全球视角，也反映了汽车制造商之间的国际合作。随着这一转变，《信息安全评审准则》目录和TISAX®️工作组均已在美国成立，进一步凸显了《信息安全评审准则》目录在全球范围内的集体进步。

继续重视信息安全和网络安全

在快速发展的数字世界中，信息安全和网络安全成为越来越重要的考虑因素。随着新版 TISAX®️ 6.0 的发布，汽车行业认识到客户和利益相关者对敏感信息安全的日益关注，继续对这些方面予以高度重视。TISAX®️ 评估借鉴了全球公认的信息安全管理系统框架ISO 27001 的原则。通过整合 ISO 27001 标准的基本要素，该行业不仅能适应数字时代，还能积极应对不断变化的网络威胁。

告别 "信息安全 "标签

主要变化涉及 "信息安全 "标签。今后，"信息安全性高 "标签将被 "保密性高 "和 "可用性高 "两个标签所取代。"信息安全性极高 "标签也是如此，今后将由 "保密性严格 "和 "可用性极高 "标签取代。所有在 TISAX®️ 平台上已拥有 "信息安全 "标签的客户机都将自动执行此操作。

"保密性 "和 "可用性 "标签必须满足同一套基本要求。此外，每个标签还有针对高度和超高度保护需求的特定要求。缩写（C、I 和 A）用于表示机密性、完整性和可用性。这些缩写，连同对高度和极高度保护需求的补充要求，将有助于明确识别每个标签对应的具体要求。这将提高审计的清晰度，确保对控制措施进行精确评估，从而提高安全性和合规性评估的有效性。

欢迎使用 "可用性 "标签

如果一家公司被认为在供应链中很重要，那么它将来就必须满足 "可用性高 "或 "可用性非常高 "标签的要求。因此，用于制造和其他领域的操作技术（OT）系统也将成为评估的重点。这是通过参考 IEC 62443 标准和《信息安全评审准则》目录中由此产生的新要求来实现的。因此，工业通信网络和工业自动化与控制系统 (IACS) 将被纳入未来的 TISAX® 评估中。同时，该类别中的公司被委托处理与开发和生产相关的敏感信息，必须证明它们能够充分保护这些信息。因此，许多要求与 "高度保密 "或 "严格保密 "标签的要求重叠。包括 OT 系统的一些方面有

• 安全和操作连续性：操作技术系统在生产设施中发挥着至关重要的作用，其中 IACS 等自动化系统是核心。确保这些系统的可用性不仅关系到生产率，还关系到安全。员工经常在这些自动化系统附近工作，任何形式的故障都可能带来严重的安全风险。例如，不正确校准的 OT 传感器或控制装置会危及个人和宝贵的设备。
• 风险管理：将 OT 纳入评估范围后，企业必须考虑与这些系统相关的特定风险。应对 OT 系统进行管理、分类和监控，以有效解决新出现的风险。必须指定专人负责这些任务。
• 访问控制：服务提供商访问 OT 网络进行维护是一个关键问题。适当的访问控制和详细的日志对于维护 OT 系统的安全性和完整性至关重要。
• 人员能力：负责操作 OT 系统的员工必须接受过适当的培训，有能力胜任工作，并了解操作的潜在风险。由于这些系统的关键性，人力资源方面的考虑（包括敏感职位的背景调查）变得至关重要。
• 生命周期管理：有效管理 OT 系统的整个生命周期，包括维修、处置和运输，对于降低与本地设备数据和访问相关的风险至关重要。
• 安全措施：必须通过强大的安全解决方案（如防病毒软件、防火墙以及减少暴露的接口和服务）保护 OT 免受潜在攻击。
• 审计和漏洞评估：需要定期进行内部系统审核，以检查 OT 系统的加固情况并找出已知漏洞。
• 网络分段：网络应按用途适当分隔，以保护 IT 和 OT 环境互不干扰。
• 备份和恢复：全面的备份和恢复计划对于确保运行连续性和 OT 系统的数据保护至关重要。
• 服务级别和监控：必须制定适当的服务级别和可用性定义，并持续监控 OT 网络服务。
• 外部供应商：如果外部服务供应商使用 OT 设备，则必须对外部供应商的访问账户和设备上存储的其他信息的信息安全进行监管。

此外，欢迎 "标签保密"

如果一家公司与供应链的相关性不高，但受托管理敏感信息，它仍必须证明自己能够充分保护这些信息。"高保密性 "或 "严格保密性 "标签用于选择《信息安全评审准则》目录中侧重于这些保护目标的要求。

新标签系统的主要优点：

• 保护目标：上述选择性评估的主要目的是确保公司只必须满足《信息安全评审准则》目录中与其相关的要求。
• 审核精度：在清楚了解新的分类系统后，审计人员可以更准确地评估和验证与每个保护目标相关的控制措施的有效性。新的标签系统消除了模糊性，更容易将控制措施分配给特定目标，有助于提高审计效率和简化审计工作。
• 客户受益：客户也将从这些新标签中受益，因为它们使控制措施与其组织保护目标的一致性更加清晰和易懂。

新标签的要求虽然不是全新的，但却给制造企业带来了挑战，因为 OT 系统现在必须以类似于TISAX® 中对 IT 系统一般要求的方式接受管理实践。生产环境的广阔性和操作技术网络基础设施的众多接入点使得解决这些问题变得至关重要。在行业适应这一扩大的重点时，做好准备是关键。

调整 DQS 审核流程

DQS 随时准备通过无缝升级流程为您的组织提供支持，如果您是首次接受审核，我们还将与您合作。

由于这些变化，我们致力于为客户提供全面和有益的审核，并正在为我们的审核员提供额外的培训，以确保他们为根据新要求进行审核做好充分准备。

过渡时间表和重要日期

旧版 TISAX®️ 评估将使用旧版《信息安全评审准则》5.1 进行，直至 2024 年 3 月 31 日。2024 年 4 月 1 日或之后，所有 TISAX®️ 评估将根据新版《信息安全评审准则》6.0 版本进行。任何依赖于现有审计的审计活动，如纠正行动计划评估、后续行动或范围扩展评估，都将使用原始审计所使用的版本。

《信息安全评审准则》目录6.0 最终版的发布是不断发展的汽车标准和合规世界中的一件大事。这一更新标志着对卓越、精确和信息安全重要性不断提高的持续承诺。随着首席审核员任务的引入、保密性和可用性标签的完善以及涵盖操作技术 (OT) 系统范围的扩大，汽车行业将继续向更高的质量和安全标准发展。