400-677-1258
2024/02/25
汽车行业数字化转型迅猛发展,各类制造供应商和服务提供商的涌入构成了极其复杂的上下游供应链,其中任何一家组织发生信息安全问题都可能会对整个供应链造成巨大影响。在此背景下,TISAX®(Trusted Information Security Assessment Exchange可信信息安全评估交换)应运而生,旨在建立一个专门服务于汽车行业的信息安全评估框架,确保汽车行业内信息安全的一致性和高标准。
TISAX® 为汽车行业提供了一个全面、高效的信息安全管理框架。通过实施TISAX® 认证,组织不仅能够提高其信息安全水平,还能在竞争激烈的市场中获得优势。随着VDA ISA 6.0的发布,TISAX® 的标准被进一步提高,更好地反映了当前的安全威胁和技术发展趋势,也为整个汽车行业的数据安全和合作提供了更坚实的基础。
延伸阅读
1、企航顾问TISAX®可信信息安全评估交换机制服务介绍
2、TISAX®与ISO/IEC27001的比较研究
3、TISAX®(可信信息安全评估及交换机制)合规体系建设方案
TISAX® ISA 6.0新版过渡期要求
2023年10月16日,VDA ISA 6.0发布,将于2024年4月1日生效。这意味着在此之后注册的新TISAX评估将使用VDA ISA 6.0版本进行。不过,如果组织在2023年3月31日前完成ENX注册、选择TISAX审核机构并预约审核,则仍可在一定期限内采用VDA ISA 5.1版本进行审核。若企业近期希望获取TISAX标签或标签即将失效,可根据实际需求选择审核版本,并尽早为新版本审核做准备。
TISAX® ISA 6.0新版标签的变更
较之前的5.1版本,VDA ISA 6.0将信息安全目录下的“Info High(处理保护需求较高的信息)”和“Info Very High(处理保护需求极高的信息)”标签更改为“Confidential(访问保密信息)”和“Strictly Confidential(访问严格保密的信息)”标签,并引入了全新的“High Availability(信息高可用性)”、“Very High Availability(信息的极高可用性)”标签。该目录下的标签重组,说明了汽车制造供应商和服务提供商除了可以确保传递的敏感信息保密,也能证明其具备一定的弹性,以应对网络威胁和突发事件造成的业务中断。
已经按照旧版本完成的审核仍将保留其有效性。如果组织的 TISAX标签未过期,其已经拥有的“Info High”或“Info Very High”标签将自动转换为“Confidential”或“Strictly Confidential”标签,原有的 “Info High” 或 “Info Very High” 标签仍将继续保持有效。
TISAX® ISA 6.0新版换版要点
VDA ISA 6.0强调信息技术(IT)和运营技术(OT)的可用性,防范网络领域和物理安全方面的中断,其关键变化点具体如下:
1、信息安全模块
VDA ISA 6.0对多个控制描述做了调整,并新增了5个控制点,涉及话题有软件安全、事件与危机管理、备份与恢复。
2、实施参考指南
VDA ISA 6.0索引至德国联邦信息安全办公室IT基本保护汇编(BSI IT-Grundschutz-Compendium)、信息系统和组织的安全和隐私控制(NIST SP800-53r5)等标准,为控制要求如何落地实施提供方向。
3、实施参考标准
除了新版ISO/IEC 27001:2022外,VDA ISA 6.0还参考了工业自动化和控制系统信息安全(ISA/IEC 62443-2)和美国国家标准与技术研究所网络安全框架(NIST Cyber Security Framework Version 1.1)等标准,确保TISAX符合国际公认的信息安全最佳实践。
4、简化集团评估 (Simplified Group Assessments)
当大型组织具有足够成熟的信息安全体制时,可以选择接受简化集团评估。VDA ISA 6.0说明了可选择简化集团评估的前提条件。
5、原型保护模块
VDA ISA 6.0明确原型保护模块的保护对象为“物理原型”,这意味着图纸、程序、照片等将不再是该模块的关注重点。
6、数据保护模块
VDA ISA 6.0重塑了数据保护模块的架构,细化了每个控制点的要求,方便组织理解控制目标及要求。
TISAX® ISA 6.0新增控制要求解读及实施指南
VDA ISA 6.0对现有控制提出了以下3个方面的新要求:
一、事件与危机管理:
关注快速识别和处理与安全有关的事件,尤其是对危机情况的应对。
1、相关控制点:1.6.1
控制目标:
