可信信息安全评估交换中心(TISAX®)是汽车行业的通用评估和交换机制,被视为特定行业信息安全标准的灯塔。通过统一、可比的评估机制,各种TISAX® 标签为原始设备制造商与其庞大的供应商网络之间建立互信、高效的业务关系奠定了基础。
然而,面对日益增长的网络威胁,IT 和生产环境的日益数字化和网络化带来了新的安全挑战。更新后的 ISA 目录 6.0(2024 年 4 月起有效)解决了这些问题。请阅读以下博文,了解其中包含的变化以及企业在未来评估中必须做好的准备。
可信信息安全评估交换中心(TISAX®)是汽车行业的通用评估和交换机制,被视为特定行业信息安全标准的灯塔。通过统一、可比的评估机制,各种TISAX® 标签为原始设备制造商与其庞大的供应商网络之间建立互信、高效的业务关系奠定了基础。
然而,面对日益增长的网络威胁,IT 和生产环境的日益数字化和网络化带来了新的安全挑战。更新后的 ISA 目录 6.0(2024 年 4 月起有效)解决了这些问题。请阅读以下博文,了解其中包含的变化以及企业在未来评估中必须做好的准备。
鉴于供应链的重要性和复杂性,端到端信息和网络安全在汽车行业中发挥着关键作用。毕竟,供应商密切参与开发和生产过程。这就意味着他们往往能够接触到高度敏感的信息,因此必须具备高度的应变能力。地缘政治的紧张局势以及供应链日益数字化和网络化,导致信息安全的风险不断增加。
因此,现有的VDA ISA 目录 5.1已经更新。6.0 版的英文版已于 2023 年 10 月 16 日发布,可供下载。
新的 ISA 问题目录 6.0 标志着以下方面的一个重要里程碑 TISAX® 的一个重要里程碑。 这导致了TISAX®ACAR 2.2 规定中对审计提供方要求的调整。改用英语作为 ISA 6.0 问题目录的主要语言,彰显了 TISAX® 的全球视角,以及全球工作组为进一步开发要求目录所做的共同努力。
信息安全评估(ISA)目录 6.0 的主要变化涉及 "信息安全 "模块和TISAX® 的相关标签系统。今后,"可用性 "和 "保密性 "这两个标签将完全取代人们熟悉的 "信息安全 "标签。
在新的 ISA 目录中,"可用性高 "和 "可用性非常高 "这两个标签变得更加具体。因此,OT(操作技术)系统将成为未来审计的重点。
生产环境(即工业自动化控制系统(IACS)及其网络)日益网络化,给信息安全带来了许多新的挑战。生产设施的网络覆盖范围极广,采用多种专业技术和协议。
在许多方面,它们与 IT 系统有着本质区别:生产环境一般设计为运行多年,一旦顺利运行,除了定期维护和维修工作外,尽可能不受干扰。这意味着许多组件仍在使用过时的操作系统、通信协议或加密算法等。
在很长一段时间里,自动补丁和更新程序并不受欢迎,或者至少受到批评。人们过于担心复杂的生产流程会失去同步,从而造成巨大的经济损失。许多员工都可以访问的大规模分布式系统和通信网络,也提供了多个物理攻击点。
自动化生产系统的可靠性和可用性不仅从商业角度来看极其重要,而且因为流程中的偏差也会造成巨大的损害和经济损失。
为了将所有这些与 OT 相关的方面整合到 ISA 目录 6.0 中,ENX 和 VDA 将自己定位为国际有效的 IEC 62443 系列标准,特别是 2-1 子节。
如果公司受托管理敏感信息,则必须证明其能够妥善保护这些信息。高保密性 "或 "严格保密性 "标签用于选择《国际安全审计准则目录 6.0》中有助于实现这一保护目标的要求。
新标签允许根据供应商在供应链中可能扮演的角色进行审核。如果某个供应商被认定为对供应链特别重要,则可以使用 "可用性 "标签来证明其可靠性。如果供应商被委托保管特别敏感的信息,则可使用 "保密性 "标签来证明其已采取适当的预防措施来保护这些信息。如果供应商同时承担这两种职责,则可同时接受两种标签的审核。
两种标签必须满足同一套基本要求。此外,每个标签都有针对高度和超高度保护需求的具体要求。这就意味着审核是根据不同的标签进行的。
标签系统的过渡也将在TISAX®数据库中进行。今后,"高信息安全 "标签将由 "高可用性 "和 "高保密性 "两个组合标签取代。信息安全性极高 "标签也将被 "可用性极高 "和 "保密性严格 "标签所取代。所有已在TISAX®平台上获得 "信息安全 "标签的参与者都将自动获得该标签。
