可信信息安全评估交换中心(TISAX®)是汽车行业的通用评估和交换机制,被视为特定行业信息安全标准的灯塔。通过统一、可比的评估机制,各种TISAX® 标签为原始设备制造商与其庞大的供应商网络之间建立互信、高效的业务关系奠定了基础。
然而,面对日益增长的网络威胁,IT 和生产环境的日益数字化和网络化带来了新的安全挑战。更新后的 ISA 目录 6.0(2024 年 4 月起有效)解决了这些问题。请阅读以下博文,了解其中包含的变化以及企业在未来评估中必须做好的准备。
不断增加的威胁要求调整 ISA 目录
鉴于供应链的重要性和复杂性,端到端信息和网络安全在汽车行业中发挥着关键作用。毕竟,供应商密切参与开发和生产过程。这就意味着他们往往能够接触到高度敏感的信息,因此必须具备高度的应变能力。地缘政治的紧张局势以及供应链日益数字化和网络化,导致信息安全的风险不断增加。
因此,现有的VDA ISA 目录 5.1已经更新。6.0 版的英文版已于 2023 年 10 月 16 日发布,可供下载。
新的 ISA 问题目录 6.0 标志着以下方面的一个重要里程碑 TISAX® 的一个重要里程碑。 这导致了TISAX®ACAR 2.2 规定中对审计提供方要求的调整。改用英语作为 ISA 6.0 问题目录的主要语言,彰显了 TISAX® 的全球视角,以及全球工作组为进一步开发要求目录所做的共同努力。
新标签取代熟悉的 "信息安全 "标签
信息安全评估(ISA)目录 6.0 的主要变化涉及 "信息安全 "模块和TISAX® 的相关标签系统。今后,"可用性 "和 "保密性 "这两个标签将完全取代人们熟悉的 "信息安全 "标签。
ISA 目录 6.0 中的 "可用性 "标签:扩展到生产设施
在新的 ISA 目录中,"可用性高 "和 "可用性非常高 "这两个标签变得更加具体。因此,OT(操作技术)系统将成为未来审计的重点。
生产环境(即工业自动化控制系统(IACS)及其网络)日益网络化,给信息安全带来了许多新的挑战。生产设施的网络覆盖范围极广,采用多种专业技术和协议。
在许多方面,它们与 IT 系统有着本质区别:生产环境一般设计为运行多年,一旦顺利运行,除了定期维护和维修工作外,尽可能不受干扰。这意味着许多组件仍在使用过时的操作系统、通信协议或加密算法等。
在很长一段时间里,自动补丁和更新程序并不受欢迎,或者至少受到批评。人们过于担心复杂的生产流程会失去同步,从而造成巨大的经济损失。许多员工都可以访问的大规模分布式系统和通信网络,也提供了多个物理攻击点。
自动化生产系统的可靠性和可用性不仅从商业角度来看极其重要,而且因为流程中的偏差也会造成巨大的损害和经济损失。
为了将所有这些与 OT 相关的方面整合到 ISA 目录 6.0 中,ENX 和 VDA 将自己定位为国际有效的 IEC 62443 系列标准,特别是 2-1 子节。
IEC 62443:工业自动化系统的 IT 安全;第 2-1 部分:工业自动化系统运营商的 IT 安全计划要求
"保密 "标签:保护敏感信息
如果公司受托管理敏感信息,则必须证明其能够妥善保护这些信息。高保密性 "或 "严格保密性 "标签用于选择《国际安全审计准则目录 6.0》中有助于实现这一保护目标的要求。
这对未来的 TISAX® 审核意味着什么?
新标签允许根据供应商在供应链中可能扮演的角色进行审核。如果某个供应商被认定为对供应链特别重要,则可以使用 "可用性 "标签来证明其可靠性。如果供应商被委托保管特别敏感的信息,则可使用 "保密性 "标签来证明其已采取适当的预防措施来保护这些信息。如果供应商同时承担这两种职责,则可同时接受两种标签的审核。
两种标签必须满足同一套基本要求。此外,每个标签都有针对高度和超高度保护需求的具体要求。这就意味着审核是根据不同的标签进行的。
标签系统的过渡也将在TISAX®数据库中进行。今后,"高信息安全 "标签将由 "高可用性 "和 "高保密性 "两个组合标签取代。信息安全性极高 "标签也将被 "可用性极高 "和 "保密性严格 "标签所取代。所有已在TISAX®平台上获得 "信息安全 "标签的参与者都将自动获得该标签。
上述选择性审核的主要目的是确保企业只需满足《国际审计准则》问卷 6.0 中与其相关的要求。同时,制造企业也面临着新的挑战,因为现在必须对 OT 系统进行管理,管理方式类似于对 TISAX® IT 系统的一般要求。
因此,根据具体情况,企业必须在信息安全管理系统(ISMS)中强化额外的要求,并可能导致更大的开支。
6.0 版中的新要求
- 安全性和运行连续性:在自动化系统(如 IACS)至关重要的生产设施中,OT 起着至关重要的作用。确保这些系统的可用性不仅关系到生产率,还关系到安全。员工经常在这些自动化系统附近工作,任何形式的故障都可能带来严重的安全风险。例如,不正确校准的 OT 传感器或控制装置会将人员和贵重设备置于危险之中。
- 风险管理:随着 OT 被纳入监管范围,企业需要考虑与这些系统相关的特定风险。应对 OT 系统进行监管、分类和监控,以便有效抵御新出现的风险。必须指定专人负责这些工作。
- 访问控制:服务提供商出于维护目的访问 OT 网络是一个关键问题。适当的访问控制和详细的协议对于维护 OT 系统的安全性和完整性至关重要。
