A construction drawing of a technical component; a compass, pencil and logarithm ruler are spread ou

新版 TISAX® 標章：企業需要評估的重點

Holger Schmeken

DQS TISAX® 與 VCS 標準產品經理

11月 08 , 2024

TISAX®作為汽車產業資訊安全的標準化評估和交換機制，為汽車廠商與供應商之間以及供應商網路內部建立信任和永續的合作奠定了基礎。透過 TISAX® 認證，供應商和服務提供者向相關方證明他們擁有強大的資訊安全管理系統，從而滿足所需的資訊和網路安全等級。新版 ISA Catalog 6.0 中最顯著的變化是增加了機密性和可用性兩個新標籤，取代了舊的資訊安全標籤。我們在這篇文章中提供了概述。

條件改變 — 最新要求
為什麼新的 TISAX^®引入了可用性和機密性標章？
全新 TISAX^®標章一覽
公司具體需要哪些 TISAX^®標章
評估目標、標章和評估等級 —— 差異的重點解釋
對於根據舊 ISA 目錄進行的驗證，需要進行 GAP 分析
全新 TISAX^®標章- 結論
DQS 是您值得信賴的驗證夥伴

自 2024 年 4 月 1 日起，適用新版的 ISA 目錄 6.0

IT 和產業環境的日益數位化和網路化也為日益嚴重的網路威脅帶來了新的安全挑戰。請閱讀我們的文章了解自 2024 年 4 月起生效的 ISA 目錄 6.0 包含哪些變化，以及公司在未來的評估中必須做好哪些準備。

新版 ISA 目錄 6.0 – 部落格

為什麼新的 TISAX^®標章引入了可用性和機密性？

供應商和服務提供者密切參與汽車製造商的開發和生產過程 - 但有時扮演著非常不同的角色：一些公司被委託保管高度敏感的信息，但最終不再參與實際生產。其他公司為汽車生產提供至關重要的零件，但卻不了解委託公司的商業機密。

為了更好地體現這些不同的角色，舊有標章裡的「資訊安全」已拆分為兩個新項目 —— 「可用性」 和「機密性」：「供應商和服務提供者不再需要滿足 ISA 目錄 6.0 的所有要求，因為每個標章僅代表一個子集。這種劃分旨在減輕企業負擔，提高稽核流程的效率。

然而，值得注意的是，鑑於威脅情勢的變化，資訊安全評估 (ISA) 目錄已經擴展，包括幾個額外的要求。除了保護秘密之外，還應確保交付能力——關鍵字：準時生產——因為這越來越容易受到勒索軟體攻擊的風險。因此，新要求還包括對 OT 系統更強有力的保護措施。

全新 TISAX^®標章一覽

對於受託保管敏感資訊（即商業機密或個人資料）的公司，現在有「機密」和「嚴格保密」標籤。「高可用性」和「超高可用性」標籤針對的是那些在公司交付能力中發揮重要作用的供應商。

除了基本要求之外，新 TISAX® 標章必須實施的措施在 ISA 評估目錄 6.0 中有明確標記：機密性以「C」表示，可用性以「A」表示。許多要求都標有兩個字母，因此適用於這兩個新標章。

「機密性」

「機密」標籤著重於保護機密訊息，未經授權的揭露可能會造成相當大的負面後果，例如聲譽損失、刑事起訴或財務損失。

在 ISA 目錄的控制中，「高保護需求的附加要求」一欄中定義了 28 項特定要求，這些要求必須滿足才能獲得此標章，並以「C」標記。

以下控制措施因其實施工作量而值得特別關注（括號中為要求）：

3.1.3（保護並安全處置印表機、碎紙機、相機或紙張等支援設備上的資訊）
3.1.4（行動裝置上的資料加密）
5.1.1（透過合約、規範、保證對自身資料控制進行法律保護，特別是對於外部資料處理）
5.1.2（訊息的數位傳輸路徑加密）

這裡提到的控制項僅標有“C”，而不是“A”。這意味著它們僅與保密有關。因此，在僅旨在標記可用性的稽核過程中，這些要求不必得到滿足。

如何開啟您的 TISAX® 評估第一步

您是汽車產業的供應商或服務提供者嗎？您需要提供您所提供的產品可用性或向您提供的敏感資訊的安全性的證明。點擊了解更多關於 TISAX® 的資訊。

前往了解 TISAX® 評估

「嚴格保密」

「嚴格保密」標章著重於保護嚴格保密和秘密的信息，未經授權的披露可能會造成災難性甚至危及生命的後果，例如嚴重的聲譽損害、嚴重的刑事後果或非常高的財務損失。

在 ISA 問卷的控制中，「非常高保護需求的附加要求」一欄中定義了九項具體要求，並用「C」標記，除了「機密」標籤的要求外，還必須滿足此標籤的要求。

由於實施工作量較大，以下控制措施需特別注意：

1.6.1（進行定期演習以管理資訊安全事件並提供證據）
4.1.2（對於具有極高保護要求的資訊的訪問，需要雙重認證或更高級別身份驗證）
4.2.1（對保護要求特別高的資訊進行加密；每季審查分配的存取權限是否適當）
5.1.2（數位傳輸訊息內容的加密）
5.2.4（對保護要求特別高的資訊的存取記錄）
5.2.8（具有備用儲存位置和備份儲存的資料備份概念）
5.3.1（在實施期間、發生變更時以及定期檢查內部開發或為客戶開發的軟體的安全性）