上述选择性审核的主要目的是确保企业只需满足《国际审计准则》问卷 6.0 中与其相关的要求。同时,制造企业也面临着新的挑战,因为现在必须对 OT 系统进行管理,管理方式类似于对 TISAX® IT 系统的一般要求。
因此,根据具体情况,企业必须在信息安全管理系统(ISMS)中强化额外的要求,并可能导致更大的开支。
符合ISO 27001标准的 ISMS 已成为某些监管行业的法律要求。在许多行业,这也是签订服务协议或类似协议的正式或非正式基本合规要求。
由于 ISA 问卷 6.0 也是以该标准为基础,经过认证的信息安全管理系统已经为TISAX®审核奠定了良好的基础。不过,TISAX®要求具体实施 ISMS,其中包括详细的 "应 "和 "应当 "要求,以及高水平或极高水平保护的附加要求。
除了 ISMS 之外,IEC 62443 标准和由此产生的 ISA 目录中的新要求也提供了坚实的基础。该标准第 2 小节描述了工业网络安全管理系统的结构。第 2-1 小节主要涉及工业自动化和控制系统安全计划的建立。
在起草这些内容时,IEC(国际电工委员会)再次以 ISO 27001 标准为指导,该标准的许多流程和机制也适用于控制系统。这意味着工业通信网络和自动化控制系统(IACS)也被纳入审核范围。
将于 2024 年 4 月 1 日切换到 ISA 审计目录 6.0。任何在 3 月 31 日之前(含 3 月 31 日)委托TISAX® 评估的用户仍可根据旧的 ISA 目录 5.1 进行审核。从明年 4 月 1 日起委托进行的评估只能按照新版 ISA 目录 6.0 进行。
一方面,这意味着从 2024 年 4 月起评估将更加复杂,但另一方面,安全级别的提高对贵公司来说是值得的。重要的是,您应尽早为新要求做好准备,并认真执行,以便从新TISAX®标签带来的更多信心中获益。
所有依赖于现有评估的审计活动,如纠正行动计划评估、后续行动、范围扩展评估或简化小组评估,将继续按照最初评估所依据的 ISA 版本进行。
ISA 目录 6.0 的发布是不断发展的汽车标准和合规世界中的一件大事。此次更新代表了对卓越、精确和汽车行业信息安全日益重要性的持续承诺。随着保密性和可用性标签的引入以及操作技术 (OT) 系统范围的扩大,汽车行业将继续朝着更高的质量和安全标准发展。
DQS是 ENX 批准的评估服务提供商,因此可以在全球范围内开展TISAX®评估。我们的TISAX®审核员也获得了信息安全国际标准ISO 27001 的认证。这意味着 DQS 可以同时对这两个标准进行评估,并减少额外的工作量。我们期待与您洽谈。
备注:TISAX® 的访问需要参与者注册,注册必须在 ENX 门户网站上在线进行。这是委托 DQS 等经认可的评估服务提供商的前提条件。
TISAX®以德国汽车工业协会 (VDA) 开发的 VDA ISA 目录为基础,是一份综合问卷,主要基于所谓的 "控制",即信息安全标准 ISO 27001 附件 A 中的参考措施,并根据其他汽车特定要求进行了调整。
信息安全标准经过修订后,于 2022 年 10 月 25 日发布了新的 ISO/IEC 27001:2022。附件 A 尤其受到此次修订的影响。ISA 6.0 版本也对新的控制措施进行了相应调整。
TISAX® 主要针对那些希望或需要证明与(参与)汽车制造商合作的信息安全和可用性达到一定水平的公司。总部设在美因河畔法兰克福和巴黎的 ENX 协会负责实施和监督该程序。ENX 是一个由欧洲汽车制造商、供应商和四个国家汽车协会(包括德国 ENX 创始人 VDA)组成的协会。
我们的文本和手册完全由我们的标准专家或长期审核员撰写。如果您对文本内容或我们为作者提供的服务有任何疑问,请联系我们。
TISAX® 和 VCS 产品经理、ISO/IEC 27001 审核员、拥有 30 多年经验的软件工程专家、信息安全副官。 Holger Schmeken 拥有商业信息学硕士学位,并具有德国关键基础设施 (KRITIS) 的扩展审计能力。