- 员工能力:负责运行 OT 系统的员工必须经过充分培训,有能力并了解运行的潜在风险。由于这些系统的关键性,包括敏感职位的背景调查在内的人员考虑因素至关重要。
- 生命周期管理:在包括维修、运输和处置在内的整个生命周期内对 OT 系统进行有效管理,对于最大限度地降低与本地设备数据和访问相关的风险至关重要。
- 安全措施:必须通过强大的安全解决方案(如防病毒软件、防火墙或减少开放接口和服务)保护 OT 免受潜在攻击。
- 审计和漏洞评估:需要定期进行技术系统审计,以检查 OT 系统是否按照制造商的规格进行了加固,并找出已知的漏洞。
- 网络分段:应根据目的和风险对网络进行适当分段,以保护 IT 和 OT 环境相互隔离。
- 备份和恢复:全面的备份和恢复计划对于确保 OT 系统的业务连续性至关重要。
- 服务水平和监控:必须制定适当的服务级别和可用性定义,并对 OT 网络服务进行持续监控。
- 外部提供商:如果外部服务提供商使用 OT 设备,则必须对外部提供商的访问权限和设备上存储的其他信息的信息安全水平进行监管。
ISO 27001 和 IEC 62443 是坚实的基础
符合ISO 27001标准的 ISMS 已成为某些监管行业的法律要求。在许多行业,这也是签订服务协议或类似协议的正式或非正式基本合规要求。
由于 ISA 问卷 6.0 也是以该标准为基础,经过认证的信息安全管理系统已经为TISAX®审核奠定了良好的基础。不过,TISAX®要求具体实施 ISMS,其中包括详细的 "应 "和 "应当 "要求,以及高水平或极高水平保护的附加要求。
除了 ISMS 之外,IEC 62443 标准和由此产生的 ISA 目录中的新要求也提供了坚实的基础。该标准第 2 小节描述了工业网络安全管理系统的结构。第 2-1 小节主要涉及工业自动化和控制系统安全计划的建立。
在起草这些内容时,IEC(国际电工委员会)再次以 ISO 27001 标准为指导,该标准的许多流程和机制也适用于控制系统。这意味着工业通信网络和自动化控制系统(IACS)也被纳入审核范围。
ISA 目录 6.0:哪些期限适用于用户?
将于 2024 年 4 月 1 日切换到 ISA 审计目录 6.0。任何在 3 月 31 日之前(含 3 月 31 日)委托TISAX® 评估的用户仍可根据旧的 ISA 目录 5.1 进行审核。从明年 4 月 1 日起委托进行的评估只能按照新版 ISA 目录 6.0 进行。
一方面,这意味着从 2024 年 4 月起评估将更加复杂,但另一方面,安全级别的提高对贵公司来说是值得的。重要的是,您应尽早为新要求做好准备,并认真执行,以便从新TISAX®标签带来的更多信心中获益。
所有依赖于现有评估的审计活动,如纠正行动计划评估、后续行动、范围扩展评估或简化小组评估,将继续按照最初评估所依据的 ISA 版本进行。
《国际审计准则》目录 6.0 修订本 2024:结论
ISA 目录 6.0 的发布是不断发展的汽车标准和合规世界中的一件大事。此次更新代表了对卓越、精确和汽车行业信息安全日益重要性的持续承诺。随着保密性和可用性标签的引入以及操作技术 (OT) 系统范围的扩大,汽车行业将继续朝着更高的质量和安全标准发展。
DQS是 ENX 批准的评估服务提供商,因此可以在全球范围内开展TISAX®评估。我们的TISAX®审核员也获得了信息安全国际标准ISO 27001 的认证。这意味着 DQS 可以同时对这两个标准进行评估,并减少额外的工作量。我们期待与您洽谈。
备注:TISAX® 的访问需要参与者注册,注册必须在 ENX 门户网站上在线进行。这是委托 DQS 等经认可的评估服务提供商的前提条件。
Loading...
TISAX®6.0 - 背景信息
TISAX®以德国汽车工业协会 (VDA) 开发的 VDA ISA 目录为基础,是一份综合问卷,主要基于所谓的 "控制",即信息安全标准 ISO 27001 附件 A 中的参考措施,并根据其他汽车特定要求进行了调整。
信息安全标准经过修订后,于 2022 年 10 月 25 日发布了新的 ISO/IEC 27001:2022。附件 A 尤其受到此次修订的影响。ISA 6.0 版本也对新的控制措施进行了相应调整。
TISAX® 主要针对那些希望或需要证明与(参与)汽车制造商合作的信息安全和可用性达到一定水平的公司。总部设在美因河畔法兰克福和巴黎的 ENX 协会负责实施和监督该程序。ENX 是一个由欧洲汽车制造商、供应商和四个国家汽车协会(包括德国 ENX 创始人 VDA)组成的协会。
信任和专业知识
我们的文本和手册完全由我们的标准专家或长期审核员撰写。如果您对文本内容或我们为作者提供的服务有任何疑问,请联系我们。
DQS通讯
了解最新资讯,订阅我们的通讯
作者
霍尔格 薛梅根
TISAX® 和 VCS 产品经理、ISO/IEC 27001 审核员、拥有 30 多年经验的软件工程专家、信息安全副官。 Holger Schmeken 拥有商业信息学硕士学位,并具有德国关键基础设施 (KRITIS) 的扩展审计能力。
Loading...