還必須注意與可用性標章的明顯區別：具體來說，這裡列出的控制 4.1.2、4.2.1、5.1.2 和 5.2.4 的要求僅標有「C」。這意味著它們僅與「嚴格保密」標章的稽核過程相關。

「高度可用性」

如果公司本身產品或服務的可用性直接影響到相關公司的生產或交付能力，且故障會造成相當大的損失，則需要「高度可用性」標章。常見的例子是生產材料的即時供應商或無法及時更換的服務或原材料的高度專業化的供應商。

在 ISA 目錄 6.0 的控制中，「高保護需求的附加要求」列中定義了 36 項要求，這些要求標有 “A”，因此必須滿足此標籤。

在實施過程中需要特別注意以下控制：

1.6.3（危機狀況準備：危機場景、聯絡人、溝通策略、定期模擬危機）
5.2.8（防止內部威脅造成的中斷的措施 - 例如保護備份 - 以及外部服務中斷，例如透過適當的 SLA）
5.2.9（備份和復原概念：定期檢查備份和測試復原）
5.3.2（網路流量監控、中央服務可用性分析）

此處提到的要求僅標有“A”，即它們僅與可用性相關。因此，在僅旨在標記機密性的稽核過程中不需要滿足這些要求。

「非常高的可用性」

如果公司本身產品或服務的短期可用性嚴重影響到相關公司的生產或交付能力，且故障會造成相當大的損失，則公司需要「非常高可用性」標章。一個典型的例子是即時供應商，其失敗將導致生產迅速且大規模停頓，並且重啟時間非常長。

在 ISA 目錄的控制中，「極高保護需求的附加要求」一欄中定義了13個要求。這些要求標有“A”，因此除了“高可用性”標籤的要求之外，還必須滿足此標籤的要求。

由於實施工作量較大，以下控制措施需特別注意：

1.6.1（進行並提供定期演習的證據以管理資訊安全事件
1.6.2（執行即使是罕見類型的資訊安全事件）
1.6.3（進行定期演習以應對危機情況並提供證據）
5.2.6（定期對IT系統進行全自動系統分析，同時考慮OT/工業控制系統）
5.2.8（資料備份概念，包括備用儲存位置和備份儲存；自身應急計畫與外部服務提供者應急計畫的協調；備份策略，包括替換系統和替換儲存位置以及備份以維護業務流程）
5.2.9（定期測試資料備份概念；地理分佈的備份位置；盡可能隔離的備份系統，技術上不可更改的備份）
5.3.1（在實施期間、發生變更時以及定期檢查內部開發或為客戶開發的軟體的安全性）

此處列出的控制 1.6.2、1.6.3、5.2.6 和 5.2.9 的要求僅在「非常高可用性」標章的稽核過程中進行檢查，因此與 TISAX 保密標章無關。

通常，「可用性」這兩個標籤增加了對維持生產能力（OT）的關注。本公司對 OT 製造商建議、OT 風險、OT 網路安全措施以及 OT 管理的內部了解將在稽核中受到更多關注。

車載資訊安全

自 2024 年 7 月起的歐盟新法規

隨著數位化的發展，攻擊的風險也迅速增加。從許多方面來看，汽車製造商都是網路犯罪分子鎖定的目標。閱讀我們的部落格找出哪些法規提供了保護。

車載資訊安全 – 部落格

公司具體需要哪些 TISAX^®標章

在實務上需要哪些標籤的問題自然首先取決於公司在供應鏈中的作用。在供應鏈的每個階段，公司都必須問自己依賴哪些供應商以及哪些供應商被委託了敏感資訊。

因此，TISAX® 在每個階段所需的供應商管理會導致特定角色的標章要求沿著供應鏈向下層遞進。交換機制在這裡特別有用，供應商可以參考現有標籤來證明符合要求。評估結果可以提供給任何有興趣的一方。

假設一家公司預防性地要求使用這兩種新標章，即使不需要保密或可用性標章。在這種情況下，考慮到實施成本可能顯著增加，絕對值得再次討論對角色的相互理解。
還必須考慮 TISAX® 標章和評估等級之間的聯繫：「非常高可用性」和「嚴格保密」標籤只能透過 3 級評估（即透過現場評估）授予。