任何人都有意识地去检测潜在的安全事件或迹象。更关键的是,任何人都知道何时以及如何报告所观察到的具有潜在安全危害的事件或迹象,以便专家可以决定是否需要处理以及如何处理。
实施指南:
1、设立报告渠道:应定义和设立用于安全事件识别的报告渠道
2、建立流程:应实施适当的程序,以迅速和标准化地评估并处理事件,包括与事件报告者沟通、引入其他利益相关者等
3、培训与意识:处理事件是一项共同的责任,应确保所有员工都了解相关流程
2、相关控制点:1.6.2
控制目标:
一旦报告了安全事件,对事件的处理进行管理是至关重要的。这意味着要迅速识别所报告事件的类型和严重性以及责任人,以确保及时处理时间紧迫的事项。一旦识别完成,确保责任人意识到并在合理的时间框架内处理事件的必要性。此外,如果事件影响到多个不同的人,协调沟通也是事件管理的重要组成部分。最后,如果需向外部(出于合同或监管要求)报告事件情况,确保以专业的方式来满足这些要求也很重要。
实施指南:
1、事件响应:应根据类型和严重程度及时评估事件,并在预定义的响应时间内处理事件
2、升级流程:应定义和实施明确的上报渠道和程序,包括与高级管理层的沟通
3、沟通策略:应指定和建立向内部或外部进行安全事件沟通的责任和策略
4、流程检验:应定期审阅及模拟处理不同类别及优先次序的事件,以确保事件发生时已作好准备
3、相关控制点:1.6.3
控制目标:
如果异常情况(例如自然灾害、物理攻击、流行病、异常社会情况、导致关键基础设施故障的网络攻击)严重扰乱了关键业务运营,则发生危机情况。在这种情况下,组织的首要任务是有条不紊地处理这种情况,并尽可能地快速恢复。由于时间紧迫,为使组织能够应对这种危机情况,通常的做法是切换到危机管理模式,执行设有明确职责分配的预先计划的程序。
实施指南:
1、建立流程:应实施适当的程序,以确保在危机情况下迅速而协调的行动
2、沟通策略:应建立有效的沟通策略,以便能够在危机期间和危机之后与所有利益相关者进行适当的沟通
3、流程检验:应定期测试以识别流程中的弱点,并适应不断变化的条件和需求
二、备份与恢复:
关注IT服务的连续性计划和全面的备份和恢复措施,以最大限度地减少业务中断和中断造成的损害。
1、相关控制点:5.2.8
控制目标:
IT服务的连续性计划(包括应急计划)是实现组织使命和关键业务功能的连续运行的整体计划的一部分。在连续性计划中处理的操作包括在安全事件发生时执行有序的系统降级、系统停止运行、回退到手动模式、备用信息流以及在预设的模式下运行。
实施指南:
1、识别关键IT服务:应根据业务影响,识别和评估关键IT服务
2、流程检验:应定期审查和更新连续性计划,以确保适应新的可能发生的情况
2、相关关控制点:5.2.9
控制目标:
数据和IT服务可能会因硬件故障、软件缺陷、操作员失误或攻击等事件而不可用。备份和恢复使组织能够从相关事件中恢复,并将对组织的潜在危害限制在合理的范围内。
实施指南:
1、备份和恢复策略:应定义和实施成体系的备份策略和有效的恢复策略,以便在中断的情况下迅速恢复,并将潜在的损害限制在可接受的水平
2、持续监测:应通过监测以在早期阶段识别潜在风险
3、流程检验:应定期执行恢复性测试,以确保可恢复性
三、软件安全:
关注只使用经过评估和批准的软件来处理信息资产。
相关控制点:1.3.4
控制目标:
信息处理(包括OT生产过程)大多通过使用专用软件来完成。软件的安全问题很容易成为处理信息的风险。因此,必须对软件进行适当的管理。
实施指南:
1、预防:应确保仅使用授权的软件
2、监测:定期识别、验证和更新所使用的软件
3、培训与意识:对员工进行信息安全培训,确保员工了解并遵守安全规定和操作流程
企航顾问TISAX案例
同济大学上海地面交通工具风洞中心
耐克森斯汽车电子(天津)有限公司
桑尼泰克精密工业股份有限公司【股票代码:832554】
靖江三鹏模具科技股份有限公司
宁波艾思科汽车音响通讯有限公司
【感谢信】上海鹰峰电子科技股份有限公司
【感谢信】萨古拉科技(上海)有限公司
【感谢信】艾联(上海)汽车零部件有限公司
【感谢信】苏州瑞玛精密工业股份有限公司
【感谢信】立衡科技(上海)有限公司
【感谢信】桑尼泰克精密工业股份有限公司
萨古拉科技(上海)有限公司
费尔特兰(嘉兴)过滤系统有限公司
泰信电机(苏州)有限公司
上海鹰峰电子科技股份有限公司
宁波海威汽车零件股份有限公司
苏州瑞玛精密工业股份有限公司【股票代码:002976】
常州市盛士达汽车空调有限公司
浙江夏厦精密制造股份有限公司
宁国市瑞普密封件有限公司
艾联(上海)汽车零部件有限公司
上海宝鹿车业有限公司
耐克森斯汽车电子(天津)有限公司昌图分公司
钱潮森威股份公司
上海奥达科股份有限公司
关于企航顾问