評估目標、標章和評估等級 —— 差異的重點解釋

在上一章節中，我們使用了幾個術語，在這裡我們將對這些術語進行簡要解釋和區分：

TISAX^®評估目標：根據製造合作夥伴的規範，供應商使用評估目標來確定他們在稽核中必須滿足的要求。
TISAX^®標章：通過稽核後，公司將會在資料庫裡獲得所選評估目標的 TISAX® 標章，作為已滿足要求的最後確認。
TISAX^®級別：根據評估級別，對要求的滿足情況進行不同的評估。第 1 級純粹是自我評估。在第 2 級，外部稽核員會檢視自我評估的合理性，並輔以遠距訪談。在第 3 級，稽核員現場檢查有效性。

ISO 27001－核心資訊安全管理系統標準

ISO/IEC 27001 是引進整體資訊安全管理系統的核心國際標準。 ISO 標準剛於 2022 年 10 月 25 日修訂並重新發布。

ISO 27001 – 了解更多

對於根據舊 ISA 目錄進行的驗證，需要進行 GAP 分析

對於仍使用舊「資訊」標章驗證的公司來說，重要提示：

為了使過渡階段盡可能簡單，帶有「資訊高」標章的公司將自動被指派「機密」和「高度可用性」標章，直至其到期。
同樣，「非常高的資訊」標章將被轉換為「嚴格保密」和「非常高可用性」標章。

這也適用於 4 月 1 日之前接受的稽核流程以及隨後的範圍擴展，兩者仍可按照舊的 ISA 目錄 5.1 進行。

但要注意的是，一旦相關公司的三年有效的 TISAX 標章過期，就必須依照當時有效的 ISA 稽核目錄進行驗證。舊標章到期後，必須立即提供新驗證。因此，建議負責人儘早進行 GAP 分析，以便及時實施資訊安全管理系統（ISMS）的調整，並為下一次調整做好 TISAX^®稽核準備。

為了進行 GAP 分析，ENX 協會提供專門的需求目錄其中 ISA 5.1 和 ISA 6.0 之間的所有變化都列出並以紅色標記。這使得公司可以一眼看到增加了哪些新要求。需要考慮的事項：這是一份輔助文件。針對稽核，本公司應始終從 ENX 網站下載最新版本的 ISA 稽核目錄。

以下變化特別需要關注：

新的 Control 1.3.4 可能需要投資新軟體，例如許可證管理。
經過廣泛修改的控制 1.6.1 和 1.6.2 現在需要協調並定期測試的事件回應。
控制 3.1.2 已被新的控制 1.6.3、5.2.8 和 5.2.9 取代，這些控制對危機處理、業務連續性管理和資料備份提出了許多新要求。

全新 TISAX^®標章 - 結論

新的保密性和可用性標籤應能確保 TISAX^® 有更高效率的驗證，因為現在的稽核是根據特定角色進行的。這意味著供應商和服務提供者不再需要執行目錄中的每個要求。然而，值得注意的是，可用性標章必須滿足的要求比保密性標章還要多。這是因為新的重點是確保交付能力和保護 OT 環境，這已包含在目前 ISA 目錄的所有控制中。

修訂和部分擴展的目錄還包含一些新要求，其中一些要求只有付出一些努力並花費相應的準備時間才能滿足。因此，早期 GAP 分析建議已根據舊目錄獲得驗證的公司使用，因為他們「僅」透過舊資訊安全標章的自動轉換而獲得新標章。

對於過去作為輪換抽樣程序（Rotating SGA）的一部分收到標籤的客戶來說，他們面臨著特殊的挑戰。出於成本原因，這些公司希望在標章有效期的最後一年改用實際採樣程序（基於樣本的 SGA）。因此，他們必須在第三年完成輪調 SGA 評估，將其 ISMS 轉換為新的 ISA 目錄，並在標籤到期之前完成基於樣本的 SGA 評估，以便能夠無縫接軌延長標章效力。

TISAX® 評估

我們很樂意回答您的相關問題，歡迎聯繫我們預約諮詢。

聯繫我們

DQS 是您值得信賴的驗證夥伴

TISAX^® - 如同車載資訊安全的 ENX VCS 標準一樣，是由 ENX 協會所創立。 DQS 是經 ENX 批准的驗證商，因此可以在全球實行稽核 - 並且 DQS 本身也通過 TISAX^®評估並獲取標章。且由於我們的許多 TISAX^®稽核員也獲得了資訊安全國際標準 ISO 27001 的驗證，因此我們可以同時評估這兩項標準，並且幫助您的企業減少額外的工作量。

注意：開始進行 TISAX^®評估需要透過線上在 ENX 入口網站註冊，這是能夠委託如 DQS 的驗證商進行評估的先決條件。

信任與專業知識

我們的部落格與文章均由我們的各部門標準專家或資深稽核員撰寫。如果您對文字內容或我們對作者的服務有任何疑問，請與我們聯絡。

作者

Holger Schmeken

擔任 TISAX® 與 VCS 稽核產品經理與 ISO 27001 資深稽核員多年，且擁有超過 30 年的軟體工程及資安總監背景，Holger Schmeken 在後期還攻讀了商業資訊學系碩士學位，擁有在德國 Critical Infrastructue 的稽核資格 (KRITIS)，目前擔任 DQS 資訊安全內容專欄作家。